Begripsbepalingen

In dit reglement wordt verstaan onder:

  1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
  2. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  3. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
  4. Medewerkers: bij of voor Aanzien B.V. werkzame personen;
  5. Cliënten: personen die bij Aanzien B.V. in zorg zijn;
  6. Verantwoordelijke: bestuurder van Aanzien B.V., dan wel een door verantwoordelijke aan te wijzen functionaris;
  7. Beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de (dagelijkse) zorg voor de verwerking van persoonsgegevens;
  8. Bewerker: degene die op basis van een overeenkomst ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
  9. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  10. Derde: ieder niet zijnde de betrokkene, de verantwoordelijke, de bewerker; of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
  11. Ontvanger: Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
  12. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt;
  13. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  14. Verzamelen van de persoonsgegevens: het verkrijgen van persoonsgegevens;
  15. Beroepsgeheim: het geheimhouden (de plicht en het recht daartoe) van zaken die men krachtens zijn beroep weet;
  16. Beroepsethiek: geheel van waarden en normen die het handelen van (een lid van) een beroepsgroep stuurt of zou moeten sturen;
  17. Gezondheidsgegevens: alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen;
  18. Autoriteit Persoonsgegevens: toezichthoudende onafhankelijke overheidsinstantie die door een lidstaat ingevolge artikel 51 AVG is ingesteld;
  19. AVG: Verordening het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
  20. Data protection officer (DPO): de functionaris voor de gegevensbescherming (privacydeskundige) van de organisatie, die zowel een toezichthoudende als een adviserende functie heeft. Binnen Aanzien wordt de DPO Privacy Officer genoemd;
  21. Vertegenwoordiging betrokkene: Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt of onder curatele is gesteld, dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene de toestemming van zijn wettelijk vertegenwoordiger vereist. Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.

 

2. Reikwijdte en doelstelling van het reglement

De Algemene verordening gegevensbescherming (AVG)  vereist dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.

2.1         Dit reglement is van toepassing:

  1. op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen;
  2. binnen AanZien en heeft betrekking op de verwerkingen van persoonsgegevens van cliënten, medewerkers, stagiaires, vrijwilligers, directie en Raad van Toezicht.

2.2          Dit reglement heeft tot doel:

  1. de persoonlijke levenssfeer van personeel van wie persoonsgegevens worden verwerkt te beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;
  2. te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
  3. de rechten van de betrokkenen te waarborgen.

 

3. Doelstellingen voor cliënten

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

  1. Een goede uitvoering van de hulp- en dienstverlening die door de organisatie wordt verleend;
  2. Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;
  3. Het stimuleren van een permanente vorm van kwaliteitscontrole;
  4. Het financieel afhandelen van de geboden hulp en diensten aan de cliënt met de cliënt dan wel met de opdrachtgever of financier;
  5. Het verantwoorden van de organisatie aan opdrachtgevers en aan de overheid conform dit reglement, de voor deze tijd geldende voorschriften en wettelijke verplichtingen;
  6. Het evalueren en onderzoeken van de hulp- en dienstverlening.

4. Doelstellingen voor medewerkers

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

  1. Een goede uitvoering van het personeelsbeleid van de organisatie;
  2. Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;
  3. Het stimuleren van een permanente vorm van kwaliteitscontrole;
  4. Het verantwoorden van de organisatie aan opdrachtgevers, uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de voor deze tijd geldende voorschriften en wettelijke verplichtingen;
  5. Het evalueren en onderzoeken van personeelsbeleid en arbeidsmarktontwikkelingen;
  6. Het financieel afhandelen van salaris, vergoedingen en inhoudingen.

5. Verwerking van de persoonsgegevens

5.1         Slecht die persoonsgegevens worden verwerkt, die rechtmatig verkregen zijn.

5.2         Verwerking van de gegevens is alleen toegestaan voor de in lid … van deze bepaling genoemde categorieën van verwerking.

5.3         De verwerking van de gegevens moet in overeenstemming zijn met het doel, waarvoor de verwerking is aangelegd. De doeleinden verschillen per categorie en zijn omschreven in de bij dit reglement behorende bijlagen.

5.4         Geen andere gegevens mogen worden verwerkt dan de gegevens genoemd in in de bij dit reglement behorende bijlagen.

