Dit privacy statement ziet op de verwerking van uw persoonsgegevens door Zeeuws Woongenot B.V.; wij verwerken uw persoonsgegevens wanneer wij u zorgvraag, contactgegevens en/of andere persoonsgegevens ontvangen.
Zeeuws Woongenot is steeds de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Dat betekent onder meer dat wij verantwoordelijk zijn voor de beveiliging van uw gegevens, en dat u of degene die uw belangen behartigt, ons kunt vragen of u uw gegevens mag bekijken.
Algemeen
Zeeuws Woongenot gaat zeer zorgvuldig om met uw gegevens. Persoonsgegevens zijn alle gegevens die iets over u en uw gezondheid zeggen. Als wij uw persoonsgegevens verwerken (dat is bijvoorbeeld het geval wanneer we de gegevens opslaan, bekijken, opnemen in een bestand of delen met een externe (specialist) leven wij zorgvuldig de relevante wetgeving op dit gebied na. Dit doen wij door na te gaan of onze dienstverlening aan de juiste eisen voldoet, zowel op het gebied van beveiliging van de data als op het gebied van compliance met de wetgeving omtrent gegevensbescherming.
Zeeuws Woongenot B.V. onderschrijft de uitgangspunten van de AVG en natuurlijk van de andere wetten waar we ons aan moeten houden, zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Wet langdurige zorg.
Artikel 1 Begripsbepalingen
1. Persoonsgegevens
Een gegeven dat herleidbaar is tot een individueel natuurlijk persoon
2. Persoonsregistratie
Een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens, waaronder medische of psychologische gegevens, voor zover deze in het kader van de zorg- of dienstverlening zijn verzameld.
3. Medische of psychologische gegevens
Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van geregistreerde, verzameld door een intakemedewerker in het kader van zijn of haar beroepsuitoefening.
5. Houder van de persoonsregistratie
Degene die eindverantwoordelijk is voor het beheer van de persoonsgegevens, die in de persoonsregistratie zijn opgenomen.
7. Beheerder van de persoonsregistratie
Degene die onder verantwoordelijkheid van de houder is belast met de dagelijkse zorg voor een persoonsregistratie of een gedeelte daarvan. De beheerder heeft een door het bestuur aan hem gedelegeerde verantwoordelijkheid voor de beveiliging van de persoonsgegevens.
8. Bewerker van de persoonsregistratie
Degene, die onder verantwoordelijkheid van de beheerder het geheel of een gedeelte van de faciliteiten onder zich heeft, waarmee een persoonsregistratie wordt gevoerd.
9. Gebruiker van de persoonsregistratie
Degene die ten behoeve van uit te voeren werkzaamheden in het kader van zijn/haar taak rechtstreeks toegang heeft of kan verkrijgen tot de persoonsregistratie of een gedeelte daarvan.
10. De hulpverlener
Degene, die direct betrokken is bij de zorg- en dienstverlening aan een cliënt.
11. De cliënt
Degene aan wie op grond van een actuele hulpbehoefte de noodzakelijke zorg- en dienstverlening wordt verleend.
Artikel 2 Reikwijdte
Dit reglement is van toepassing op alle diensten en cliënten van de organisatie alsmede op de organisatie waarmee een samenwerkingsovereenkomst is gesloten waaronder dit reglement op deze organisatie van toepassing is verklaard.
Artikel 3 Opname van persoonsgegevens in de persoonsregistratie
Persoonsgegevens kunnen worden opgenomen in een persoonsregistratie voor zover:
- Opname noodzakelijk is voor het doel van de persoonsregistratie (zie bijlage);
- De persoonsgegevens vallen binnen de in de bijlage omschreven soorten persoonsgegevens; - Het personen betreft die behoren tot de categorieën die zijn omschreven in de bijlage;
- De persoonsgegevens zijn verkregen op de wijze zoals omschreven in de bijlage.
