Woon- zorgboerderij Soozijn B.V. te Valthermond (hierna: ‘wij’, ‘we’, ‘ons’, ‘onze’ of ‘Soozijn’) verwerkt persoonsgegevens voor het goed functioneren van de instelling. Uiteraard gaan wij vertrouwelijk met persoonsgegevens om en voldoen wij aan de voorwaarden die worden gesteld in de Algemene Verordening Gegevensbescherming (AVG) en sectorspecifieke wetgeving. In deze privacyverklaring geven we meer informatie over de persoonsgegevens die wij verwerken en welke maatregelen we nemen om persoonsgegevens te beschermen.
1. Welke persoonsgegevens verwerken we en welke doeleinden?
Wij verwerken persoonsgegevens van cliënten, wettelijke vertegenwoordigers, familieleden, samenwerkende partijen, sollicitanten en websitebezoekers. Hieronder leggen we uit om welke persoonsgegevens het gaat, waarom deze gegevens worden verwerkt en wat de grondslag van de gegevensverwerking is.
Cliënten
Cliënten zijn personen die bij Soozijn verblijven (beschermd wonen en dagbesteding in groepen of individueel). Wij verwerken persoonsgegevens van onze cliënten om hun zo goed mogelijk te begeleiden in het hulpverleningsproces. De persoonsgegevens van cliënten zijn meestal op schrift gesteld in een dossier. De persoonsgegevens zijn ook opgeslagen in een elektronisch cliëntendossier. In een dossier worden ook gegevens omtrent de gezondheid verwerkt. Volgens de AVG zijn dit bijzondere categorieën persoonsgegevens. Met deze gegevens gaan wij uiteraard zeer vertrouwelijk om.
De volgende (bijzondere) persoonsgegevens van cliënten worden door ons verwerkt:
De (bijzondere) persoonsgegevens van cliënten mogen door Soozijn worden verwerkt ter uitvoering van de behandelingsovereenkomst die wij met de cliënt (en/of hun wettelijk vertegenwoordiger) hebben gesloten. Daarnaast hebben wij een wettelijke verplichting om het BSN van cliënten te verwerken.
Wettelijke vertegenwoordigers
In sommige gevallen heeft de cliënt een wettelijk vertegenwoordiger die bevoegd is om beslissingen te nemen namens de cliënt. Om contact te kunnen opnemen met de wettelijk vertegenwoordiger verwerken wij naam en contactgegevens (zoals telefoonnummer en e-mailadres). Het verwerken van deze persoonsgegevens is noodzakelijk om te voldoen aan de wettelijke verplichtingen die voortvloeien uit de behandelingsovereenkomst. Zo dient een wettelijk vertegenwoordiger (in beginsel) toestemming te geven voor de behandeling van de cliënt en heeft een wettelijk vertegenwoordiger (in beginsel) recht op informatie over de behandeling en de gezondheidstoestand van de cliënt.
Familieleden en overige contactpersonen
Wij verwerken tevens persoonsgegevens van familieleden van cliënten en overige contactpersonen (die niet kunnen worden aangemerkt als wettelijke vertegenwoordigers). Om contact te kunnen opnemen met deze personen verwerken wij hun naam en contactgegevens (zoals telefoonnummer en e-mailadres). Deze persoonsgegevens verwerken wij op basis van een gerechtvaardigd belang dat wij hebben om contact op te kunnen nemen met familieleden van cliënten en overige contactpersonen.
Samenwerkende partijen
Wij verwerken persoonsgegevens van personen van instanties waarmee de instelling samenwerkt (zoals zorgorganisaties en overheidsinstanties). Ook verwerken wij persoonsgegevens van personen van onze leveranciers. Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor de samenwerking. Hierbij kan gedacht worden aan naam, werkgever en contactgegevens. Deze persoonsgegevens verwerken wij op basis van de uitvoering van de overeenkomst die aan de samenwerking ten grondslag ligt.
Sollicitanten
Wij verwerken persoonsgegevens van sollicitanten. Hierbij kan gedacht worden aan CV’s, sollicitatiebrieven en e-mailadressen om te boordelen of wij sollicitanten geschikt vinden voor een eventuele functie binnen Soozijn. Deze persoonsgegevens verwerken wij op basis van de uitvoering van de (arbeids)overeenkomst in de precontractuele fase.
Websitebezoekers
Wij gebruiken cookies zodat websitebezoekers eenvoudig van onze website gebruik kunnen maken. Daarnaast gebruiken wij cookies om te meten hoe websitebezoekers onze website gebruiken en om informatie op de website beter op websitebezoekers af te stemmen. Voor meer informatie kunt u onze cookieverklaring raadplegen.
