Begripsbepalingen

In dit reglement wordt verstaan onder:

  • de wet: de Wet Bescherming Persoonsgegevens;
  • persoonsgegevens: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon;
  • verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens;
  • bestand: elk samenhangend geheel van persoonsgegevens, ongeacht of dit geheel van gegevens bij elkaar of gescheiden van elkaar wordt verzameld, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
  • verantwoordelijke: degene die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke is de directeur van stichting AanZien.
  • bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen;
  • betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  • derde: ieder ander dan de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
  • ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
  • toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt;
  • verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  • verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
  • beroepsgeheim: het geheimhouden (de plicht en het recht daartoe) van zaken die men krachtens zijn beroep weet
  • beroepsethiek; geheel van waarden en normen die het handelen van (een lid van) een beroepsgroep stuurt of zou moeten sturen
  • gezondheidsgegevens: alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.
  • vertegenwoordiging betrokkene: Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt of onder curatele is gesteld, dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene de toestemming van zijn wettelijk vertegenwoordiger vereist. Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.

 

1. Doel van het reglement

De Wet Bescherming Persoonsgegevens (WBP) vereist dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.

Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens voor AanZien B.V..

2. Bereik

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Dit reglement is van toepassing binnen AanZien en heeft betrekking op de verwerkingen van persoonsgegevens van cliënten, medewerkers, stagiaires, vrijwilligers, directie en Raad van Toezicht.

3. Doel van de gegevensverwerking

Persoonsgegevens mogen alleen worden verwerkt voor een bepaald doel. Dit doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn.

De gegevensverwerking mag niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. Er mogen niet meer gegevens worden verzameld dan nodig voor het doel.

4. Doelstellingen voor cliënten

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

  • Een goede uitvoering van de hulp- en dienstverlening die door de organisatie wordt verleend;
  • Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;
  • Het stimuleren van een permanente vorm van kwaliteitscontrole;
  • Het financieel afhandelen van de geboden hulp en diensten aan de cliënt met de cliënt dan wel met de opdrachtgever of financier;
  • Het verantwoorden van de organisatie aan opdrachtgevers en aan de overheid conform dit reglement, de voor deze tijd geldende voorschriften en wettelijke verplichtingen;
  • Het evalueren en onderzoeken van de hulp- en dienstverlening.

5. Doelstellingen voor medewerkers

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

  • Een goede uitvoering van het personeelsbeleid van de organisatie;
  • Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;
  • Het stimuleren van een permanente vorm van kwaliteitscontrole;

Het verantwoorden van de organisatie aan opdrachtgevers, uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de voor deze tijd geldende voorschriften en wettelijke verplichtingen;

  • Het evalueren en onderzoeken van personeelsbeleid en arbeidsmarktontwikkelingen.
  • Het financieel afhandelen van salaris, vergoedingen en inhoudingen.

6. Grondslagen voor de gegevensverwerking

Persoonsgegevens mogen slechts worden verwerkt indien aan tenminste een van de onderstaande voorwaarden is voldaan:

  • De betrokkene heeft ondubbelzinnig toestemming verleend;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  • De verwerking is noodzakelijk voor de uitvoering van een wettelijke plicht;
  • De verwerking is noodzakelijk ter vrijwaring ter behartiging van een vitaal belang van de betrokkene;
  • De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

7. Kwaliteit van de gegevensverwerking

De gegevens moeten gelet op het doel waarvoor ze worden verwerkt:

  • Niet bovenmatig zijn;
  • Toereikend zijn;
  • Ter zake dienend;
  • Juist en nauwkeurig zijn

8. Opgenomen gegevens

De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën bevatten:

  • Personalia/identificatiegegevens
  • Financiële/administratieve gegevens
  • Voorgeschiedenis en sociale omgeving (alleen voor cliënten)

Bijzondere gegevens over etnische afkomst, ras, godsdienst, seksualiteit of levensovertuiging mogen alleen worden geregistreerd wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven of wanneer het deel uitmaakt van een etnische doelgroep.

