0224 - 273 140
info@wonenpluswelzijn.nl

Privacyreglement

Doel
Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Algemene verordening gegevens bescherming. (de AVG) Dit reglement is van toepassing voor alle locaties van Wonen Plus Welzijn en heeft betrekking op het door de organisatie op te stellen overzicht van genoemde verwerkingen van persoonsgegevens. Dit overzicht vormt één geheel met dit reglement. Binnen de doelstelling van dit reglement zullen geen andere gegevens worden opgenomen dan onder het toepassingsgebied omschreven.

Gebruikte afkortingen

AVG: Algemene verordening gegevens bescherming

WGBO: Wet geneeskundige behandelingsovereenkomst

BPOZ: Wet bijzondere opnemingen in psychiatrische ziekenhuizen

AP: Autoriteit persoonsgegevens


Reglement
Toepassingsgebied
Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die fysiek zijn opgeslagen in kasten en archieven van WPW.

Begripsbepalingen

1.  Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

2.  Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar in het kader van zijn beroepsuitoefening;

3.  Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

4.  Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens;

5.  Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;

6.  Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

7. Verantwoordelijk: de natuurlijke persoon, rechtspersoon, schriftelijk gemachtigd familielid of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van de middelen voor de verwerking van persoonsgegevens vaststelt;

8.  Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

9.  Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

10.  Derde: ieder, niet zijnde betrokkene, de verantwoordelijke, de verwerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken;

11.  Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

12.  Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

13.  De autoriteit persoonsgegevens:  Deze houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. De AVG wetgeving.

14.  Klachtencommissie: de commissie ingesteld overeenkomstig de Wet Klachtwet Cliënten Zorgsector;

Vertegenwoordiging

1.  Indien de betrokkene niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op[1]:

  • de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld;
  • de persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
  • de echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt;

2.  De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken.

3.  De persoon, die in de plaats treedt van de betrokkenen, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.

4.  Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.

Voorwaarden voor rechtmatige verwerking

1.  Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt.

2.  Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

3.  Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

4.  De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de werking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement[2].

Persoonsgegevens en bijzondere persoonsgegevens
Voor iedere verwerking van persoonsgegevens en bijzondere persoonsgegevens moet voldaan worden aan bepaalde voorwaarde. De Verordening maakt een onderscheid tussen ‘gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

Verwerking van persoonsgegevens (voor zover niet zijnde zorggegevens)

1.  Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan:

-  akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;

-  noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting van een overeenkomst;

-  noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;

-  noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;

-  noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).

Verwerking van bijzondere persoonsgegevens:
Bijzondere persoonsgegevens. De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

WPW heeft een grondslag om ‘gewone’ persoonsgegevens te verwerken zoals staat omschreven onder verwerking van persoonsgegevens in dit document.

De specifieke wettelijke uitzonderingen zijn:

1.  iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens;
2.  de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;
3.  de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene  fysiek of juridisch niet in staat is om zijn toestemming te geven;
4.  de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.  En die organisatie  gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen;
5.  de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
6.  de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
7.  de verwerking noodzakelijk is vanwege een  zwaarwegend algemeen belang;
8.  de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg;
9.  de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;
10.  de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

Informatieverstrekking aan de betrokkene

Gegevens verkregen bij betrokkene

1.  Indien bij de betrokkene zelf de persoonsgegevens worden verkregen deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede7;

-  zijn identiteit;

-  de doeleinden van de verwerking waarvoor de gegevens zijn bestemd tenzij de betrokkene daarvan reeds op de hoogte is.

2.  De betrokkene verstrekt nader informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen8.

Gegevens elders verkregen

3.  Indien de persoonsgegevens niet rechtstreeks bij de betrokkene worden verkregen deelt de verantwoordelijke de betrokkene op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn voor een derde, uiterlijk op het moment van de eerste verstrekking, tenzij deze reeds daarvan op de hoogte is, de volgende informatie mede:

- zijn identiteit;

-       de doeleinden van de verwerking waarvoor de gegevens zijn bestemd.

4.      De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

5.      Het bepaalde onder 3 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

6.      Het bepaalde onder 3 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid.

7.      Indien de verantwoordelijke de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt9.

 

Specifieke regels voor de verwerking van gegevens

1.      Voor verwerking van zorggegevens is uitdrukkelijke toestemming10 van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift.

