Home » AVG/Privacybeleid

AVG/Privacybeleid

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

Richtlijn

 

1. Inleiding

Met ingang van 25 mei 2018 moet iedere organisatie voldoen aan de AVG. Hierin zijn regels gesteld voor alle organisaties die gegevens van personen registreren en digitaal en/of op papier bewaren. De Coöperatie Zorgaanbieders Midden Nederland U.A. heeft hiervoor deze richtlijn opgesteld, Puur Persoonlijk, als lid van de Coöperatie, voldoet hiermee aan deze A.V.G.

De AVG is een in Europees verband vastgelegde verordening met daarin regels over het omgaan met privacygevoelige gegevens.

Voor een beschrijving van de AVG met daarin de links naar de AVG zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf

De Wet bescherming persoonsgegevens, is dan niet meer van toepassing.

De Autoriteit Persoonsgegevens (AP) is de organisatie die namens de wetgever de uitvoering van de wet bewaakt.

De AVG zorgt voor onder meer voor:

1. Versterking en uitbreiding van privacy rechten
2. Meer verantwoordelijkheid voor organisaties

2. Bewustwording

Iedereen die binnen Puur Persoonlijk  actief is in welke vorm of hoedanigheid ook moet ervan bewust zijn dat gewerkt wordt met gegevens en kennis van en over mensen die zorg ontvangen. Dit zijn enerzijds gegevens zoals Burgerservicenummer en adresgegevens en anderzijds gegevens over gezondheid achtergrond etc.

Dit geldt voor de professional, maar ook voor de vrijwilliger.

Duidelijk moet zijn dat voor het registreren van persoonsgegevens een gerede grondslag moet zijn.

3. Grondslag

De grondslag voor het registreren van persoonsgegevens is de indicatie of overeenkomst t.b.v. de uitvoering van de diensten aan inwoners die voor een WMO-, WLZ- Participatiewet- en/of JZ-voorziening zijn geïndiceerd, alsmede organisaties die via Zorgverzekeringswet, UWV, diensten verlenen waarbij registratie van persoonsgegevens essentieel is voor de uitvoering van de diensten.

4. Soorten gegevensverwerking

Binnen de AVG zijn verschillende categorieën beschreven. De gegevens die Puur Persoonlijk ontvangt van de indicerende organisatie zijn van dien aard dat deze vallen onder de categorie: 

1. Verwerken van persoonsgegevens
2. Grondslag: Noodzakelijk voor de uitvoering van een overeenkomst.
3. Voorbeeld: Crediteuren, debiteuren (adresgegevens, bankgegevens.)
4. Gegevens vrijwilligers (Naam adres, tel.)
5. Verwerken van bijzondere persoonsgegevens
6. Gegevens over inwoners waar zorg aan wordt geleverd. (Gezondheid, BSN etc.)
7. Wettelijk verplichte gegevens van personeelsleden (BSN, Legitimatiebewijs)
8. Strafrechtelijke persoonsgegevens
9. Gegevens op basis van een rechterlijke machtiging 

5. Niet-Incidentele gegevensverwerking persoonsgegevens

Hiermee worden de gegevens bedoeld die door de opdrachtgever voor een dienstverlening wordt verstrekt om de organisatie te informeren voor welke diensten de persoon ik kwestie is geïndiceerd. Bijvoorbeeld een WMO301 of JW301 bericht (Toewijzing).

6. Incidentele gegevensverwerking persoonsgegevens

Gegevens die voor korte duur incidenteel noodzakelijk zijn voor de organisatie om en dienst of diensten te verlenen. Bijvoorbeeld een deelnemerslijst met personeelsgegevens t.b.v. een cursus, bijeenkomst of een activiteit waarbij het van belang is personeelsgegevens te registreren.

7. Rechtmatigheid registratie

Binnen de AVG is vastgelegd of persoonsgegevens mogen worden geregistreerd en in een overzicht weergegeven (Zie Bijlage). Hierbij wordt aangegeven of registratie van persoonsgegevens rechtmatig is of niet.

Kan er op een situatie Ja worden ingevuld is registratie rechtmatig.

Van belang is te bezien of registratie van persoonsgegevens noodzakelijk is en tevens moet worden beoordeeld, welke gegevens moeten worden geregistreerd.

8. Verwerken van persoonsgegevens

Het verwerken van persoonsgegevens binnen een organisatie moet worden beschreven door de ‘Verwerkingsverantwoordelijke’.

Als verwerkingsverantwoordelijke wordt de rechtspersoon bedoeld die genoodzaakt is persoonsgegevens te registreren. Als rechtspersoon wordt een BV, VOF, Eenmansbedrijf een stichting, vereniging, maatschap enz.