9. Informatieverstrekking over verwerking persoonsgegevens

De betrokkene dient geïnformeerd te worden over de verwerking van persoonsgegevens.

9.1. Cliënt

AanZien informeert de cliënt tijdens het eerste contact waarbij registratie plaatsvindt dat er persoonsgegevens worden geregistreerd. Tevens wordt de cliënt geïnformeerd over het bestaan en de wijze van opvragen van het Privacyreglement en de manier van toestemming geven.

9.2. Medewerker

AanZien informeert de medewerker tijdens het introductiegesprek en door middel van de informatieset bij indiensttreding dat er persoonsgegevens worden geregistreerd.

De medewerker kan het Privacyreglement raadplegen via het digitale handboek kwaliteit of een exemplaar opvragen.

10.Uitwisselen van gegevens

10.1. Verstrekking van gegevens van cliënten of medewerkers binnen de organisatie

Binnen AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt aan medewerkers, voor zover dit voor hun taakuitoefening noodzakelijk is.

10.2. Verstrekking van gegevens van cliënten buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Degenen, die rechtstreeks betrokken zijn bij de actuele hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;
  • Aan organen genoemd in de Wlz of Wmo, ten behoeve van de financiering van de hulpverlening;
  • Het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de cliënt niet onevenredig wordt geschaad, of
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

10.3. Verstrekking van gegevens van medewerkers buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Pensioenfondsen;
  • Uitvoerings- en uitkeringsinstanties;
  • Belastingdienst;
  • Arbodienst;
  • Arbeidsinspectie;
  • Verzekeringsmaatschappijen ten behoeve van persoonlijke en collectieve verzekeringen

Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen

10.4. Verstrekking van gegevens ten behoeve van wetenschappelijk onderzoek

Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van welzijn worden verstrekt, indien aan tenminste één van de volgende voorwaarden is voldaan:

  • Het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

Voorts is dit slechts mogelijk indien:

  • Het onderzoek een algemeen belang dient;
  • Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
  • Op basis van een degelijke onderzoeksvraag en onderzoeksmethodologie.

10.5. Toestemming voor verstrekking van gegevens

Voor het verstrekken van persoonsgegevens aan derden is de toestemming van betrokkene vereist, tenzij er sprake is van bovengenoemde situaties of wanneer het noodzakelijk is ter uitvoering van een wettelijk voorschrift.

Indien verstrekking buiten de doelstelling van de gegevensverwerking valt, dient de toestemming schriftelijk verleend te worden.

10.6. Gegevens elders verkregen:

Bij verkrijging van gegevens buiten de betrokkene om deelt de verantwoordelijke de betrokkene mede:

  • Zijn identiteit;
  • Het doel van de verwerking waarvoor de gegevens zijn bestemd.

Het moment waarop dat moet gebeuren is:

  • Het moment dat de verantwoordelijke de gegevens vastlegt of
  • als de verantwoordelijke de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken: uiterlijk op het moment van eerste verstrekking aan die derde.

De verantwoordelijke verstrekt nadere informatie voor zover dat - gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt - nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Het is niet van toepassing indien de daar bedoelde mededeling onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

11.Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens.
  2. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.

De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen bewerker en verantwoordelijke.

De verantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen.

11.1. Verantwoordelijkheid van de bewerker

De verantwoordelijke verplicht de bewerker dit reglement na te leven. De verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd.

De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.

12.Beveiliging van gegevensverwerking

12.1. Autorisaties

Er zijn per medewerker gebruikersrechten toegekend voor het gebruik van software van de organisatie door middel van een wachtwoord en/of autorisatie per functie.

Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.

Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn.

12.2. Back-up regeling

Er wordt regelmatig een back-up gemaakt van de registratie- en administratiebestanden, zodat gegevens niet verloren gaan.

