Privacyverklaring Woon- zorgboerderij Soozijn te Valthermond

Woon- zorgboerderij Soozijn B.V. te Valthermond (verder te noemen Soozijn) verzamelt, bewaart en gebruikt gegevens (data) voor het goed functioneren van de instelling. Bij het bewaren, beschermen en verwerken van persoonsgegevens neemt Soozijn maatregelen ter zake van de bescherming en zorgvuldigheid. Transparant naar betrokkenen, indien hun belangen ermee zijn gediend, maar ook vertrouwelijk en integer te hunner bescherming.

In de opgeslagen persoonsgegevens maakt Soozijn een onderscheid tussen gegevens van cliënten (en/of hun wettelijk vertegenwoordigers) en gegevens voor communicatie met andere betrokkenen en geïnteresseerden:

Cliënten
Soozijn gebruikt persoonsgebonden en -gerelateerde data van cliënten. Cliënten zijn personen die bij Soozijn verblijven (beschermd wonen en dagbesteding in groepen of individueel). Gegevens van cliënten zijn meestal op schrift gesteld in een dossier. Vanaf 2018 zijn deze gegevens ook digitaal opgeslagen in Zilliz. (ZilliZ is het cliëntendossier voor de kleinschalige zorg in Nederland., 2021) https://zilliz.nl/

Samenwerkende partijen
Samenwerkende partijen kunnen personen zijn die voor Soozijn werken (in dienstverband, freelance of als zzp’er), personen van instanties waarmee de instelling samenwerkt (zoals zorgorganisaties), psychosociale en medische professionals, wettelijk vertegenwoordigers en familieleden van cliënten en overheden. Ook wel betrokkenen genoemd.

Beheer van gedocumenteerde informatie

Registraties zijn vastleggingen die noodzakelijk zijn om het bewijs te leveren dat aan gestelde eisen is voldaan. Documenten en registraties moeten voldoende lang beschikbaar blijven en kunnen beperkingen kennen qua toegankelijkheid. Onder documenten en registraties vallen zowel digitale als analoge (papieren) varianten. Registraties mogen pas na akkoord van de bestuurder vernietigd worden, hierbij worden de onderstaande bewaartermijnen gehanteerd.

Aard van de registratie	Minimale bewaartermijn
Financiële administratie	minimaal 7 jaar
Salaris administratie	minimaal 7 jaar
Registraties m.b.t. personeelszaken gericht aan interne partijen	minimaal tot 7 jaar na einde dienstverband
Registraties m.b.t. personeelszaken gericht aan externe partijen	Onbeperkt
Kwaliteitsregistraties.	minimaal 3 jaar
Registraties uit overlegvormen	minimaal 3 jaar
Cliëntgegevens	Minimaal 20 jaar na einde zorgverlening of overlijden
Overige registraties	minimaal de geldigheidstermijn

De actualiteit van de documenten wordt jaarlijks beoordeeld. Deze activiteit is opgenomen in de jaarplanner.

Geïnteresseerden
Onder ‘geïnteresseerden’ verstaat Soozijn een ieder die contact zoekt met Soozijn, informatie aanvraagt of informatie aanbiedt, zoals bijvoorbeeld leveranciers en sollicitanten. Met het (ongevraagd) aanbieden van informatie aan Soozijn verklaart de zender zich akkoord met het bewaren van aangeboden gegevens.

Algemene Verordening Gegevensbescherming
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht in Nederland en alle andere landen van de Europese Unie. Dit betekent dat Soozijn zich richt naar deze wet, waarbij rechten en plichten horen voor de instelling en voor degenen wier gegevens wij bewaren en gebruiken. In dit document leest u welke data wij gebruiken, waarvoor en hoe wij dit doen en welke rechten u heeft met betrekking tot deze persoonsgegevens.

Wat verstaan wij onder identificeerbare (persoons)gegevens
Identificeerbare (persoons)gegevens zijn gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is iemand die rechtstreeks of indirect kan worden geïdentificeerd aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Wat wij verstaan onder verwerking van persoonsgegevens
Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen en vernietigen van gegevens.