2.      Zonder toestemming van de betrokkene kunnen - met inachtneming van het derde lid - door de verantwoordelijke persoonsgegevens betreffende de gezondheid worden verstrekt aan:

-       hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene; dan wel met het oog op het beheer van de organisatie van de verantwoordelijke;

-       verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.

3.      De persoonsgegevens worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.

4.      Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de bewerker persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging dan wel het beheer noodzakelijk is.

5.      Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking.

 

Recht op inzage en afschrift van opgenomen persoonsgegevens

1.      De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.

2.      De gevraagde inzage en of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt.

3.      Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.

4.      Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.

 

Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens

1.      Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.

2.      De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.

3.      De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.

4.      De betrokkene kan verzoeken om verwijdering van op hem betrekking hebbende gegevens. De gegevens worden per direct verwijderd uit de gebuikte systemen  van WPW.

5.      De verantwoordelijke verwijdert12 de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.

 

Bewaren van gegevens

1.      De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is:

-       voor medische en zorggegevens in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener casu quo de verantwoordelijke voortvloeit;

-       gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voorzover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

 

2.      Het bewaren van de gegevens vervalt indien een klant, vrijwilliger, cliënt een beroep doet op het recht op vergetelheid.

3.      Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.

4.      Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.

Klachten
Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij / zij zich wenden tot:

1.      de verantwoordelijke;

2.      de binnen instelling functionerende regeling voor onafhankelijke klachtenbehandeling;

3.      de functionaris van de gegevensbescherming

Wijzigingen, inwerkingtreding en inzage van dit reglement

1.      Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke.

2.      De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen.

3.      Dit reglement is per 25 mei  2018 in werking getreden en is gepubliceerd op www.wonenpluswelzijn.nl 

Privacy officer

WPW heeft een intern een privacy officer aangesteld.

Recht op dataportabiliteit:
WPW heeft geen technische mogelijkheden om direct persoonsgegevens door te sturen naar een nieuwe dienstverlening. Wel is het mogelijk om middels een excel format persoonsgegevens (naam, adres, telefoonnummer en IBAN) aan te leveren aan een persoon. De persoon dient deze dan zelf over te dragen aan een leverancier die dezelfde soort dienst levert.

Verwerkingsregister:
WPW heeft een verwerkingsregister waarin staat welke persoonsgegevens en informatie waar wordt opgeslagen, waar de informatie vandaan komt, met welk doel en welke gegevens met wie gedeeld worden. Eenmaal per half jaar evalueert WPW het verwerkingsregister en vult deze aan waar nodig. Indien nieuwe informatie wordt verwerkt door WPW wordt dit door de verantwoordelijke gemeld bij de functionaris van de gegevensverwerking.  De privacy officer draagt de verantwoording voor het bijhouden en optimaliseren van het verwerkingsregister. De directie en (betaalde) medewerkers van WPW dragen de verantwoording om de juiste gegevens aan te leveren aan de privacy officer.

Gegevensbeschermingseffectbeoordeling ( Data protection impact assesment ):
Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

WPW voldoet met de huidige dienstverlening niet aan de eisen om een gegevensbeschermingseffectbeoordeling uit te voeren. WPW toetst bij het ontwikkelen van nieuwe dienstverlening en / of bij het inschrijven op een aanbesteding of zij wel aan de criteria voldoet voor een gegevensbeschermingseffectbeoordeling. Er zijn 9 criteria die aangeven wanneer een organisatie verplicht is om een gegevens beschermingseffectbeoordeling te doen, indien een organisatie aan 2 of meer criteria voldoet is dit een verplichting:

1.      Evaluatie of scoretoekenning, WPW valt hier niet onder.

2.      Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg. WPW valt hier niet onder.

3.      Stelselmatige monitoring, WPW valt hier niet onder.

4.      Gevoelige gegevens of gegevens van zeer persoonlijke aard: dit omvat speciale categorieën persoonsgegevens zoals omschreven in artikel 9 (bijvoorbeeld informatie over de politieke opvattingen van personen), evenals persoonsgegevens met betrekking tot strafrechtelijke veroordelingen of strafbare feiten zoals omschreven in artikel 10.  WPW moet goed beoordelen of we hier onder vallen. Dit zou kunnen.