12.3. Dossierbeveiliging

De in de instelling aanwezige (papieren) dossiers worden bewaard in een ruimte waar cliënten geen toegang toe hebben en buiten werktijd achter slot en grendel bewaard.

13.Bewaartermijnen

De bewaartermijnen van documenten, persoonsgegevens en andere zaken zijn vastgelegd in het document ‘9.3 Richtlijnen Archivering’.

14.Recht op inzage

De betrokkene, of zijn vertegenwoordiger, heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben.

Een verzoek tot inzage wordt door de betrokkene schriftelijk ingediend bij de teamleider waarvan diensten worden afgenomen of waarbij de medewerker werkzaam is.

De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden. Voor inzage plaats kan vinden, dient de verzoeker zich te legitimeren.

14.1. Beperkingen voor inzage en afschrift

De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:

  • De opsporing en vervolging van strafbare feiten;
  • De bescherming van de betrokkene of van de rechten en vrijheden van anderen.

15.Recht op correctie, aanvulling, verwijdering

Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.

De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd.

16.Melding van verwerking van gegevens

Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen bestemd is, wordt aangemeld bij het College Bescherming Persoonsgegevens, voordat met de verwerking wordt begonnen.

De niet geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen is bestemd, wordt aangemeld indien deze is onderworpen aan voorafgaand onderzoek. Voorafgaand onderzoek vindt plaats indien de verantwoordelijke van plan is:

  • Een persoonsidentificatienummer te verwerken voor een ander doel dan waarvoor het bestemd is en om daardoor gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke;
  • Gegevens op grond van eigen waarneming vast te leggen, zonder de verantwoordelijke daarvan op de hoogte te stellen;
  • Strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden.

In de melding staan aangegeven:

  • de naam en het adres van de verantwoordelijke;
  • het doel of de doelen van de verwerking;
  • een beschrijving van de categorieën van betrokkenen en van de (categorieën van) gegevens die daarop betrekking hebben;
  • de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt.

17.Klachtenregeling

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich richten tot:

  • De verantwoordelijke;
  • Het eventueel binnen de onderneming functionerende orgaan voor onafhankelijke klachtenbehandeling
  • De rechtbank, in de gevallen als bedoeld in artikel 46 van de wet en
  • Het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke.

18.Wijzigingen inwerkingtreding en afschrift

Wijzigingen in reglement worden aangebracht door de verantwoordelijke, de directie van AanZien.

19.Onvoorzien

In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.

7. Kwaliteit van de gegevensverwerking

De gegevens moeten gelet op het doel waarvoor ze worden verwerkt:

  • Niet bovenmatig zijn;
  • Toereikend zijn;
  • Ter zake dienend;
  • Juist en nauwkeurig zijn

8. Opgenomen gegevens

De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën bevatten:

  • Personalia/identificatiegegevens
  • Financiële/administratieve gegevens
  • Voorgeschiedenis en sociale omgeving (alleen voor cliënten)

Bijzondere gegevens over etnische afkomst, ras, godsdienst, seksualiteit of levensovertuiging mogen alleen worden geregistreerd wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven of wanneer het deel uitmaakt van een etnische doelgroep.

9. Informatieverstrekking over verwerking persoonsgegevens

De betrokkene dient geïnformeerd te worden over de verwerking van persoonsgegevens.

9.1. Cliënt

AanZien informeert de cliënt tijdens het eerste contact waarbij registratie plaatsvindt dat er persoonsgegevens worden geregistreerd. Tevens wordt de cliënt geïnformeerd over het bestaan en de wijze van opvragen van het Privacyreglement en de manier van toestemming geven.

9.2. Medewerker

AanZien informeert de medewerker tijdens het introductiegesprek en door middel van de informatieset bij indiensttreding dat er persoonsgegevens worden geregistreerd.

De medewerker kan het Privacyreglement raadplegen via het digitale handboek kwaliteit of een exemplaar opvragen.