5.5         De categorieën van verwerking zijn:

  1. Cliënten (aanmelding – zorg);
  2. Cliënten (in zorg);
  3. Sollicitanten;
  4. Personeel.

5.6         Persoonsgegevens mogen slechts worden verwerkt indien aan tenminste een van de onderstaande voorwaarden is voldaan:

  1. De betrokkene heeft ondubbelzinnig toestemming verleend;
  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  3. De verwerking is noodzakelijk voor de uitvoering van een wettelijke plicht;
  4. De verwerking is noodzakelijk ter vrijwaring ter behartiging van een vitaal belang van de betrokkene;
  5. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

5.7         De gegevens moeten gelet op het doel waarvoor ze worden verwerkt:

  1. Niet bovenmatig zijn;
  2. Toereikend zijn;
  3. Ter zake dienend;
  4. Juist en nauwkeurig zijn

6. Opgenomen gegevens

6.1.1. De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën bevatten:

 

  1. Personalia/identificatiegegevens
  2. Financiële/administratieve gegevens
  3. Voorgeschiedenis en sociale omgeving (alleen voor cliënten)

Bijzondere gegevens over etnische afkomst, ras, godsdienst, seksualiteit of levensovertuiging mogen alleen worden geregistreerd wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven of wanneer het deel uitmaakt van een etnische doelgroep.

 

7. Informatieplicht

7.1         De verantwoordelijke informeert betrokkene over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging.

7.2         De verantwoordelijke informeert betrokkene over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt.

7.3         Informatie over de gegevensverwerking van cliënten wordt op de volgende wijze gegeven:

  1. Bij aanmelding geeft de cliënt toestemming voor verwerking van aanmeldgegevens;
  2. Cliënt ontvangt algemene voorwaarden, deze staat tevens op de website van de organisatie;
  3. Cliënt ontvangt informatiefolder;
  4. Cliënt ontvangt privacyreglement, deze staat tevens op de website van de organisatie.

7.4         Informatie over de gegevensverwerking van personeel wordt op de volgende wijze gegeven:

  1. Tijdens het introductiegesprek bij indiensttreding;
  2. Medewerker ontvangt het privacyreglement tijdens de inwerkperiode.

8. Uitwisselen van gegevens

8.1         Binnen Aanzien kunnen, zonder toestemming van de betrokkene, persoonsgegevens van cliënten  worden verstrekt aan medewerkers, voor zover dit voor hun taakuitoefening noodzakelijk is.

8.2         Buiten Aanzien kunnen, zonder toestemming van de betrokkene, persoonsgegevens van cliënten  worden verstrekt, voor zover hun taakuitoefening noodzakelijk is, aan:

  1. Degenen, die rechtstreeks betrokken zijn bij de actuele hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;
  2. Aan organen genoemd in de Wlz of Wmo, ten behoeve van de financiering van de hulpverlening;
  3. Het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de cliënt niet onevenredig wordt geschaad, of
  4. Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

8.3         Buiten AanZien kunnen zonder toestemming van de betrokkene persoonsgegevens van medewerkers worden verstrekt, voor zover hun taakuitoefening noodzakelijk, aan:

  1. Pensioenfondsen;
  2. Uitvoerings- en uitkeringsinstanties;
  3. Belastingdienst;
  4. Arbodienst;
  5. Arbeidsinspectie;
  6. Verzekeringsmaatschappijen ten behoeve van persoonlijke en collectieve verzekeringen

Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen

8.4         Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van welzijn worden verstrekt, indien aan tenminste één van de volgende voorwaarden is voldaan:

  1. Het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
  2. Het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

Voorts is dit slechts mogelijk indien:

  1. Het onderzoek een algemeen belang dient;
  2. Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
  3. Op basis van een degelijke onderzoeksvraag en onderzoeksmethodologie.

8.5         Voor het verstrekken van persoonsgegevens aan derden is de toestemming van betrokkene vereist, tenzij er sprake is van bovengenoemde situaties of wanneer het noodzakelijk is ter uitvoering van een wettelijk voorschrift.

8.6         Indien verstrekking buiten de doelstelling van de gegevensverwerking valt, dient de toestemming schriftelijk verleend te worden.

 

9. Verantwoordelijkheid voor het beheer en aansprakelijkheid

9.1         De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens.

9.2         De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.

9.3         De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen bewerker en verantwoordelijke.

9.4         De verantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen.

9.5         De verantwoordelijke verplicht de bewerker dit reglement na te leven. De verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd.

9.6         De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.

10.Beveiliging en geheimhouding

10.1       De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

 

10.2       Indien sprake is van elektronische verwerking van persoonsgegevens zal de beheerder via een coderingsbeveiliging de verschillende personen, als bedoeld in artikel 8, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.