Artikel 4 Verstrekken van persoonsgegevens
1. Mededelingsplicht
Onverminderd het bepaalde in artikel 9 van dit reglement wordt aan de cliënt medegedeeld aan wie zijn/haar persoonsgegevens kunnen worden verstrekt.
2. Schriftelijke toestemming
Voor het verstrekken van persoonsgegevens is in andere gevallen dan beschreven in de punten 3, 4, en 5 (zie hierna), bijvoorbeeld enquêtes op naam, vooraf eenmalig schriftelijke toestemming van de cliënt vereist. Deze schriftelijke toestemming wordt toegevoegd aan de persoonsregistratie.
4. Buiten de organisatie
Buiten de organisatie kunnen onder verantwoordelijkheid van de houder persoonsgegevens worden verstrekt aan:
− instanties c.q. rechtspersonen die over gegevens dienen te beschikken voor zover noodzakelijk voor hun wettelijke taakuitoefening, zoals bv ziekenfondsen;
− ingevolge wettelijke voorschriften, zoals gemeentelijke sociale diensten;
− op verzoek aan personen die direct betrokken zijn bij de hulpverlening aan de cliënt, voor zover noodzakelijk voor hun taakuitoefening, tenzij de cliënt daartegen bezwaar maakt;
− aan organen genoemd in de ZFW dan wel de AWBZ ten behoeve van de financiering van de dienstverlening van de organisatie;
− aan organisaties waarmee de organisatie een samenwerkingsovereenkomst heeft gesloten voor hulpverlening aan cliënte van de organisatie en de door deze organisaties ingeschakelde hulpverleners, voor zover noodzakelijk voor hun taakuitoefening.
5. Koppeling van gegevens
Voor het koppelen van gegevens uit afzonderlijke interne persoonsregistratie is géén schriftelijke toestemming van de geregistreerde vereist. Dit is wél vereist als er sprake is van een koppeling van gegevens aan externe persoonsregistratie.
6. Geanonimiseerde gegevens
Tot verstrekking als bedoeld in lid 5 en 6 zal de houder slechts dan overgaan indien niet met het verstrekken van geanonimiseerde gegevens kan worden volstaan.
7. Registratie verstrekking persoonsgegevens buiten de organisatie
Van de gegevensverstrekking als bedoeld is de leden 4 en 5 wordt door de houder een registratie bijgehouden. De in de registratie vermelde gegevens worden gedurende twee kalenderjaren bewaard, tenzij de gegevens in he kader van een gerechtelijke procedure langer bewaard moeten blijven.
Artikel 5 Mededeling van verstrekking
De houder deelt de cliënt op diens verzoek binnen vier weken mede, aan die in de twee jaren voorafgaand aan het verzoek persoonsgegevens zijn verstrekt, zoals bedoeld in artikel 4, lid 4 en 5. Tevens wordt inzicht verschaft over de aard van de persoonsgegevens.
Artikel 6 Toegang tot persoonsgegevens
Onverminderd eventuele wettelijke voorschriften hebben alleen toegang tot persoonsgegevens:
− De beheerder, voor zover noodzakelijk in het kader van het beheer;
− De houder, voor zover noodzakelijk voor uitoefening van zijn/haar taken en met toestemming van geregistreerde;
− De bewerker, voor zover nodig in het kader van de bewerking;
− De gebruiker, voor zover noodzakelijk voor de uitoefening van zijn/haar taak.
2. Vermelding beheerder per persoonsregistratie
De houder vermeldt per persoonsregistratie wie de beheerder is.
Artikel 8 Algemene schriftelijke informatie aan cliënten over overname van persoonsgegevens
1. Bestaan, doel, werking, positie cliënt, de wijze waarop en nadere informatie
De houder draagt zorg voor een algemene schriftelijke informatie met daarin opgenomen het bestaan en het doel van de persoonsregistratie, de werking daarvan en de positie van de cliënt, die wijze waarop dit reglement kan worden verkregen en voorts welke wijze nadere informatie ter zake wordt verstrekt.