10.Uitwisselen van gegevens

10.1. Verstrekking van gegevens van cliënten of medewerkers binnen de organisatie

Binnen AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt aan medewerkers, voor zover dit voor hun taakuitoefening noodzakelijk is.

10.2. Verstrekking van gegevens van cliënten buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Degenen, die rechtstreeks betrokken zijn bij de actuele hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;
  • Aan organen genoemd in de Wlz of Wmo, ten behoeve van de financiering van de hulpverlening;
  • Het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de cliënt niet onevenredig wordt geschaad, of
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

10.3. Verstrekking van gegevens van medewerkers buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Pensioenfondsen;
  • Uitvoerings- en uitkeringsinstanties;
  • Belastingdienst;
  • Arbodienst;
  • Arbeidsinspectie;
  • Verzekeringsmaatschappijen ten behoeve van persoonlijke en collectieve verzekeringen

Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen

10.4. Verstrekking van gegevens ten behoeve van wetenschappelijk onderzoek

Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van welzijn worden verstrekt, indien aan tenminste één van de volgende voorwaarden is voldaan:

  • Het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

Voorts is dit slechts mogelijk indien:

  • Het onderzoek een algemeen belang dient;
  • Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
  • Op basis van een degelijke onderzoeksvraag en onderzoeksmethodologie.

10.5. Toestemming voor verstrekking van gegevens

Voor het verstrekken van persoonsgegevens aan derden is de toestemming van betrokkene vereist, tenzij er sprake is van bovengenoemde situaties of wanneer het noodzakelijk is ter uitvoering van een wettelijk voorschrift.

Indien verstrekking buiten de doelstelling van de gegevensverwerking valt, dient de toestemming schriftelijk verleend te worden.

10.6. Gegevens elders verkregen:

Bij verkrijging van gegevens buiten de betrokkene om deelt de verantwoordelijke de betrokkene mede:

  • Zijn identiteit;
  • Het doel van de verwerking waarvoor de gegevens zijn bestemd.

Het moment waarop dat moet gebeuren is:

  • Het moment dat de verantwoordelijke de gegevens vastlegt of
  • als de verantwoordelijke de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken: uiterlijk op het moment van eerste verstrekking aan die derde.

De verantwoordelijke verstrekt nadere informatie voor zover dat - gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt - nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Het is niet van toepassing indien de daar bedoelde mededeling onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

11.Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens.
  2. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.

De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen bewerker en verantwoordelijke.

De verantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen.

11.1. Verantwoordelijkheid van de bewerker

De verantwoordelijke verplicht de bewerker dit reglement na te leven. De verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd.

De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.

12.Beveiliging van gegevensverwerking

12.1. Autorisaties

Er zijn per medewerker gebruikersrechten toegekend voor het gebruik van software van de organisatie door middel van een wachtwoord en/of autorisatie per functie.

Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.

Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn.

12.2. Back-up regeling

Er wordt regelmatig een back-up gemaakt van de registratie- en administratiebestanden, zodat gegevens niet verloren gaan.

12.3. Dossierbeveiliging

De in de instelling aanwezige (papieren) dossiers worden bewaard in een ruimte waar cliënten geen toegang toe hebben en buiten werktijd achter slot en grendel bewaard.

13.Bewaartermijnen

De bewaartermijnen van documenten, persoonsgegevens en andere zaken zijn vastgelegd in het document ‘9.3 Richtlijnen Archivering’.

14.Recht op inzage

De betrokkene, of zijn vertegenwoordiger, heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben.

Een verzoek tot inzage wordt door de betrokkene schriftelijk ingediend bij de teamleider waarvan diensten worden afgenomen of waarbij de medewerker werkzaam is.

De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden. Voor inzage plaats kan vinden, dient de verzoeker zich te legitimeren.

14.1. Beperkingen voor inzage en afschrift

De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:

  • De opsporing en vervolging van strafbare feiten;
  • De bescherming van de betrokkene of van de rechten en vrijheden van anderen.

