Privacyreglement ABA Huis

Ten behoeve van de privacy
van zorgverleners, cliënten en medewerkers van het ABA Huis

1. Algemene bepalingen

1.1 Begripsbepalingen

  1. Persoonsgegevens:
    Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  2. Verwerking:
    Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  3. Pseudonimisering:
    Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits onder voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld.
  4. Bestand:
    Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.
  5. Verwerkingsverantwoordelijke:
    Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke (Nederlandse) recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
    Ten behoeve van de verwerkingen bij het ABA Huis is het ABA Huis de verwerkingsverantwoordelijke.
  6. Verwerker:
    Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  7. Ontvanger:
    Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers: de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.
  1. Derde:
    Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
  2. Toestemming (van de betrokkene):
    Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
  3. Inbreuk (in verband met persoonsgegevens):
    Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
  4. Gegevens over gezondheid:
    Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.
  5. Autoriteit Persoonsgegevens:
    De autoriteit met als taak toe te zien op de verwerking van persoonsgegevens.
  6. Functionaris voor de gegevensbescherming (FG):
    Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de privacywetgeving. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. Alle Betrokkenen van wie persoonsgegevens verwerkt worden, kunnen bij een FG terecht voor informatie, inzage in de eigen verwerkte gegevens of voor klachten.

1.1 Afkortingen en definities

De volgende lijst met afkortingen wordt gebruikt binnen dit document:

Afkorting/definitie

Betekenis

WGBO

Wet op de Geneeskundige Behandelovereenkomst

Wkkgz

Wet kwaliteit, klachten en geschillen zorg

Wet clientenrechten bij elektronische verwerking van gegevens.

Onderdeel van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (zie hieronder). De wet regelt de voorwaarden waaronder zorgverleners medische gegevens veilig en elektronisch kunnen inzien of uitwisselen met andere zorgverleners. Daarnaast regelt de wet ook de rechten van patiënten bij elektronische gegevensuitwisseling.

Wabpz

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Deze wet is de opvolger van de Wet gebruik burgerservicenummer in de zorg en waarin is opgenomen de wet cliëntenrechten elektronische verwerking van gegevens)

AVG

Algemene Verordening Gegevensbescherming

UAVG

Uitvoeringswet AVG

AP

Autoriteit Persoonsgegevens

FG

Functionaris Gegevensbescherming

1.2 Reikwijdte

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Omdat het niet mogelijk is de complexe werkelijkheid volledig te vertalen naar beleid en procedures sluiten de beleidsstukken en procedures van het ABA Huis zo veel als mogelijk aan bij de praktijk. Daar waar afgeweken wordt gebeurt dit in overeenstemming met de functionaris gegevensbescherming.

1.3 Doel en toepassingsgebied

  1. 1)  Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen uit de (U)AVG en, voor zover van toepassing, de bepalingen van de overige geldende sectorale privacywetgeving.
  2. 2)  Dit reglement is van toepassing op de gehele organisatie van het ABA Huis en heeft betrekking op de Registers van verwerkingen. Bijlage 1 betreft het overzicht van alle Registers en vormt derhalve één geheel met dit reglement.

2. Rechtmatigeverwerkingvanpersoonsgegevens 2.1 Voorwaarden voor rechtmatige verwerking

  1. 1)  Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt en alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
  2. 2)  Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
  3. 3)  Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn.
  4. 4)  Het ABA Huis is toerekenbaar voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de werking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement.

2.2 Verwerking van persoonsgegevens (niet zijnde bijzondere persoonsgegevens)

Persoonsgegevens mogen slechts worden verwerkt indien aan één van onderstaande voorwaarden is voldaan:

  1. a)  de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. b)  de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. c)  de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de Verwerkingsverantwoordelijke rust;
  4. d)  de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. e)  de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. f)  de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

2.3 Verwerking van bijzondere persoonsgegevens (medische gegevens)

  1. 1)  Voor verwerking van zorggegevens is uitdrukkelijke toestemming van de Betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift.
  2. 2)  Zonder toestemming van de Betrokkene kunnen – met inachtneming van het derde lid – door de Verwerkingsverantwoordelijke gegevens betreffende de gezondheid worden verwerkt indien:
    • ✓  Dit noodzakelijk is met het oog op een goede behandeling of verzorging van de Betrokkene; dan wel met het oog op het beheer van de organisatie van de Verwerkingsverantwoordelijke;
    • ✓  Voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de Betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.