Gezien het feit dat er binnen de Puur Persoonlijk  bijzonder persoonsgegevens worden vastgelegd houden wij ons , een register op te zetten waarin de volgende onderdelen moeten worden opgenomen:

1. onze naam en contactgegevens, of indien van toepassing die van onze vertegenwoordiger;
2. waar van toepassing de naam en contactgegevens van partijen waarmee wij gezamenlijk verwerkingsverantwoordelijke zijn ;

1. de contactgegevens van onze functionaris voor gegevensbescherming die is aangesteld;
2. de verwerkingsdoeleinden;
3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisatie;
5. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie. Daarbij dient u ook de documenten inzake de passende waarborgen te vermelden;
6. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
7. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het is duidelijk dat een aantal onderwerpen niet relevant zijn in de uitvoering van de werkzaamheden binnen Puur Persoonlijk.

9. Verwerker

De verwerker is de aangewezen persoon die door de Verwerkingsverantwoordelijke is aangewezen de gegevens te registreren. De verwerker heeft een verwerkersovereenkomst ondertekend.

De Verwerker houdt een verwerkingsregister bij. Het verwerkingsregister is een dynamisch document dat steeds wordt bijgewerkt als er nieuwe verwerkingsmethoden worden gebruikt.

 

10. Toestemmingsverklaring registratie.

Iedereen waarvan persoonsgegevens worden geregistreerd, moet hiervoor toestemming geven en worden geïnformeerd over registratie, doel etc.

Hier zijn 2 situaties op van toepassing:

1. Gegevens worden van de persoon zelf ontvangen

Als gegevens van een persoon direct van hem/haar wordt ontvangen, moet deze schriftelijk toestemming geven voor het verwerken van de gegevens. Tevens moet dan informatie worden verstrekt over de rechten van betrokkene betreffende de registratie.

Deze situatie doet zich voor bij het aangaan van een PGB-overeenkomst. Dan ontvangt u de gegevens rechtstreeks van de persoon in kwestie en niet via een ‘derde’. 

1. Gegevens komen van derden zoals in geval binnen de CZMN, Puur Persoonlijk, de gemeenten.

De eerste die gegevens verwerkt moet een toestemmingsverklaring hebben van de betrokken persoon. In deze gevallen de gemeenten. Dit geldt bij de toewijzingsberichten (WMO/JW 301 berichten)

De registrerende organisatie, moet betrokkene wel informeren dat persoonsgegevens worden geregistreerd en deze informeren over de rechten die een geregistreerde heeft. 

11. Rechten geregistreerde

Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke.

De betrokkene heeft:

1. het recht op informatie over de verwerkingen;
2. het recht op inzage in zijn gegevens;
3. het recht op correctie van de gegevens als deze niet kloppen;
4. het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
5. het recht op beperking van de gegevensverwerking;
6. het recht op verzet tegen de gegevensverwerking;
7. het recht op overdracht van zijn gegevens (dataportabiliteit);
8. het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Toelichting:

Voor dienst/zorgverlening aan inwoners is het verstandig in de zorgovereenkomst een bijlage toe te voegen, waarin de rechten zijn opgenomen en hoe de betrokken gebruik kan maken van zijn rechten in het kader van de gegevensbescherming.  Een zorgovereenkomst moet immers ondertekend zijn door de zorgvrager en/of zijn/haar wettelijke vertegenwoordiger.

Onder dataportabilteit wordt onder ander bedoeld dat de betrokken persoon, als deze daarom vraagt recht heeft op een kopie van de gegevens die zijn geregistreerd. Dit kan digitaal of op papier zijn.

12. Functionaris voor de gegevensbescherming (FG)

Aangezien dat binnen Puur Persoonlijk  vrijwel altijd bijzondere persoonsgegevens worden geregistreerd is het verplicht een Functionaris voor de gegevensbescherming aan te stellen. Dit mag 1 persoon zijn voor Puur Persoonlijk.

13. Geheimhoudingsverklaring

Alle personen die toegang hebben tot persoonsgegevens dienen een geheimhoudingsverklaring te tekenen. 

14. Recht op inzage persoonsgegevens

Recht op inzage persoonsgegevens hebben alleen:

1. Betrokken geregistreerd persoon en/of hem of haar wettelijke vertegenwoordiger;
2. Geautoriseerde medewerker;
3. De Functionaris gegevensbescherming;
4. De Autoriteit Persoonsgegevens.

15. Verlies van persoonsgegevens

Hiermee wordt bedoeld dat geregistreerde persoonsgegevens in verkeerde handen komt, bijvoorbeeld doordat uw systeem is gehackt, dat u een gegevensdrager (USB-stick, telefoon, tablet, laptop) met daarop data van personen bent verloren of kwijtgeraakt of dat bij een inbraak dossiers zijn meegenomen.

In dat geval moet u binnen drie dagen hiervan melding maken bij de Autoriteit Persoonsgegevens.

Tevens moet u de personen waarvan de gegevens in verkeerde handen kunnen zijn gekomen hierover informeren.

 

U kunt dit via deze link:  https://datalekken.autoriteitpersoonsgegevens.nl/

 

Opmerking:

Het is raadzaam om de data van personen niet op USB-sticks, mobiele telefoons, tablets te bewaren. Als u gebruik maakt van een server of van een opslag in de ‘cloud’ zoals Dropbox en Onedrive zorg dan ervoor dat deze data niet op mobiele gegevensdragers kunnen worden opgeslagen.

 

Puur Persoonlijk

P.W.C.Pelzer