15.Recht op correctie, aanvulling, verwijdering

Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.

De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd.

16.Melding van verwerking van gegevens

Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen bestemd is, wordt aangemeld bij het College Bescherming Persoonsgegevens, voordat met de verwerking wordt begonnen.

De niet geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen is bestemd, wordt aangemeld indien deze is onderworpen aan voorafgaand onderzoek. Voorafgaand onderzoek vindt plaats indien de verantwoordelijke van plan is:

  • Een persoonsidentificatienummer te verwerken voor een ander doel dan waarvoor het bestemd is en om daardoor gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke;
  • Gegevens op grond van eigen waarneming vast te leggen, zonder de verantwoordelijke daarvan op de hoogte te stellen;
  • Strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden.

In de melding staan aangegeven:

  • de naam en het adres van de verantwoordelijke;
  • het doel of de doelen van de verwerking;
  • een beschrijving van de categorieën van betrokkenen en van de (categorieën van) gegevens die daarop betrekking hebben;
  • de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt.

17.Klachtenregeling

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich richten tot:

  • De verantwoordelijke;
  • Het eventueel binnen de onderneming functionerende orgaan voor onafhankelijke klachtenbehandeling
  • De rechtbank, in de gevallen als bedoeld in artikel 46 van de wet en
  • Het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke.

18.Wijzigingen inwerkingtreding en afschrift

Wijzigingen in reglement worden aangebracht door de verantwoordelijke, de directie van AanZien.

19.Onvoorzien

In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.

9. Informatieverstrekking over verwerking persoonsgegevens

De betrokkene dient geïnformeerd te worden over de verwerking van persoonsgegevens.

9.1. Cliënt

AanZien informeert de cliënt tijdens het eerste contact waarbij registratie plaatsvindt dat er persoonsgegevens worden geregistreerd. Tevens wordt de cliënt geïnformeerd over het bestaan en de wijze van opvragen van het Privacyreglement en de manier van toestemming geven.

9.2. Medewerker

AanZien informeert de medewerker tijdens het introductiegesprek en door middel van de informatieset bij indiensttreding dat er persoonsgegevens worden geregistreerd.

De medewerker kan het Privacyreglement raadplegen via het digitale handboek kwaliteit of een exemplaar opvragen.

10.Uitwisselen van gegevens

10.1. Verstrekking van gegevens van cliënten of medewerkers binnen de organisatie

Binnen AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt aan medewerkers, voor zover dit voor hun taakuitoefening noodzakelijk is.

10.2. Verstrekking van gegevens van cliënten buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Degenen, die rechtstreeks betrokken zijn bij de actuele hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;
  • Aan organen genoemd in de Wlz of Wmo, ten behoeve van de financiering van de hulpverlening;
  • Het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de cliënt niet onevenredig wordt geschaad, of
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

10.3. Verstrekking van gegevens van medewerkers buiten de organisatie

Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  • Pensioenfondsen;
  • Uitvoerings- en uitkeringsinstanties;
  • Belastingdienst;
  • Arbodienst;
  • Arbeidsinspectie;
  • Verzekeringsmaatschappijen ten behoeve van persoonlijke en collectieve verzekeringen

Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen

10.4. Verstrekking van gegevens ten behoeve van wetenschappelijk onderzoek

Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van welzijn worden verstrekt, indien aan tenminste één van de volgende voorwaarden is voldaan:

  • Het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
  • Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

Voorts is dit slechts mogelijk indien:

  • Het onderzoek een algemeen belang dient;
  • Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
  • Op basis van een degelijke onderzoeksvraag en onderzoeksmethodologie.

10.5. Toestemming voor verstrekking van gegevens

Voor het verstrekken van persoonsgegevens aan derden is de toestemming van betrokkene vereist, tenzij er sprake is van bovengenoemde situaties of wanneer het noodzakelijk is ter uitvoering van een wettelijk voorschrift.

