Privacyverklaring Woon- zorgboerderij Soozijn te Valthermond
Woon- zorgboerderij Soozijn B.V. te Valthermond (hierna: ‘wij’, ‘we’, ‘ons’, ‘onze’ of ‘Soozijn’) verwerkt persoonsgegevens voor het goed functioneren van de instelling. Uiteraard gaan wij vertrouwelijk met persoonsgegevens om en voldoen wij aan de voorwaarden die worden gesteld in de Algemene Verordening Gegevensbescherming (AVG) en sectorspecifieke wetgeving. In deze privacyverklaring geven we meer informatie over de persoonsgegevens die wij verwerken en welke maatregelen we nemen om persoonsgegevens te beschermen.
1. Welke persoonsgegevens verwerken we en welke doeleinden?
Wij verwerken persoonsgegevens van cliënten, wettelijke vertegenwoordigers, familieleden, samenwerkende partijen, sollicitanten en websitebezoekers. Hieronder leggen we uit om welke persoonsgegevens het gaat, waarom deze gegevens worden verwerkt en wat de grondslag van de gegevensverwerking is.
Cliënten
Cliënten zijn personen die bij Soozijn verblijven (beschermd wonen en dagbesteding in groepen of individueel). Wij verwerken persoonsgegevens van onze cliënten om hun zo goed mogelijk te begeleiden in het hulpverleningsproces. De persoonsgegevens van cliënten zijn meestal op schrift gesteld in een dossier. De persoonsgegevens zijn ook opgeslagen in een elektronisch cliëntendossier. In een dossier worden ook gegevens omtrent de gezondheid verwerkt. Volgens de AVG zijn dit bijzondere categorieën persoonsgegevens. Met deze gegevens gaan wij uiteraard zeer vertrouwelijk om.
De volgende (bijzondere) persoonsgegevens van cliënten worden door ons verwerkt:
- Naam, adres, postcode, woonplaats;
- Geboortedatum;
- Geboorteplaats;
- Geslacht;
- Telefoonnummer en emailadres;
- Burgerlijke staat;
- BSN;
- Verzekeringsgegevens;
- Cliëntnummer/registratienummer;
- Indicatie benodigde zorg;
- Medische en psychologische gegevens, indien van toepassing op de zorgverlening;
- Zorgtoewijzingen;
- Overeenkomsten;
- Soort ID en einddatum;
- Datum binnenkomst.
De (bijzondere) persoonsgegevens van cliënten mogen door Soozijn worden verwerkt ter uitvoering van de behandelingsovereenkomst die wij met de cliënt (en/of hun wettelijk vertegenwoordiger) hebben gesloten. Daarnaast hebben wij een wettelijke verplichting om het BSN van cliënten te verwerken.
Wettelijke vertegenwoordigers
In sommige gevallen heeft de cliënt een wettelijk vertegenwoordiger die bevoegd is om beslissingen te nemen namens de cliënt. Om contact te kunnen opnemen met de wettelijk vertegenwoordiger verwerken wij naam en contactgegevens (zoals telefoonnummer en e-mailadres). Het verwerken van deze persoonsgegevens is noodzakelijk om te voldoen aan de wettelijke verplichtingen die voortvloeien uit de behandelingsovereenkomst. Zo dient een wettelijk vertegenwoordiger (in beginsel) toestemming te geven voor de behandeling van de cliënt en heeft een wettelijk vertegenwoordiger (in beginsel) recht op informatie over de behandeling en de gezondheidstoestand van de cliënt.
Familieleden en overige contactpersonen
Wij verwerken tevens persoonsgegevens van familieleden van cliënten en overige contactpersonen (die niet kunnen worden aangemerkt als wettelijke vertegenwoordigers). Om contact te kunnen opnemen met deze personen verwerken wij hun naam en contactgegevens (zoals telefoonnummer en e-mailadres). Deze persoonsgegevens verwerken wij op basis van een gerechtvaardigd belang dat wij hebben om contact op te kunnen nemen met familieleden van cliënten en overige contactpersonen.
Samenwerkende partijen
Wij verwerken persoonsgegevens van personen van instanties waarmee de instelling samenwerkt (zoals zorgorganisaties en overheidsinstanties). Ook verwerken wij persoonsgegevens van personen van onze leveranciers. Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor de samenwerking. Hierbij kan gedacht worden aan naam, werkgever en contactgegevens. Deze persoonsgegevens verwerken wij op basis van de uitvoering van de overeenkomst die aan de samenwerking ten grondslag ligt.