2. Aan wie worden persoonsgegevens verstrekt?
Onze medewerkers hebben ten aanzien van alle gegevens die worden verwerkt in het zorg- en dienstverleningstraject een beroepsgeheim. Soozijn deelt geen persoonsgegevens met derden, tenzij de cliënt hiervoor expliciete toestemming heeft gegeven, dit wettelijk is verplicht of er sprake is van zwaarwegend belang. Zo hebben wij een wettelijke verplichting om in bepaalde gevallen (bijzondere) persoonsgegevens te verstrekken aan het Zorgkantoor, de gemeente, het CAK, het CIZ en de Sociale Verzekeringsbank. Ook dienen wij gegevens aan te leveren voor kwaliteitsregistraties. Daarnaast geldt er een uitzondering in de wet voor het verstrekken van gegevens aan de wettelijk vertegenwoordiger van de cliënt.
Ter ondersteuning van onze zorgverlening maken wij gebruik van digitale systemen, zoals het elektronisch cliëntendossier Zilliz. Met de leveranciers van deze systemen hebben wij een verwerkersovereenkomst gesloten. Als een van onze leveranciers persoonsgegevens verwerkt buiten de Europese Economische Ruimte, dan zorgen wij ervoor dat er een passend beschermingsniveau bestaat.
Ten slotte hebben wij een wettelijke plicht om financiële gegevens door te geven aan de belastingdienst.
3. Welke maatregelen nemen we om persoonsgegevens te beschermen?
Wij nemen passende technische en organisatorische maatregen om uw persoonsgegevens te beschermen. Het gaat onder andere om de volgende beveiligingsmaatregelen:
4. Welke rechten heeft u als het gaat om uw persoonsgegevens?
U heeft onder omstandigheden de volgende rechten over uw persoonsgegevens:
Wanneer u gebruik wilt maken van uw rechten dan kunt u een verzoek sturen naar: info@soozijn.nl. Om uw verzoek in behandeling te kunnen nemen, vragen wij u om een kopie van een geldig identiteitsbewijs mee te sturen. Hierbij verzoeken we u dringend om het BSN en de pasfoto onleesbaar te maken. We nemen uw verzoek zo snel mogelijk in behandeling en u ontvangt uiterlijk binnen één maand een reactie op het verzoek. Afhankelijk van de complexiteit van uw verzoek kan de termijn met twee maanden worden verlengd. Wij brengen u binnen één maand op de hoogte van een dergelijke verlenging.
5. Hoe lang worden persoonsgegevens bewaard?
Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld en vastgelegd. Hierbij dienen wij rekening te houden met de geldende wettelijke bewaartermijnen.
Wij dienen ons te houden aan de volgende (wettelijke) bewaartermijnen:
6. Hoe om te gaan met datalekken?
Melden datalekken:
Sanctiebeleid
Sancties zoals bepaald in de arbeidsovereenkomst als onderdeel van de geheimhoudingsverklaring voor met name bewuste acties die de organisatie schaadt zijn o.a. ontslag op staande voet en/of het verhalen van de gevolgschade op de betrokken personeelsleden. Sancties m.b.t. slecht omgaan met bedrijfsmiddelen (zoals bepaald in het bedrijfsreglement) zijn gericht op het verhalen van de reparatiekosten aan de bewuste persoon/personen.
Indien werkzaamheden worden uitbesteed aan derden dan is de bewerkersregeling van de WBP van toepassing. Met deze leveranciers zijn bewerkersovereenkomsten afgesloten.
N.B. Alle datalekken worden geregistreerd in het register datalekken
“Soozijn”
>> HIERONDER IS NADERE INFORMATIE <<
Wat is de Algemene Verordening Gegevensbescherming?
De Algemene Verordening Gegevensbescherming (AVG) is één wet voor de gehele Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.
De Europese Privacy verordening is vastgesteld op 25 mei 2016 en trad in werking op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming
Voor de AVG wordt vaak de Engelse benaming gebruikt: GDPR – General Data Protection Regulation.
UAVG – nadere uitwerking van de AVG:
De AVG biedt de lidstaten van de EU de mogelijkheid bepaalde regelingen nader in te vullen. Nederland heeft dat gedaan in de UAVG: de Uitvoeringwet AVG.
Historie:
De AVG is de opvolger van de Wet Bescherming Persoonsgegevens uit 2001, die op haar beurt de Nederlandse uitwerking was van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat had op basis van die richtlijn uit 1995 zijn eigen privacywet opgesteld. Dit betekende dat de privacywetgeving in de verschillenden Europese lidstaten niet op elkaar aansloot.