Indien verstrekking buiten de doelstelling van de gegevensverwerking valt, dient de toestemming schriftelijk verleend te worden.

10.6. Gegevens elders verkregen:

Bij verkrijging van gegevens buiten de betrokkene om deelt de verantwoordelijke de betrokkene mede:

  • Zijn identiteit;
  • Het doel van de verwerking waarvoor de gegevens zijn bestemd.

Het moment waarop dat moet gebeuren is:

  • Het moment dat de verantwoordelijke de gegevens vastlegt of
  • als de verantwoordelijke de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken: uiterlijk op het moment van eerste verstrekking aan die derde.

De verantwoordelijke verstrekt nadere informatie voor zover dat - gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt - nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Het is niet van toepassing indien de daar bedoelde mededeling onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

11.Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens.
  2. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.

De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen bewerker en verantwoordelijke.

De verantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen.

11.1. Verantwoordelijkheid van de bewerker

De verantwoordelijke verplicht de bewerker dit reglement na te leven. De verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd.

De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.

12.Beveiliging van gegevensverwerking

12.1. Autorisaties

Er zijn per medewerker gebruikersrechten toegekend voor het gebruik van software van de organisatie door middel van een wachtwoord en/of autorisatie per functie.

Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.

Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn.

12.2. Back-up regeling

Er wordt regelmatig een back-up gemaakt van de registratie- en administratiebestanden, zodat gegevens niet verloren gaan.

12.3. Dossierbeveiliging

De in de instelling aanwezige (papieren) dossiers worden bewaard in een ruimte waar cliënten geen toegang toe hebben en buiten werktijd achter slot en grendel bewaard.

13.Bewaartermijnen

De bewaartermijnen van documenten, persoonsgegevens en andere zaken zijn vastgelegd in het document ‘9.3 Richtlijnen Archivering’.

14.Recht op inzage

De betrokkene, of zijn vertegenwoordiger, heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben.

Een verzoek tot inzage wordt door de betrokkene schriftelijk ingediend bij de teamleider waarvan diensten worden afgenomen of waarbij de medewerker werkzaam is.

De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden. Voor inzage plaats kan vinden, dient de verzoeker zich te legitimeren.

14.1. Beperkingen voor inzage en afschrift

De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:

  • De opsporing en vervolging van strafbare feiten;
  • De bescherming van de betrokkene of van de rechten en vrijheden van anderen.

15.Recht op correctie, aanvulling, verwijdering

Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.

De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd.

16.Melding van verwerking van gegevens

Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen bestemd is, wordt aangemeld bij het College Bescherming Persoonsgegevens, voordat met de verwerking wordt begonnen.

De niet geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doel of samenhangende doelen is bestemd, wordt aangemeld indien deze is onderworpen aan voorafgaand onderzoek. Voorafgaand onderzoek vindt plaats indien de verantwoordelijke van plan is:

  • Een persoonsidentificatienummer te verwerken voor een ander doel dan waarvoor het bestemd is en om daardoor gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke;
  • Gegevens op grond van eigen waarneming vast te leggen, zonder de verantwoordelijke daarvan op de hoogte te stellen;
  • Strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden.

In de melding staan aangegeven:

  • de naam en het adres van de verantwoordelijke;
  • het doel of de doelen van de verwerking;
  • een beschrijving van de categorieën van betrokkenen en van de (categorieën van) gegevens die daarop betrekking hebben;
  • de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt.

17.Klachtenregeling

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich richten tot:

  • De verantwoordelijke;
  • Het eventueel binnen de onderneming functionerende orgaan voor onafhankelijke klachtenbehandeling
  • De rechtbank, in de gevallen als bedoeld in artikel 46 van de wet en
  • Het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke.

18.Wijzigingen inwerkingtreding en afschrift

Wijzigingen in reglement worden aangebracht door de verantwoordelijke, de directie van AanZien.

19.Onvoorzien

In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.