D.20.5.1 Privacyreglement ABA Huis, versie maart 2019, revisie 4 maart 2019 5

  1. 3)  De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
  2. 4)  Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking:
    1. een ieder die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding is verplicht;
    2. de Verwerkingsverantwoordelijke;
    3. de verwerker van de gegevens;

    voor zover zij (a, b, en c) een overeenkomst tot geheimhouding getekend hebben en toegang met het oog op een goede behandeling of verzorging dan wel het beheer noodzakelijk is.

  3. 5)  Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verwerkt voor zover deze verwerking plaatsvindt met betrekking tot de Betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij:
    • ✓  een zwaarwegend geneeskundig belang prevaleert of
    • ✓  de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek enstatistiek.
  4. 6)  Indien gegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de Verwerkingsverantwoordelijke besluiten deze te verwerken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking.
  5. 7)  Gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven mogen uitsluitend worden verwerkt voor zover dit noodzakelijk is in aanvulling op de verwerking van gegevens betreffende iemands gezondheid als bedoeld in lid 2 van dit artikel.
  6. 8)  Gegevens kunnen alleen zonder toestemming van de Betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien:
    • ✓  het onderzoek een algemeen belang dient,
    • ✓  de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijkis,
    • ✓  het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredigeinspanning kost en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de Betrokkene niet onevenredig wordt geschaad.

3. Organisatorischeverplichtingen 3.1 Geheimhoudingsplicht

De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.

3.2 Bewaren

  1. 1)  Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  2. 2)  Persoonsgegevens mogen langer worden bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, wanneer zij geanonimiseerd worden of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
  3. 3)  De Verwerkingsverantwoordelijke stelt vast hoelang de opgenomen medische persoonsgegevens bewaard blijven. De bewaartermijn is voor medische gegevens in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd of de cliënt de meerderjarigheidsgrens, 18 jaar, heeft bereikt, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.

3.3 Beveiliging

De Verwerkingsverantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

3.4 Melding van een inbreuk aan de toezichthoudende autoriteit

  1. 1)  Indien een inbreuk heeft plaatsgevonden meldt de Verwerkingsverantwoordelijke dit aan de Autoriteit Persoonsgegevens binnen 72 uur nadat hij er kennis van heeft genomen en wordt ten minste het volgende omschreven of meegedeeld:
    • de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk ondervermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
    • de naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
    • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomenom de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  2. 2)  Lid 1 geldt niet indien het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
  1. 3)  Indien de melding aan de Autoriteit Persoonsgegevens niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
  2. 4)  De Verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving hiervan te controleren.

3.5 Klachtenbehandeling

Indien de Betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot:

  1. 1)  De VerwerkingsverantwoordelijkeDirectie ABA Huis BV
  2. 2)  Klachtenfunctionaris en -commissieKlachtenfunctionaris:
    1. per e-mail: margriet@hetvolstevertrouwen.nl 2. telefonisch: 06 5116 6161Klachtencommissie:
    1. Per post: t.a.v. de ambtelijk secretaris, Lombokstraat 20, 2022 BJ, Haarlem
    2. Per e-mail: klachtenbehandeling@eckg.nl
    3. Via de website: www.eckg.nl, pagina ‘Website indienen klachten’.
    4. Via het klachtenformulier op de website www.eckg.nl, pagina ‘Website indienen klachten’, ‘Klachtenformulier externe klachtencommissie’.
  3. 3)  Functionaris GegevensbeschermingHoofd FG is mevr. E. de Waal, FG-nummer is FG001727.
  4. 4)  De Autoriteit PersoonsgegevensPostbus 93374
    2509 AJ Den Haag Telefoon: 070 – 8888 500 Telefax: 070 – 8888 501 info@APweb.nl