 

10.3       Een ieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.

 

10.4       De verantwoordelijke moet alle datalekken documenteren en melden aan de Autoriteit Persoonsgegevens. Op basis van deze documentatie moet de AP kunnen controleren of Aanzien B.V.  aan de meldplicht heeft voldaan.

 

10.5       De verantwoordelijke zal betrokkene(n) in kennis stellen van de inbreuk bedoeld in art. 10.4, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

 

10.6       Een ieder die betrokken is bij de uitvoering van dit reglement en op de hoogte raakt van een (mogelijk) inbreuk op de beveiliging zoals bedoeld in art. 10.4 is verplicht hiervan onverwijld melding te maken bij de verantwoordelijke.

 

10.7       Er wordt regelmatig een back-up gemaakt van de registratie- en administratiebestanden, zodat gegevens niet verloren gaan.

10.8       Gegevens worden louter op door Aanzien geleverde apparatuur verwerkt, welke is voorzien van een antivirusprogramma met geldige licentie.

11.Recht op inzage

  1. 11.1       De betrokkene, of zijn vertegenwoordiger, heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben.

    11.2       Een verzoek tot inzage wordt door de betrokkene schriftelijk ingediend bij het begeleiding team waarvan diensten worden afgenomen of waarbij de medewerker werkzaam is.

    11.3       De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden. Voor inzage plaats kan vinden, dient de verzoeker zich te legitimeren.

    11.4       De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:

    1. De opsporing en vervolging van strafbare feiten;
    2. De bescherming van de betrokkene of van de rechten en vrijheden van anderen.

12.Recht op correctie, aanvulling, verwijdering

12.1       Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.

12.2       De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat.  De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd.

13.Cameratoezicht

13.1       Op de werklocaties kan onder de volgende voorwaarden gebruik worden gemaakt van cameratoezicht:

  1. Gerechtvaardigd belang:
  • Het tegengaan van diefstal;
  • Het beschermen van cliënten, bezoekers en medewerkers;
  • Het vastleggen van incidenten teneinde dit af te handelen.
  1. Informatieplicht cameratoezicht:
  • Betrokkenen worden geïnformeerd over het cameratoezicht middels bordjes op in- en uitgangen.
  1. Inbreuk privacy zo klein mogelijk maken:
  • De camera’s zijn louter in algemene ruimten geplaatst;
  • De camerabeelden worden alleen bekeken als daar een directe aanleiding toe is.

13.2       De camerabeelden worden maximaal 4 weken bewaard.

13.3       Indien er sprake is van afhandeling van een vastgelegd incident, is Aanzien B.V. gerechtigd de camerabeelden te bewaren tot de afhandeling van het incident voltooid is. Betrokkenen hebben recht op inzage en correctie.

14.Bewaartermijnen

14.1       De bewaartermijnen van documenten, persoonsgegevens en andere zaken zijn vastgelegd in het document ‘3.e.16 Richtlijnen Archivering’.

15.Privacy officer

15.1       Aanzien B.V. heeft een Data protection officer (DPO) aangesteld. Deze wordt binnen de organisatie Privacy Officer (PO) genoemd.

15.2       Voor een Privacy Officer staat het bedrijfsbelang centraal. De Privacy Officer denkt mee met de directie en is er voor om de organisatie te helpen haar doelen te bereiken door gebruik te maken van de ruimte die de AVG biedt.

15.3       De Privacy Officer is sterk gericht op het risico van reputatieschade voor het bedrijf, haar klanten, medewerkers en ketenpartners en stelt zo nodig preventieve acties voor.

16.Klachten

16.1       Indien de betrokkene van mening is dat de bepalingen van de AVG zoals uitgewerkt in dit reglement niet door de instelling worden nageleefd dient hij zich te wenden tot:

  1. De verantwoordelijke;
  2. Het eventueel binnen de onderneming functionerende orgaan voor onafhankelijke klachtenbehandeling;
  3. De Autoriteit Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke;
  4. De rechtbank, in de gevallen als bedoeld in artikel 46 van de wet.

17.Inwerkingtreding en citeertitel

Dit reglement kan aangehaald worden als privacyreglement verwerking gegevens personeel en treedt in werking op: 25 mei 2018.

 

Het reglement is vastgesteld door Aanzien B.V. en vervangt eventuele vorige versies.

18.Onvoorzien

In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.