5.      Op grote schaal verwerkte gegevens. WPW valt hier niet onder.

6.      Matching of samenvoeging van datasets. WPW valt hier niet onder.

7.      Gegevens met betrekking tot kwetsbare betrokkenen, daar valt WPW wel onder.

8.      Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen. WPW valt hier niet onder.

9.      Wanneer als gevolg van de verwerking zelf “betrokkenen (….) een recht niet kunnen uitoefenen of geen beroep kunnen doem op een dienst of een overeenkomst”. WPW valt hier niet onder.

De gegevensbeschermingseffectbeoordeling moet aan de wettelijke eisen voldaan die de AVG stelt. Indien WPW een gegevensbeschermingseffectbeoordeling moet uitvoeren zal zij de dan geldende wettelijke eisen van de AVG toepassen om deze te kunnen uitvoeren.

Privacy by design:

WPW betrekt bij ieder nieuw plan en / of inschrijving op een aanbesteding de PO. Het plan en / of de aanbesteding wordt in concept doorgenomen samen met de PO

De PO zal het plan beoordelen op technische en organisatorische maatregelen om de privacyrisico`s voor mensen zo klein mogelijk te maken. Ook beoordeelt de PO het concept plan om na te gaan wat de consequenties zijn t.a.v. de wetgeving van de AVG. De PO checkt of er door het ontstaan van een nieuw project ook nieuwe verplichtingen ten aanzien van de wetgeving zijn. Het verplicht moeten uitvoeren van een gegevensbeschermingseffectbeoordeling kan een gevolg zijn van in te voeren nieuwe dienstverlening door WPW.

Privacy by default:
WPW hanteert een privacy vriendelijke instellingen voor haar website.

Meldplicht datalekken:
WPW heeft een cyberprotocol waarin staat omschreven wat WPW doet om een datalek te voorkomen. Mocht zich toch een datalek voordoen dan zal WPW dit binnen 48 uur melden aan de autoriteit persoonsgegevens.

WPW houdt voor haar organisatie een registratie bij waarin (eventuele) datalekken worden geregistreerd. Hierbij wordt aangegeven hoeveel personen en betreft, welke dienst, om welke gegevens het gaat en wat het voor soort datalek is.

Verwerkersovereenkomsten:
WPW heeft haar ICT diensten, personeelsadministratie en arbodienstverlening uitbesteedt aan derde. WPW heeft met deze partijen een verwerkersovereenkomst afgesloten. In de verwerkingsovereenkomst is afgestemd dat:

-          Het is uitgesloten door de derde partij de persoonsgegevens voor eigen doelen mag verwerken.

-          WPW het recht behoud om een audit te (laten) doen op de verwerking van de persoonsgegevens.

-          WPW de verwerker toestemming moet geven om subverwerkers in te schakelen.

-           Algemene beschrijving: Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

-          Instructies verwerking: De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

-          Geheimhoudingsplicht: Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

-          Beveiliging: De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

-          Subverwerkers: De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

-          Privacyrechten: De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

-          Andere verplichtingen: De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

-          Gegevens verwijderen: Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

-          Audits: De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

[2]           De verantwoordelijke draagt er zorg voor dat passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. De verantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende onrechtmatigheid niet kan worden toegerekend.

7           Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een informatiebrochure of door informatie over het reglement en de verwerking van persoonsgegevens op te nemen in de huisregels.

8           Aangezien de verwerking van de gegevens wordt gedaan door een zorgverlenende instelling, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement.

Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstellingen weet heeft. Kennisgeving aan individuele betrokkenen van verwerking van hun gegevens, alsmede van de doeleinden die daarmee worden nagestreefd, is in dit geval noodzakelijk.  

9           Het niet voldoen aan de informatieplicht zal leiden tot een onrechtmatige verwerking. Zie ook voorwaarden voor rechtmatige verwerking en verwerking  persoonsgegevens.

10         De uitdrukkelijke toestemming: de betrokkene dient in woord, geschrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking.

12         Onder verwijdering dient men tevens vernietiging te verstaan.