4. RechtenvandeBetrokkenen 4.1 Informatieplicht

  1. Gegevens verkregen bij Betrokkene:
    1. 1)  Indien bij de Betrokkene de persoonsgegevens worden verkregen, deelt de Verwerkingsverantwoordelijke voor het moment van verkrijging de Betrokkene mede wat de doeleinden zijn van de verwerking waarvoor de gegevens zijn bestemd, tenzij de Betrokkene daarvan reeds op de hoogte is.
    2. 2)  De Verwerkingsverantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de Betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
    3. 3)  De Verwerkingsverantwoordelijke informeert de Betrokkene over de rechten van de Betrokkene en op welke wijze de Betrokkene deze rechten kan inroepen.
  2. Gegevens elders verkregen:
    1. 4)  Indien de persoonsgegevens niet rechtstreeks bij de Betrokkene worden verkregen deelt de Verwerkingsverantwoordelijke de Betrokkene op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn voor een derde, uiterlijk op het moment van de eerste verstrekking, tenzij deze reeds daarvan op de hoogte is, de volgende informatie mede:✓ wie de verstrekker is;
      ✓ de doeleinden van de verwerking waarvoor de gegevens zijn bestemd.
    2. 5)  De Verwerkingsverantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de Betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
    3. 6)  Het bepaalde onder 4 is niet van toepassing indien de mededeling van de informatie van de Betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de Verwerkingsverantwoordelijke de herkomst van de gegevens vast.
    4. 7)  Het bepaalde onder 4 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de Wet is voorgeschreven. In dat geval dient de Verwerkingsverantwoordelijke de Betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid.
    5. 8)  Indien de Verwerkingsverantwoordelijke de Betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt.

4.2 Recht op inzage en afschrift van persoonsgegevens

1) De Betrokkene heeft op basis van artikel 15 AVG en artikel 456 WGBO het recht, met redelijke tussenpozen, kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.

  1. 2)  De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt.
  2. 3)  Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
  3. 4)  Recht op inzage of afschrift kan worden geweigerd of beperkt voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander.

4.3 Recht op aanvulling en correctie van persoonsgegevens

  1. 1)  Desgevraagd worden de opgenomen gegevens aangevuld met een door de Betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
  2. 2)  Op grond van artikel 16 AVG kan de Betrokkene verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.
  3. 3)  De Verwerkingsverantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of aanvulling schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
  4. 4)  De Verwerkingsverantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.

4.4 Recht op verwijdering of vernietiging van persoonsgegevens

  1. 1)  De Betrokkene kan op grond van artikel 17 AVG en artikel 455 lid 1 WGBO verzoeken om vernietiging van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.
  2. 2)  De Verwerkingsverantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot vernietiging schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
  3. 3)  De Verwerkingsverantwoordelijke vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de Betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de Betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.

4.5 Vertegenwoordiging

  1. 1)  Indien de Betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen, dan wel de voogd in plaats van de Betrokkene.
  2. 2)  Hetzelfde geldt voor de Betrokkene in de leeftijd van twaalf tot zestien jaar die niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake.
  3. 3)  Indien de Betrokkene in de leeftijdscategorie van twaalf tot zestien jaar valt en in staat is tot een redelijke waardering van zijn belangen terzake, treden de Betrokkene zelf en diens ouders of voogd gezamenlijk op.

4) Indien de Betrokkene 16 jaar of ouder is en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, treedt in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:

  • ✓  indien de Betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld: de curator of mentor.
  • ✓  indien er geen mentor of curator is, de persoon die de Betrokkene schriftelijk heeft gemachtigd: de persoonlijk gemachtigde.
  • ✓  indien de persoonlijk gemachtigde ontbreekt of niet optreedt: de echtgenoot, de geregistreerde partner of andere levensgezel van de Betrokkene.
  • ✓  indien deze persoon dat niet wenst of ontbreekt: een ouder, kind, broer of zus van de Betrokkene.