Sollicitanten
Wij verwerken persoonsgegevens van sollicitanten. Hierbij kan gedacht worden aan CV’s, sollicitatiebrieven en e-mailadressen om te boordelen of wij sollicitanten geschikt vinden voor een eventuele functie binnen Soozijn. Deze persoonsgegevens verwerken wij op basis van de uitvoering van de (arbeids)overeenkomst in de precontractuele fase.
Websitebezoekers
Wij gebruiken cookies zodat websitebezoekers eenvoudig van onze website gebruik kunnen maken. Daarnaast gebruiken wij cookies om te meten hoe websitebezoekers onze website gebruiken en om informatie op de website beter op websitebezoekers af te stemmen. Voor meer informatie kunt u onze cookieverklaring raadplegen.
2. Aan wie worden persoonsgegevens verstrekt?
Onze medewerkers hebben ten aanzien van alle gegevens die worden verwerkt in het zorg- en dienstverleningstraject een beroepsgeheim. Soozijn deelt geen persoonsgegevens met derden, tenzij de cliënt hiervoor expliciete toestemming heeft gegeven, dit wettelijk is verplicht of er sprake is van zwaarwegend belang. Zo hebben wij een wettelijke verplichting om in bepaalde gevallen (bijzondere) persoonsgegevens te verstrekken aan het Zorgkantoor, de gemeente, het CAK, het CIZ en de Sociale Verzekeringsbank. Ook dienen wij gegevens aan te leveren voor kwaliteitsregistraties. Daarnaast geldt er een uitzondering in de wet voor het verstrekken van gegevens aan de wettelijk vertegenwoordiger van de cliënt.
Ter ondersteuning van onze zorgverlening maken wij gebruik van digitale systemen, zoals het elektronisch cliëntendossier Zilliz. Met de leveranciers van deze systemen hebben wij een verwerkersovereenkomst gesloten. Als een van onze leveranciers persoonsgegevens verwerkt buiten de Europese Economische Ruimte, dan zorgen wij ervoor dat er een passend beschermingsniveau bestaat.
Ten slotte hebben wij een wettelijke plicht om financiële gegevens door te geven aan de belastingdienst.
3. Welke maatregelen nemen we om persoonsgegevens te beschermen?
Wij nemen passende technische en organisatorische maatregen om uw persoonsgegevens te beschermen. Het gaat onder andere om de volgende beveiligingsmaatregelen:
- Wij zijn in het bezit van een ISO 9001:2015 certificering.
- Dossiers met persoonsgegevens worden beveiligd door middel van fysieke toegangsbeveiliging (zoals sloten).
- Persoonsgegevens in ons digitaal systeem worden afgeschermd door middel van authenticatie (zoals een wachtwoord).
- Onze medewerkers verwerken uitsluitend persoonsgegevens wanneer dit noodzakelijk is voor hun werkzaamheden.
- Onze medewerkers zijn ten aanzien van alle gegevens die worden verwerkt in het zorg- en dienstverleningstraject een geheimhoudingsverklaring ondertekend.
4. Welke rechten heeft u als het gaat om uw persoonsgegevens?
U heeft onder omstandigheden de volgende rechten over uw persoonsgegevens:
- U heeft het recht om uw persoonsgegevens in te zien.
- U heeft het recht om uw persoonsgegevens te laten wijzigen, indien uw persoonsgegevens onjuist of onvolledig zijn. Bij een professionele indruk, mening of conclusie is het niet mogelijk om uw persoonsgegevens te wijzigen. In dat geval kunt u een schriftelijk mening aan uw dossier toevoegen.
- U heeft het recht om uw persoonsgegevens te laten wissen, bijvoorbeeld wanneer de persoonsgegevens niet meer noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt. Wij kunnen uw persoonsgegevens niet wissen als wij zijn gebonden aan een wettelijke bewaartermijn.
- U heeft het recht om het gebruik van uw persoonsgegevens te laten beperken.
- U heeft het recht om uw persoonsgegevens te laten overdragen.
- U heeft het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens.
- U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Wanneer u gebruik wilt maken van uw rechten, dan kunt u een verzoek sturen naar: info@soozijn.nl. Om uw verzoek in behandeling te kunnen nemen, vragen wij u om een kopie van een geldig identiteitsbewijs mee te sturen. Hierbij verzoeken we u dringend om het BSN en de pasfoto onleesbaar te maken. We nemen uw verzoek zo snel mogelijk in behandeling en u ontvangt uiterlijk binnen één maand een reactie op het verzoek. Afhankelijk van de complexiteit van uw verzoek kan de termijn met twee maanden worden verlengd. Wij brengen u binnen één maand op de hoogte van een dergelijke verlenging.
5. Hoe lang worden persoonsgegevens bewaard?
Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld en vastgelegd. Hierbij dienen wij rekening te houden met de geldende wettelijke bewaartermijnen.