Verordening versus richtlijn:
Een Europese richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij nationale regelgeving implementeren die voldoet aan de bepalingen van de richtlijn. Daarbij kunnen tussen de wetten van de lidstaten verschillen ontstaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten en hoeft dus niet meer in een nationale wet te worden omgezet. Hierdoor is er sprake van één, uniforme wetgeving.
In het geval van de AVG is er wel ruimte voor de lidstaten om op een beperkt aantal gebieden eigen regels vast te stellen, bijvoorbeeld met betrekking tot arbeid, zorg en sociale zekerheid.
Verwerkingsverantwoordelijke en verwerker:
Naast persoonsgegevens zijn de begrippen verwerkingsverantwoordelijke (Engels: ‘controller’) en verwerker (Engels: ‘processor’) belangrijk. Zie artikel 4 van de AVG voor de gehanteerde definities.
In de verordening is ruime aandacht voor uitbesteding van activiteiten aan subverwerkers.
Hieronder lichten we enkele belangrijke onderwerpen uit de Europese Privacy verordening toe:
Datalekken – melding van beveiligingsproblemen
In Nederland kenden we al de meldplicht voor datalekken. Deze regeling is nu in de AVG opgenomen, inclusief de verplichting een lek binnen 72 uur aan de toezichthouder te melden. De verwerker van de gegevens moet de verwerkingsverantwoordelijke ‘zonder onredelijke vertraging’ op de hoogte stellen van een datalek, zodat hij kan bepalen of er een melding aan de toezichthouder moet plaatsvinden. Als de gevolgen voor de betrokkenen groot zijn, moeten ook zij over het lek worden geïnformeerd.
Een verandering t.o.v. de oude Wet Meldplicht Datalekken is dat elk datalek in een intern datalekregister moet worden opgenomen. Dit geldt dus niet alleen voor datalekken die aan de toezichthouder moeten worden gemeld.
Lees meer hierover op de pagina datalekken
Verwerkersovereenkomst: verplichte onderdelen:
Volgens de AVG is het sluiten van een verwerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens namens hem verwerkt. Een verwerker mag alleen een externe partij (‘subverwerker’) inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.
De verordening (art. 28) noemt onderwerpen die in de verwerkersoverkomst moeten worden opgenomen. Dit zijn o.a.:
Privacy by Design & Privacy by Default:
Processen en diensten moeten ontwikkeld en ingericht worden met privacy als leidraad. Maatregelen in dit verband omvatten het pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens en natuurlijk het minimaliseren van de verwerking van persoonsgegevens.
Lees meer over Privacy by Design en Privacy by Default
Privacy Officer of Functionaris Gegevensbescherming:
De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Data Protection Impact Assessment (DPIA):
In een DPIA worden risico’s in kaart gebracht van verwerkingen die bijzondere risico’s met zich brengen, vooral wanneer ze met nieuwe technologieën worden uitgevoerd. Daarnaast bevat een DPIA maatregelen die beschrijven hoe deze risico’s kunnen worden beperkt. Een DPIA is in een aantal gevallen verplicht, zoals bij grootschalige verwerkingen van bijzondere persoonsgegevens, bij profilering en bij monitoring van openbaar toegankelijke ruimten.
In de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de term Privacy Impact Assessment (PIA) gebruikt.
Toepassingsgebied:
De AVG heeft een ruim toepassingsgebied en geldt voor alle organisaties, behalve voor overheidsinstellingen met een eigen wet (bijv. de Wet politiegegevens). Ook buiten de EU gevestigde organisaties vallen onder het bereik van de AVG, voor zover zij zich tenminste richten op de EU en gegevens van personen verwerken die zich in de EU bevinden. Daarbij is het niet relevant of de betrokken persoon voor het product of de dienst betaalt.
Documentatieplicht: bijhouden verwerkingsregister:
De verwerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Het verwerkingsregister moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens (denk aan de personeelsregistratie), als het waarschijnlijk is dat de verwerking risico’s voor de betrokkenen inhoud of als er bijzondere persoonsgegevens worden verwerkt.
De website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA biedt een model voor een register van verwerkingen. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.
7. Contactgegevens
Heeft u een vraag over deze privacyverklaring? Neem dan contact met ons op.
contactgegevens:
Woon- zorgboerderij Soozijn
Noorderdiep 176
7876 CH Valthermond
Telefoon: 085-0712207
E-mail: info@soozijn.nl