5. Transparantie

De Verwerkingsverantwoordelijke houdt een Register bij van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

  1. a)  de naam en de contactgegevens van de Verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de Verwerkingsverantwoordelijke en van de Functionaris voor gegevensbescherming;
  2. b)  de verwerkingsdoeleinden;
  3. c)  een beschrijving van de categorieën van betrokkenen en van de categorieën vanpersoonsgegevens;
  4. d)  de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, ondermeer ontvangers in derde landen of internationale organisaties;
  5. e)  indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationaleorganisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
  6. f)  indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  7. g)  indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

5.1 Meldingen en vrijgestelde verwerkingen

  1. 1)  Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen, gemeld bij de Functionaris Gegevensbescherming.
  2. 2)  Wanneer een gegevensverwerking voldoet aan de voorwaarden van Vrijstelling wordt deze verwerking niet aangemeld bij de Functionaris Gegevensbescherming.
  3. 3)  Er wordt een data protection impact assessment (DPIA) uitgevoerd voor een Verwerking van persoonsgegevens die mogelijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Indien de Verwerkingsverantwoordelijke geen maatregelen neemt om de risico te beperken wordt “voorafgaande raadpleging” gevraagd bij de Autoriteit Persoonsgegevens, namelijk wanneer de Verwerkingsverantwoordelijke:
    • ✓  voornemens is een nummer ter identificatie van personen te verwerken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is.
    • ✓  voornemens is gegevens vast te leggen op grond van eigen waarneming zonder de Betrokkene daarvan op de hoogte te stellen, of
    • ✓  anders dan krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus voornemens is strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden.De “voorafgaande raadpleging” bestaat uit het kenbaar maken aan de AP van de voorgenomen verwerkingen en diens bevoegdheid om een nader onderzoek hiernaar in te stellen. De voorafgaande raadpleging leidt tot een niet-bindende verklaring omtrent de rechtmatigheid van de verwerking die de Verwerkingsverantwoordelijke niet ontslaat van de verplichting om zijn eigen afweging te maken.In bijlage 1 van dit reglement worden de verwerkingen van persoonsgegevens van de Verwerkingsverantwoordelijke genoemd en is steeds aangegeven of deze verwerking al dan niet gemeld is bij de Autoriteit Persoonsgegevens.

6. Borgingprivacyreglementindepraktijk
6.1 Procedures persoonsgegevensverwerkingen

  1. 1)  De Verwerkingsverantwoordelijke heeft de eisen die dit privacyreglement stelt, expliciet gemaakt en verwerkt in procedures per (groep van) persoonsgegevensverwerking(en), die uitgevoerd moeten worden in de praktijk (bijlage 1), conform het instellingsbeleid inzake toegang tot informatiesystemen (zie hoofdstuk 11 – procedures). Aldus heeft de Verwerkingsverantwoordelijke geregeld dat alle persoonsgegevensverwerkingen plaatsvinden volgens de eisen van dit reglement en derhalve volgens de eisen van de AVG en alle overige vigerende sectorale privacywetgeving.
  2. 2)  Het borgen van de verantwoordelijkheden in de praktijk wordt gerealiseerd door middel van het laten uitvoeren van de interne audits.
  3. 3)  Voor nieuwe persoonsgegevensverwerkingen worden op aangeven van de beheerder van de persoonsgegevensverwerking zo mogelijk bestaande procedures aangevuld dan wel worden nieuwe procedures gemaakt, in het daartoe van toepassing zijnde format.
  4. 4)  De procedures voor de persoonsgegevensverwerkingen van de Verwerkingsverantwoordelijke worden centraal beheerd in het geautomatiseerde beheersysteem.
  5. 5)  De procedures zijn door alle medewerkers te raadplegen op de netwerkschijf. Externe belangstellenden, kunnen bij de Functionaris gegevensbescherming een exemplaar aanvragen.