Wij dienen ons te houden aan de volgende (wettelijke) bewaartermijnen:
- De persoonsgegevens van cliënten dienen minimaal 20 jaar bewaard te blijven na einde zorgverlening of overlijden.
- De persoonsgegevens van een sollicitant (die de functie niet heeft gekregen) worden 4 weken na de het einde van de sollicitatieperiode verwijderd, tenzij met de sollicitant expliciet is overeengekomen dat zijn persoonsgegevens (maximaal) een jaar worden bewaard.
- Onze financiële administratie dient volgens de fiscale bewaarplicht minimaal 7 jaar bewaard te blijven.
6. Hoe om te gaan met datalekken?
Melden datalekken:
- Registreren van het geconstateerde datalek.
Het datalek wordt als IB (informatiebeveiliging incident geregistreerd middels een incidenten melding en wordt direct geëscaleerd naar de directie. De directie beoordeelt het gerapporteerde beveiligingsincident. - De directie besluit of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens.
Een datalek hoeft alleen gemeld te worden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als een aanzienlijke kans bestaat dat dit gebeurt. Bij een meldingsplicht dient het datalek te worden gemeld middels het formulier ‘Meldloket datalekken’ dat te vinden is op de website van de Autoriteit Persoonsgegevens - De directie besluit of het datalek gemeld moet worden aan de betrokkenen (werknemer/klant).
De betrokkenen hoeven alleen geïnformeerd te worden als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. De melding aan de betrokkenen mag eventueel achterwege gelaten worden als er passende technische beschermingsmaatregelen zijn getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden door bijvoorbeeld goede encryptie. - Het beoordelen van de noodzaak om maatregelen te treffen.
Als de oorzaak bekend is, wordt bekeken of het noodzakelijk is om corrigerende maatregelen te treffen. De beslissing om te komen tot corrigerende maatregelen dient beoordeeld te worden tijdens de vaste overleggen of tussentijds in overleg met de directie. - Het vaststellen en doorvoeren van de benodigde maatregelen.
Het vaststellen van de benodigde maatregelen wordt vastgelegd in notities, e-mails/brieven, verslagen, procedures of rapporten. Alle betrokkenen worden geïnformeerd en verzocht te handelen zoals de maatregel aangeeft. - Het beoordelen van de getroffen maatregelen.
Afhankelijk van de uitslag van de beoordeling wordt vastgesteld of een herbeoordeling noodzakelijk is, of er wederom maatregelen genomen moeten worden, of dat de maatregel voldoende is geweest. Verificatie van de doeltreffendheid van maatregelen wordt gedaan bij het vaststellen van de doeltreffendheid van de afgehandelde actiepunten.
Sanctiebeleid
Sancties, zoals bepaald in de arbeidsovereenkomst als onderdeel van de geheimhoudingsverklaring voor met name bewuste acties die de organisatie schaadt, zijn o.a. ontslag op staande voet en/of het verhalen van de gevolgschade op de betrokken personeelsleden. Sancties m.b.t. slecht omgaan met bedrijfsmiddelen (zoals bepaald in het bedrijfsreglement) zijn gericht op het verhalen van de reparatiekosten aan de bewuste persoon/personen.
Indien werkzaamheden worden uitbesteed aan derden, dan is de bewerkersregeling van de WBP van toepassing. Met deze leveranciers zijn bewerkersovereenkomsten afgesloten.
N.B. Alle datalekken worden geregistreerd in het register datalekken
“Soozijn”
>> HIERONDER IS NADERE INFORMATIE <<
Wat is de Algemene Verordening Gegevensbescherming?
De Algemene Verordening Gegevensbescherming (AVG) is één wet voor de gehele Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.
De Europese Privacy verordening is vastgesteld op 25 mei 2016 en trad in werking op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming
Voor de AVG wordt vaak de Engelse benaming gebruikt: GDPR – General Data Protection Regulation.
UAVG – nadere uitwerking van de AVG:
De AVG biedt de lidstaten van de EU de mogelijkheid bepaalde regelingen nader in te vullen. Nederland heeft dat gedaan in de UAVG: de Uitvoeringwet AVG.
Historie:
De AVG is de opvolger van de Wet Bescherming Persoonsgegevens uit 2001, die op haar beurt de Nederlandse uitwerking was van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat had op basis van die richtlijn uit 1995 zijn eigen privacywet opgesteld. Dit betekende dat de privacywetgeving in de verschillenden Europese lidstaten niet op elkaar aansloot.