2. Ter handstelling cliënt
De algemene schriftelijke informatie wordt de cliënt ter hand gesteld bij het eerste persoonlijke contact met de hulpverlener.
Artikel 9 Recht van bezwaar tegen opname van persoonsgegevens
1. Recht van bezwaar cliënt
De cliënt heeft het recht bezwaar te maken tegen opname van op hem/haar betrekking hebbende persoonsgegevens. De hulpverlener aan wie dit bezwaar kenbaar wordt gemaakt, gaat slechts over tot het opnemen van de betreffende gegevens indien en voor zover zulks voor het verlenen van de zorg en de bedrijfsvoering onvermijdelijk is of op grond van een wettelijk voorschrift vereist is.
2. Schriftelijk en gemotiveerd meedelen aan cliënt
Indien de hulpverlener aan het verzoek van de geregistreerd niet of slechts gedeeltelijk gehoor kan geven, deelt hij/zij dit schriftelijk en gemotiveerd aan cliënt mee. Daarbij dient te worden gewezen op mogelijke consequenties van inwilliging ten aanzien van de behandeling en/of betaling daarvan. De hulpverlener dient zich ten aanzien van zijn/haar beslissing te vergewissen van de mening van de houder.
Artikel 10 Recht op inzage van persoonsgegevens
1. Recht op inzage
De cliënt heeft recht op kennisneming van zijn/haar persoonsgegevens. De cliënt zal zich hierbij dienen te legitimeren.
2. Procedure
De hiervoor te volgen procedure is als volgt:
− Een schriftelijk verzoek tot inzage wordt door de cliënt kenbaar gemaakt aan de houder. De houder informeert de beheerder;
− De beheerder verleent inzage binnen 1 maand na ontvangst van het verzoek;
− De beheerder informeert vooraf een eventueel betrokken hulpverlener aangaande het verzoek, en geeft de mogelijkheid om de inzage plaats te laten vinden onder begeleiding van de ze hulpverlener; − De cliënt heeft het recht zich te doen vergezellen van een vertrouwenspersoon.
Artikel 11 Recht op een afschrift van persoonsgegevens
1. Recht op afschrift cliënt
De cliënt heeft recht op een afschrift van de geregistreerde persoonsgegevens. De houder zal voor het afschrift een vergoeding vragen.
2. Verzoek indienen
Het verzoek tot een afschrift wordt ingediend bij de houder. De houder geeft dit door aan de beheerder van de betreffende persoonsregistratie. De beheerder verstrekt het afschrift binnen 1 maand. Bij afgifte dient de cliënt zich te legitimeren.
Artikel 12 Recht op verbetering, aanvulling of verwijdering van persoonsgegevens
1. Onjuiste, onvolledige en wijziging van gegevens
De cliënt kan de houder schriftelijk verzoeken de hem/haar betreffend persoonsgegevens te verbeteren, aan te vullen of te verwijderen, indien deze feitelijk onjuist, voor het doel van de registratie onvolledig of niet ter zake doende zijn, dan wel in strijd met een wettelijk voorschrift in de registratie voorkomen. Het verzoek bevat de aan te brengen wijziging.
2. Ontvangstbericht binnen twee maanden
De houder geeft dit verzoek door aan de beheerder van de betreffende persoonsregistratie. Deze beheerder bericht de cliënt binnen twee maanden na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij/zij daaraan voldoet.
3. Gewichtig belang
Indien een gewichtig belang van de verzoeker dit vereist, voldoet de houder aan een verzoek als bedoeld in dit artikel, en een ander dan schriftelijke vorm, dan aan dat belang is aangepast.
4. Identiteit
De houder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
5. Minderjarigen en onder curatele gestelden
Het verzoek, als bedoeld in het eerste lid, wordt ten aanzien van minderjarigen die de leeftijd van zestien jaar nog niet hebben bereikt, en ten aanzien van onder curatele gestelden gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers.
6. Uitvoering
De houder draagt zorg dat een beslissing tot verbetering , aanvulling of verwijdering zo spoedig mogelijk wordt uitgevoerd.