6.2 Individuele controle medewerkers

Als het voornemen bestaat om voor een individuele controle van een medewerker een bestaande persoonsgegevensverwerking te gebruiken, dan mag dat uitsluitend nadat de betreffende medewerker daarvan schriftelijk in kennis is gesteld. Een dergelijke individuele controle is zo beperkt mogelijk met het oog op het doel ervan.

7. Documententbvdeorganisatieborging

Onderstaande documenten worden gebruikt voor de operationele borging van het privacyreglement:

  1. BELEIDSTUKKEN:✓ Informatiebeveiligingsbeleid ✓ Autorisatiebeleid
  2. PROCEDURES:✓ Toegang tot Patiëntengegevens ✓ Autorisatieverzoeken
    ✓ Meldplicht datalekken
    ✓ Steekproeven✓ Aanvraag tot vernietiging van persoonsgegevens ✓ Bewaartermijnen personeelsgegevens
  3. FORMULIEREN:✓ Autorisatiewijziging Medewerker
    ✓ Geheimhoudingsovereenkomst Externe medewerkers
    ✓ Verzoek voor Inzage, Correctie of Vernietiging Persoonsgegevens

8. Overgangs-enslotbepalingen
8.1 Wijzigingen, inwerkingtreding en inzage van dit reglement

  1. 1)  Wijzigingen van dit reglement worden aangebracht door de Directie.
  2. 2)  De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan de medewerkers.
  3. 3)  Dit reglement is in werking getreden op de in dit reglement genoemde publicatiedatum en is bij de contactpersonen (zie H4.5) van de Verwerkingsverantwoordelijke in te zien.
  4. 4)  Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.

Bijlage 1: Overzicht van persoonsgegevensverwerkingen

Registernummer

Dossiernaam

Informatiesysteem

Activiteit

Rol van het ABA Huis

Status

Laatst Geupdate op

V02792

Vecozo

VECOZO: Inschrijven op naam (ION)

Uitwisseling van persoonsgegevens – bidir

Ontvanger/verzender

In beheer

26-04-18

V02793

Incidentmeldingssysteem

Q-base

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

26-04-18

V02789

Personeelsdossier (analoog)

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

16-05-18

V02791

Salarispakket

Mijnloon

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

06-06-18

V02794

OneDrive / SharePoint

Office 365 (OneDrive/SharePoint)

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

12-05-18

V02790

Verzuimregistratie

Verzuimsignaal

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

26-04-18

V02788

Patiëntgebonden omgeving

Carenzorgt

Uitwisseling van persoonsgegevens – bidir

Verwerkingsverantwoordelijke

In beheer

26-04-18

V02787

Elektronisch cliëntendossier (ECD)

ONS

Verzameling van persoonsgegevens

Verwerkingsverantwoordelijke

In beheer

10-05-18

Privacyverklaring ABA Huis
Gebruik van beeldmateriaal ten behoeve van de behandeling van cliënten

Verantwoordelijke

Het ABA Huis is de zogeheten verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG). Dit houdt in dat het ABA Huis beslist welke persoonsgegevens worden verwerkt, met welk doel dat gebeurt en op welke manier.

Het ABA Huis is wettelijk verplicht om de persoonsgegevens van uw kind in overeenstemming met de AVG en op behoorlijke en zorgvuldige wijze te verwerken.

Persoonsgegevens

Het ABA Huis verwerkt persoonsgegevens in de zin van artikel 4, sub 1, van de AVG. Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon.

Tevens verwerkt het ABA Huis gegevens over de gezondheid in de zin van artikel 4, sub 15, van de AVG. Gegevens over de gezondheid zijn alle persoonsgegevens die verband houden met de fysieke of mentale gezondheid van uw kind.