Bijzondere persoonsgegevens, verband houdende met toevertrouwde zorg
Omdat Soozijn specifieke persoonsgegevens verzamelt en verwerkt die verband houden met de toevertrouwde zorg voor volwassen bewoners met een verstandelijke beperking en/of psychiatrische problemen gelden voor deze persoonlijke gegevens bijzondere regels.

Bijzondere regels en uitzonderingen
De AVG voorziet in het verwerken van persoonsgegevens voor bijzondere toepassingen. Dit zijn uitzonderingen op het verbod tot verwerking van bepaalde  persoonsgegevens. Eén van deze uitzonderingen betreft persoonsgegevens die van een vitaal belang zijn, dus bijvoorbeeld ter bescherming van iemands gezondheid. Denk bijvoorbeeld aan medische gegevens die aan een bepaald persoon zijn gekoppeld. Het verbod op de verwerking van persoonsgegevens is niet van toepassing op hulpverleners en instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, wanneer de verwerking noodzakelijk is voor de goede behandeling of verzorging van de cliënt of het beheer van de betreffende instelling of beroepspraktijk.

Een andere uitzondering bestaat voor het verwerken van gegevens als gevolg van een wettelijke plicht. De verwerking van persoonsgegevens die op deze grondslag kan worden gebaseerd, is bijvoorbeeld de wettelijke plicht voor werkgevers om een kopie of scan van het identiteitsbewijs van hun betrokkene op te nemen in de loonadministratie in navolging van de Wet op de loonbelasting.

Er bestaat ook een uitzondering voor het verwerken van strafrechtelijke gegevens. Denk bijvoorbeeld aan situaties waar de verwerking noodzakelijk is ter bescherming van de vitale belangen van de cliënt of een andere natuurlijke persoon (indien de betrokkene fysiek of juridisch niet in staat is toestemming te geven).

Persoonsgegevens gerelateerd aan een overeenkomst
Soozijn gaat met cliënten (of via hun wettelijk vertegenwoordigers) een overeenkomst aan. Zo ook met o.a. het zorgkantoor van Zilveren Kruis. Persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de uitvoering van de overeenkomst. Als Soozijn met iemand een overeenkomst heeft gesloten, mag de instelling de persoonsgegevens van deze persoon verwerken voor zover dit noodzakelijk is om de overeenkomst uit te kunnen voeren.

Persoonsgegevens verstrekt via vertegenwoordigers
Meestal worden de benodigde persoonsgegevens van cliënten verzameld en geregistreerd door een tussenkomst van de (wettelijk) vertegenwoordiger, gericht op zorg van de cliënt en/of hulpverleners. De cliënt geeft hier uitdrukkelijk toestemming voor d.m.v. een toestemmingsverklaring. De gegevens die wij over cliënten opslaan en verwerken zijn:

Personalia/identificatiegegevens

• Naam, adres, postcode, woonplaats
• Geboortedatum
• Geboorteplaats
• Geslacht
• Telefoonnummer en emailadres
• Burgerlijke staat
• BSN
• Verzekeringsgegevens
• Cliëntnummer/registratienummer
• Indicatie benodigde zorg
• Medische en psychologische gegevens, indien van toepassing op de zorgverlening
• Contactgegevens en afspraken vertegenwoordiger, bewindvoerder, familieleden, huisarts, tandarts e.d.
• Zorgtoewijzingen
• Overeenkomsten
• Soort ID en einddatum 
• Datum binnenkomst?

De cliënt en/of zijn/haar (wettelijk) vertegenwoordiger zijn gerechtigd de opgeslagen informatie in te zien, voor zover deze informatie geen risico of gevaar oplevert voor het welzijn en/of de begeleiding van de desbetreffende cliënt.