7. Mededelingsplicht
De houder zal aan diegenen aan wie hij/zij naar zijn/haar weten in het jaar voorafgaand aan het verzoek en de sinds dat verzoek verstreken periode de betrokken gegevens heeft verstrekt, mededeling doen van de verbetering, aanvulling of verwijdering. Voorts doet de houder aan de verzoeker desgevraagd opgave van diegene aan wie hij/zij de mededeling heeft gedaan.
2. Vernietiging
Vernietiging vindt plaats binnen een termijn van 1 jaar na afloop van de bewaartermijn, tenzij er een klacht is ingediend waarbij persoonsgegevens betrokken zijn. Hetzelfde geldt voor een gerechtelijke procedure. Na afhandeling van de klacht dan wel na afloop van de gerechtelijke procedure vindt vernietiging plaats.
3. Overdracht aan andere organisaties
De bewaar- en vernietigingstermijnen zijn niet van toepassing in geval van overdracht van de gehele persoonsregistratie aan een andere organisatie die als rechtsopvolger de werkgeversfunctie van de organisatie overneemt.
Eveneens is deze termijn niet van toepassing in geval van overdracht van de gehele persoonsregistratie aan een andere organisatie in het kader van de continuïteit van de dienstverlening.
4. Verlenging bewaartermijn
De bewaartermijn kan door de houder worden verlengd na toestemming van de cliënt. De verlenging kan maximaal 1 jaar zijn. Een verzoek om verlenging kan telkenmale worden herhaald.
Artikel 14 datalek
Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Enkele voorbeelden van datalekken zijn:
- een kwijtgeraakte USB-stick met persoonsgegevens - een gestolen laptop
- een inbraak in een databestand door een hacker
Er is sprake van een datalek bij alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.
Een (potentieel) ernstig datalek moet zo snel mogelijk na ontdekking gemeld worden bij de eigenaren van ons bedrijf. In eerste instantie bij de FG functionaris (Ronald de Feijter). Indien de FG functionaris niet bereikbaar is of afwezig, dan z.s.m. het lek of vermoeden van lek melden bij zijn vervanger. Meld dit telefonisch en zorg dat je er zelf een schriftelijke aantekening van maakt. De schriftelijke melding(en) worden bij elkaar bewaard zodat de Autoriteit Persoonsgegevens kan controleren of wij aan de meldplicht hebben voldaan. In de schriftelijke melding schrijven we wat er gebeurd is of wat je vermoedt, of het lek veroorzaakt is door verlies en/of diefstal van eigendommen van Zeeuws Woongenot B.V. of anderszins.
Het is belangrijk dat de melding of het vermoeden z.s.m. gedaan wordt. De melding aan de Autoriteit Persoonsgegevens moet namelijk binnen 72 uur na ontdekking worden gedaan.
N.B. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Onze organisatie maakt zelf een afweging of het datalek ernstig is en dus gemeld moet worden. In bepaalde gevallen moet het datalek ook worden gemeld aan de betrokkene(n).
Voor Zeeuws Woongenot B.V. geldt:
Relevante mensen in onze organisatie zijn op de hoogte van de nieuwe privacyregels.
Onder AVG krijgen de mensen van wie wij persoonsgegevens verwerken, meer en verbeterde privacy rechten. Het gaat om recht op inzake en recht op correctie en verwijdering. We zorgen ervoor dat we op tijd en op de juiste manier op dit soort verzoeken reageren. Waar nodig vragen we hulp of advies hierbij. Ook geldt het recht op dataportabiliteit. Dit houdt in dat betrokkenen kunnen hun gegevens makkelijk krijgen en doorgeven aan een andere organisatie als ze dat willen.
Wij verwerken gegevens van betrokkenen. Wij doen dat alleen als wij die gegevens nodig hebben en het doel kunnen uitleggen. Bijvoorbeeld: t.b.v. het inschatten en leveren van de juiste zorg aan bewoners, is het nodig dat wij de zorgindicatie van een bewoner of toekomstige bewoner ontvangen en bewaren. In de zorgovereenkomst staat dat de Algemene verordening gegevensbescherming van toepassing is.