Het ABA Huis houdt in een intern informatiesysteem alle aspecten, ontwikkelingen etc. bij ten behoeve van de behandeling aan uw kind. Ten behoeve van de behandeling van uw kind, is het noodzakelijk om beeldmateriaal (video- en/of fotomateriaal) te gebruiken. Dit kan bijvoorbeeld het geval zijn als een oefening met uw kind gefilmd moet worden ter evaluatie van de voortgang van de behandeling. Of als het fotomateriaal van uw kind gebruikt moet worden ter herkenning van de eigen omgeving en/of middelen van uw kind (zoals een PECS map, het ophangen van de jas van uw kind etc.) in het kader van de behandeling. Of als het videomateriaal gebruikt moet worden ten behoeve van de interne deskundigheidsbevordering van direct betrokkenen bij de behandeling van uw kind.

Grondslag van de verwerking

Het ABA Huis moet het gebruik van de persoonsgegevens kunnen baseren op een van de grondslagen uit artikel 6 van de AVG. Op grond van dit artikel is het onder meer toegestaan dergelijke gegevens te verwerken nadat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (artikel 6, eerste lid, sub a, van de AVG).

Beveiliging persoonsgegevens

Artikel 32 van de AVG verplicht het ABA Huis om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan.

Zo worden de (persoons)gegevens die over uw kind worden verzameld versleuteld opgeslagen in het informatiesysteem en hebben alleen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst toegang tot de persoonsgegevens. Hiervoor wordt een op naam gesteld toegangsaccount gebruikt waarbij het informatiesysteem deze toegang vastlegt in een afgeschermd logboek.

D.20.5.6 Privacyverklaring ABA Huis Gebruik van beeldmateriaal t.b.v. de behandeling van cliënten, versie mei 2019, 1 ingang 1 mei 2019

Bewaartermijn persoonsgegevens

Het ABA Huis is verplicht op grond van artikel 454 lid 3 van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) om de persoonsgegevens gedurende vijftien jaren te bewaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.

Privacyrechten

Indien u wilt weten welke persoonsgegevens worden verwerkt, dan kunt u een schriftelijk inzageverzoek doen (artikel 15 AVG, artikel 456 WGBO). Het ABA Huis behandelt uw verzoek binnen een redelijke termijn.

Blijkt dat uw gegevens onjuist, onvolledig of niet relevant zijn? Dan kunt u een aanvullend verzoek doen om de gegevens te laten wijzigen of aan te vullen (artikel 16 AVG).

U kunt, in een aantal gevallen, vragen om verwijdering of verwijdering van de gegevens (artikel 17 AVG, artikel 455, lid 1, WGBO).

Wilt u de (digitale) persoonsgegevens die het ABA Huis van uw kind verwerkt ontvangen, dan kunt u een beroep doen op uw recht op dataportabiliteit (artikel 20 AVG). Dit houdt in dat u de gegevens verstrekt krijgt in een vorm waarin u deze, mocht u dit wensen, eenvoudig door kunt geven aan een andere organisatie.

Ook kunt u verzoeken om beperking van het verwerken van de gegevens of daartegen bezwaar maken (artikel 18 en 21 AVG).

U kunt uw schriftelijke verzoek sturen aan:

ABA Huis
t.a.v. de Functionaris Gegevensbescherming Hyacintstraat 28
3073 TL Rotterdam

Privacyverklaring ABA Huis Inzage elektronisch cliëntdossier

Het ABA Huis is de zogeheten verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG). Dit houdt in dat het ABA Huis beslist welke persoonsgegevens worden verwerkt, met welk doel dat gebeurt en op welke manier.

Het ABA Huis is wettelijk verplicht om de persoonsgegevens van uw kind in overeenstemming met de AVG en op behoorlijke en zorgvuldige wijze te verwerken.

Persoonsgegevens

Het ABA Huis verwerkt persoonsgegevens in de zin van artikel 4, sub 1, van de AVG. Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon.