Persoonsgegevens medewerkers Soozijn
De volgende persoonsgegevens van medewerkers worden bewaard en verwerkt door de instelling:

Personalia/identificatiegegevens

• Naam, adres, postcode, woonplaats
• Geboortedatum
• Geboorteplaats
• Geslacht
• Telefoonnummer en emailadres
• Burgerlijke staat
• BSN
• Kopie ID kaart
• Verzekeringsgegevens
• Diploma’s en certificaten
• Personeelsnummer
• Curriculum Vitae
• Arbeidsovereenkomst, arbeidvoorwaarden
• Financiële gegevens
• Verklaring Omtrent Gedrag
• Vergewisplicht

Salarisdossier

• Gegevens m.b.t. salaris, toeslagen, subsidies, uitkeringen etc.
• Werknemersverklaring, loonbelasting
• Loonbeslagen
• Pensioengegevens
• Verzekeringen
• Kopieën salarisstroken, jaaropgaven (digitaal)

Personeelsdossier

• Ziek- en herstelmeldingen
• Correspondentie omtrent de zieke, zoals bijvoorbeeld de arbodienst. Het gaat hierbij niet om medische gegevens.
• Verslagen van personeelsgesprekken
• Verlofregistratie

Beheer en toegang tot de persoonsgegevens
De directie van Soozijn is verantwoordelijk voor het verzamelen en verwerken van persoonsgegevens. Daartoe aangestelde (leidinggevende) zorgmedewerkers hebben – voor zover nodig voor de correcte uitoefening van hun zorgtaak, en in overleg met de directie – toegang tot de persoonsgegevens van cliënten. De medewerkers hebben ten aanzien van alle gegevens van het zorg- en dienstverleningstraject een beroepsgeheim. Soozijn deelt geen persoonsgegevens met derden, tenzij dit voor de zorg aan de cliënten van zwaarwegend belang is. Hierbij kan gedacht worden aan het verstrekken van persoonsgegevens aan bewind voering of mentorschap.

Bewaartermijnen
Persoonsgegevens worden niet langer bewaard, in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Tenzij anders bepaald, eindigt de bewaartermijn van persoonsgegevens maximaal vijf jaar na het laatste contact met de betrokkene. Voor gegevens die vallen onder de fiscale bewaarplicht geldt een bewaartermijn van zeven jaar. Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de registratie verwijderd en vernietigd.

Uw rechten met betrekking tot uw persoonsgegevens
Soozijn respecteert uw recht op inzage van uw persoonsgegevens en uw rechten om deze te corrigeren. Gegevens, zoals professionele waarnemingen en maatregelen ter zake van de begeleiding van de cliënt, kunnen niet worden gewijzigd of verwijderd, tenzij daarover een gerechtelijke uitspraak wordt gedaan.

• U hebt het recht te weten welke persoonsgegevens we van u hebben.
• We verschaffen u op verzoek een kopie van uw persoonsgegevens in een gestructureerd, gangbaar en machine leesbaar formaat of als fotokopie.
• Als uw persoonsgegevens niet kloppen of onvolledig zijn, hebt u het recht ons te vragen deze bij te werken.
• U hebt het recht bezwaar te maken tegen onze verwerking van uw persoonsgegevens.
• U kunt ons ook vragen uw persoonsgegevens te wissen of ons gebruik ervan te beperken, maar dat recht is afhankelijk van toepasselijke wetgeving.
• U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Beperkingen op de rechten van samenwerkende partijen
In specifieke situaties hoeft Soozijn geen gehoor te geven aan de rechten van de samenwerkende partijen. Deze situaties doen zich voor wanneer het beperken van de rechten van de betrokkenen noodzakelijk is voor de waarborging van (bijvoorbeeld) onderzoek, opsporing en vervolging van strafbare feiten, of tenuitvoerlegging van straffen. Verder is het mogelijk de rechten van de betrokkenen te beperken wanneer dit noodzakelijk is ter waarborging van de bescherming van de betrokkene zelf of van de rechten of vrijheden van anderen.

Bron: Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening en Uitvoeringswet Algemene verordening gegevensbescherming, Ministerie van Justitie en Veiligheid.

Datalekken

Soozijn heeft een procedure opgesteld betreft de meldplicht rondom datalekken. De procedure meldplicht datelekken is opgesteld op basis van de wet Algemene verordening gegevensbescherming (AVG). Deze meldplicht houdt in dat bedrijven en overheden direct een melding moeten doen zodra zij een (ernstig) datalek hebben geconstateerd.