Artikel 16 Klachten inzake de naleving van dit reglement
1. Indienen klacht en termijn waarbinnen
Iedere cliënt, die meent dat jegens hem/jaar is gehandeld of zal worden gehandeld in strijd met dit reglement, kan hierover een klacht indienen. Het einde van de termijn waarbinnen men een klacht kan indienen valt samen met het einde van de bewaartermijn.
2. Schriftelijk en ondertekend indienen
De klacht wordt schriftelijk en door de cliënt persoonlijk ondertekend ingediend bij de houder.
3. Afhandelingstermijn
De houder draagt zorg voor afhandeling van de klacht binnen een termijn van twee maanden.
4. Interne klachtenprocedure
De klachtenprocedure van het privacyreglement sluit aan op de interne klachtenprocedure van de houder.
Artikel 17 Looptijd, overdracht en overgang van registratie
1. Looptijd
Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de registratie.
2. Overdracht
In geval van overdracht aan of overgang van de registratie naar een andere houder, dienen de geregistreerde van dit feit in kennis te worden gesteld, opdat tegen overdracht of overgang, van de op hun persoon betrekking hebbende gegevens, bezwaar kan worden aangetekend.
Artikel 18 Inwerkingtreding
Dit reglement is per 1 juni 2018 in werking getreden.
1. De wijze waarop de gegevens worden verkregen
Van de cliënt.
2. Bewaartermijn
De bewaartermijn is tot en met 31 december van het haar volgend op het jaar na afloop van de zorgverlening.
3. Werkinstructie ten behoeve van de houder, beheerder, bewerkers en gebruikers
Ten aanzien van het omgaan met persoons- en privacygevoelige gegevens in de persoonsregistratie cliënten:
Aan de hand van de betreffende artikelen van het privacyreglement wordt een omschrijving gegeven van de voorgeschreven handelingen.
Betreft artikel 7: “Beveiliging van persoonsgegevens”
De persoonsgegevens worden opgeborgen in dossiers, in een afsluitbare kast of een bureau. Ook kunnen persoonsgegevens worden vastgelegd in een computerbestand. De toegang tot de computer is middels een wachtwoord afgeschermd. Er wordt met een versleutelde communicatie en veilige verbindingen gewerkt. Er is een functionaris gegevensbescherming (FG) aangewezen die toezicht houd op de verwerking van gegevens en beveiliging hiervan. Het verwerkingsregister is hierin een belangrijk onderdeel hiervan.
Tijdens gebruik zien de bewerkers erop toe dat anderen geen inzage in de persoonsgegevens kunnen hebben.
Indien tussentijds de ruimte waar de persoonsgegevens zich bevinden door (alle) bewerkers worden verlaten, wordt deze ruimte afgesloten zodat die niet toegankelijk is voor derden. Na het einde van de werkdag dient de kast of het bureau te worden afgesloten. De sleutel van de kast of het bureau wordt op een vaste plaats opgeborgen.
Betreft artikel 13: “Bewaartermijn en de daarop volgende vernietiging van persoonsgegevens”.
De persoonsgegevens van leden worden bewaard tot en met 31 december van het jaar volgend op het jaar na afloop van de zorgverlening. Daarna worden de persoonsgegevens vernietigd, tenzij er door de cliënt een klacht is ingediend waarbij persoonsgegevens betrokken zijn. Hetzelfde geldt voor een gerechtelijke procedure.
Betreft artikel 7: “beveiliging van de persoonsgegevens”.
De leiding van de organisatie heeft de managementassistent belast met de beveiliging van de persoonsregistratie.
Betreft artikel 13: “Bewaartermijn en de daarop volgende vernietiging van persoonsgegevens”
Na beëindiging van de bewaartermijn ziet de FG functionaris. toe op de vernietiging van de gegevens.