Verordening versus richtlijn:
Een Europese richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij nationale regelgeving implementeren die voldoet aan de bepalingen van de richtlijn. Daarbij kunnen tussen de wetten van de lidstaten verschillen ontstaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten en hoeft dus niet meer in een nationale wet te worden omgezet. Hierdoor is er sprake van één, uniforme wetgeving.
In het geval van de AVG is er wel ruimte voor de lidstaten om op een beperkt aantal gebieden eigen regels vast te stellen, bijvoorbeeld met betrekking tot arbeid, zorg en sociale zekerheid.
Verwerkingsverantwoordelijke en verwerker:
Naast persoonsgegevens zijn de begrippen verwerkingsverantwoordelijke (Engels: ‘controller’) en verwerker (Engels: ‘processor’) belangrijk. Zie artikel 4 van de AVG voor de gehanteerde definities.
In de verordening is ruime aandacht voor uitbesteding van activiteiten aan subverwerkers.
Hieronder lichten we enkele belangrijke onderwerpen uit de Europese Privacy verordening toe:
Datalekken – melding van beveiligingsproblemen
In Nederland kenden we al de meldplicht voor datalekken. Deze regeling is nu in de AVG opgenomen, inclusief de verplichting een lek binnen 72 uur aan de toezichthouder te melden. De verwerker van de gegevens moet de verwerkingsverantwoordelijke ‘zonder onredelijke vertraging’ op de hoogte stellen van een datalek, zodat hij kan bepalen of er een melding aan de toezichthouder moet plaatsvinden. Als de gevolgen voor de betrokkenen groot zijn, moeten ook zij over het lek worden geïnformeerd.
Een verandering t.o.v. de oude Wet Meldplicht Datalekken is dat elk datalek in een intern datalekregister moet worden opgenomen. Dit geldt dus niet alleen voor datalekken die aan de toezichthouder moeten worden gemeld.
Lees meer hierover op de pagina datalekken
Verwerkersovereenkomst: verplichte onderdelen:
Volgens de AVG is het sluiten van een verwerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens namens hem verwerkt. Een verwerker mag alleen een externe partij (‘subverwerker’) inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.
De verordening (art. 28) noemt onderwerpen die in de verwerkersoverkomst moeten worden opgenomen. Dit zijn o.a.:
- Beschrijving van de verwerking
- Geheimhouding
- Beveiligingsmaatregelen
- Inschakelen sub-verwerkers
- Verbod op verwerking voor andere doeleinden
- Doorgifte naar derde landen
- Recht van audit
- Hoe om te gaan met datalekken
- Hoe te handelen bij verzoeken van betrokkenen (recht op inzage enz.)
- Duur en opzegging
Privacy by Design & Privacy by Default:
Processen en diensten moeten ontwikkeld en ingericht worden met privacy als leidraad. Maatregelen in dit verband omvatten het pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens en natuurlijk het minimaliseren van de verwerking van persoonsgegevens.
Lees meer over Privacy by Design en Privacy by Default
Privacy Officer of Functionaris Gegevensbescherming:
De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Data Protection Impact Assessment (DPIA):
In een DPIA worden risico’s in kaart gebracht van verwerkingen die bijzondere risico’s met zich brengen, vooral wanneer ze met nieuwe technologieën worden uitgevoerd. Daarnaast bevat een DPIA maatregelen die beschrijven hoe deze risico’s kunnen worden beperkt. Een DPIA is in een aantal gevallen verplicht, zoals bij grootschalige verwerkingen van bijzondere persoonsgegevens, bij profilering en bij monitoring van openbaar toegankelijke ruimten.
In de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de term Privacy Impact Assessment (PIA) gebruikt.
Toepassingsgebied:
De AVG heeft een ruim toepassingsgebied en geldt voor alle organisaties, behalve voor overheidsinstellingen met een eigen wet (bijv. de Wet politiegegevens). Ook buiten de EU gevestigde organisaties vallen onder het bereik van de AVG, voor zover zij zich tenminste richten op de EU en gegevens van personen verwerken die zich in de EU bevinden. Daarbij is het niet relevant of de betrokken persoon voor het product of de dienst betaalt.
Documentatieplicht: bijhouden verwerkingsregister:
De verwerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Het verwerkingsregister moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens (denk aan de personeelsregistratie), als het waarschijnlijk is dat de verwerking risico’s voor de betrokkenen inhoud of als er bijzondere persoonsgegevens worden verwerkt.
De website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA biedt een model voor een register van verwerkingen. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.
7. Contactgegevens
Heeft u een vraag over deze privacyverklaring? Neem dan contact met ons op.
Contactgegevens:
Woon- zorgboerderij Soozijn
Noorderdiep 176
7876 CH Valthermond
Telefoon: 085-0712207
E-mail: info@soozijn.nl