Definitie datalek

Bij een datalek gaat het om toegang tot persoonsgegevens of vernietiging, wijziging of vrijkomen van gegevens zonder dat dat de bedoeling is. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook het onrechtmatig verwerken van gegevens. Er is sprake van een datalek als er inbreuk is op de beveiliging zoals bedoeld in artikel 32 van de AVG.

Overtreding meldplicht datalekken

Indien een datalek ten onrechte niet wordt gemeld bij de Autoriteit Persoonsgegevens, dan kan dit een aanzienlijk hoge geldboete opleveren. De maximale geldboete is tot 820.000 EURO of, als dat niet passend is 10% van de netto jaaromzet van de rechtspersoon. Bij een overtreding van de AVG  wordt een bestuurlijke boete van de 2e categorie opgelegd met een maximum van 500.000 EURO.

Melden datalekken

1.      Registreren van het geconstateerde datalek.

• Het datalek wordt als IB incident (informatiebeveiliging) geregistreerd middels een incidenten melding en wordt direct geëscaleerd naar de directie. De directie beoordeelt het gerapporteerde beveiligingsincident.

2.      De directie besluit of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens.

• Een datalek hoeft alleen gemeld te worden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als een aanzienlijke kans bestaat dat dit gebeurt. Bij een meldingsplicht dient het datalek te worden gemeld middels het formulier ‘Meldloket datalekken’ dat te vinden is op de website van de Autoriteit Persoonsgegevens.

3.      De directie besluit of het datalek gemeld moet worden aan de betrokkenen (werknemer/klant).

• De betrokkenen hoeven alleen geïnformeerd te worden als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. De melding aan de betrokkenen mag eventueel achterwege gelaten worden als er passende technische beschermingsmaatregelen zijn getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden door bijvoorbeeld goede encryptie.

4.      Het beoordelen van de noodzaak om maatregelen te treffen.

• Als de oorzaak bekend is, wordt bekeken of het noodzakelijk is om corrigerende maatregelen te treffen. De beslissing om te komen tot corrigerende maatregelen dient beoordeeld te worden tijdens de vaste overleggen of tussentijds in overleg met de directie. 

5.      Het vaststellen en doorvoeren van de benodigde maatregelen.

• Het vaststellen van de benodigde maatregelen wordt vastgelegd in notities, e-mails/brieven, verslagen, procedures of rapporten. Alle betrokkenen worden geïnformeerd en verzocht te handelen zoals de maatregel aangeeft.

6.      Het beoordelen van de getroffen maatregelen.

• Afhankelijk van de uitslag van de beoordeling wordt vastgesteld of een herbeoordeling noodzakelijk is, of er wederom maatregelen genomen moeten worden, of dat de maatregel voldoende is geweest. Verificatie van de doeltreffendheid van maatregelen wordt gedaan bij het vaststellen van de doeltreffendheid van de afgehandelde actiepunten.

Sanctiebeleid

Sancties zoals bepaald in de arbeidsovereenkomst als onderdeel van de geheimhoudingsverklaring voor met name bewuste acties die de organisatie schaadt zijn o.a. ontslag op staande voet en/of het verhalen van de gevolgschade op de betrokken personeelsleden. Sancties m.b.t. slecht omgaan met bedrijfsmiddelen (zoals bepaald in het bedrijfsreglement) zijn gericht op het verhalen van de reparatiekosten aan de bewuste persoon/personen.

Indien werkzaamheden worden uitbesteed aan derden dan is de bewerkersregeling van de AVG van toepassing. Met deze leveranciers zijn bewerkersovereenkomsten afgesloten.

Ondersteunend materiaal

Soozijn heeft gericht op datalekken, een protocol opgesteld. Dit protocol is voor medewerkers te achterhalen op Zillz (zorgadministratiesysteem). Voor u als lezer is de link naar dit protocol als gemakshalve bijgevoegd onderaan deze websitepagina.

Download hier onze Privacyverklaring

Download hier onze Procedure meldplicht