Tevens verwerkt het ABA Huis gegevens over de gezondheid in de zin van artikel 4, sub 15, van de AVG. Gegevens over de gezondheid zijn alle persoonsgegevens die verband houden met de fysieke of mentale gezondheid van uw kind.

Het ABA Huis houdt in een intern informatiesysteem alle aspecten, ontwikkelingen etc. bij ten behoeve van de behandeling aan uw kind. Daarbij registreert het ABA Huis onder andere de naam, de geboortedatum en het Burgerservicenummer van uw kind en de voorgang van de te verlenen zorg.

Grondslag van de verwerking

Het ABA Huis moet het gebruik van de persoonsgegevens kunnen baseren op een van de grondslagen uit artikel 6 van de AVG. Op grond van dit artikel is het onder meer toegestaan dergelijke gegevens te verwerken:

  • Omdat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst (artikel 6, eerste lid, sub b, van de AVG).
  • Omdat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting (artikel 6, eerste lid, sub c, van de AVG).Een dergelijke wettelijke verplichting heeft het ABA Huis op grond van artikel 454, lid 1 van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) dat bepaalt dat de hulpverlener een dossier inricht met betrekking tot de behandeling van de cliënt. Het ABA Huis houdt in het dossier aantekeningen van de gegevens omtrent de gezondheid van de cliënt bij en de te diens aanzien uitgevoerde verrichtingen en neemt andere stukken, bevattende zodanige gegevens, daarin op, een en ander voor zover dit voor een goede hulpverlening aan hem noodzakelijk is.Beveiliging persoonsgegevens

    Artikel 32 van de AVG verplicht het ABA Huis om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan.

D.20.5.5 Privacyverklaring ABA Huis Inzage elektronisch cliëntdossier, versie mei 2019, ingang 1 mei 2019 1

Zo worden de (persoons)gegevens die over uw kind worden verzameld versleuteld opgeslagen in het informatiesysteem en hebben alleen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst toegang tot de persoonsgegevens. Hiervoor wordt een op naam gesteld toegangsaccount gebruikt waarbij het informatiesysteem deze toegang vastlegt in een afgeschermd logboek.

Bewaartermijn persoonsgegevens

Het ABA Huis is verplicht op grond van artikel 454 lid 3 van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) om de persoonsgegevens gedurende vijftien jaren te bewaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.

Privacyrechten

Indien u wilt weten welke persoonsgegevens worden verwerkt, dan kunt u een schriftelijk inzageverzoek doen (artikel 15 AVG, artikel 456 WGBO). Het ABA Huis behandelt uw verzoek binnen een redelijke termijn.

Blijkt dat uw gegevens onjuist, onvolledig of niet relevant zijn? Dan kunt u een aanvullend verzoek doen om de gegevens te laten wijzigen of aan te vullen (artikel 16 AVG).

U kunt, in een aantal gevallen, vragen om verwijdering of verwijdering van de gegevens (artikel 17 AVG, artikel 455, lid 1, WGBO).

Wilt u de (digitale) persoonsgegevens die het ABA Huis van uw kind verwerkt ontvangen, dan kunt u een beroep doen op uw recht op dataportabiliteit (artikel 20 AVG). Dit houdt in dat u de gegevens verstrekt krijgt in een vorm waarin u deze, mocht u dit wensen, eenvoudig door kunt geven aan een andere organisatie.

Ook kunt u verzoeken om beperking van het verwerken van de gegevens of daartegen bezwaar maken (artikel 18 en 21 AVG).

U kunt uw schriftelijke verzoek sturen aan:

ABA Huis
t.a.v. de Functionaris Gegevensbescherming Hyacintstraat 28
3073 TL Rotterdam



ABA Huis zet zich in voor de zorg en
zelfredzaamheid van kinderen en
jeugdigen vanaf 3,5 jaar. Met de principes van ABA richten wij ons op het
maximaliseren van communicatieve, sociale en spelvaardigheden.

Laatste nieuws

Volg ons op Facebook

Facebook Pagelike Widget

Copyright by Anka Consultancy 2018. All rights reserved.