1. Doel van het reglement

De Algemene Verordening Gegevensbescherming ( Verordening EU 2016/679) vereist dat persoonsgegevens in overeenstemming met de wet op behoorlijke en zorgvuldige wijze dienen te worden verwerkt. Het doel van dit reglement is een praktische uitwerking te geven aan de bepalingen van de Algemene Verordening Gegevensbescherming, verder te noemen AVG. In dit reglement wordt in detail uiteengezet hoe Zorg Op Dreef met uw persoonsgegevens omgaat en hoe wij deze registreren en verwerken.

2. Organisatiegegevens:

Zorg Op Dreef

Mendes da Costalaan 68

3431 AB Nieuwegein

Tel: 06-31972540

Kvk: 72646225

E-mail: info@zorgopdreef.nl

Website: www.zorgopdreef.nl

3. Begripsbepalingen:

In de AVG wordt een aantal begrippen gehanteerd. Ter verduidelijking staat in onderstaande lijst een uitleg van de begrippen:

*Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer,   e- mailadres, functie, personeelsnummer, medische rapportages, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto’s, video’s, IP-adressen, tracking cookies, loginnamen en wachtwoorden.

*Bijzondere persoonsgegevens

Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s, irisscan) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.

*Gezondheidsgegevens

Alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.

 *Bestand

Gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen. Privacyreglement versie 1, 0 juli 2018 2.

*Verwerken

Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens

Verwerkingsverantwoordelijke

Degene die (formeel-juridisch) het doel en de middelen van de verwerking vaststelt.

*Verwerker

De natuurlijke persoon of rechtspersoon die ten behoeve van de Verwerkingsverantwoordeijke persoonsgegevens verwerkt, zoals bijvoorbeeld het administratiekantoor. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.

*Derde

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.

Verwerkersovereenkomst

De organisatie dient met iedere verwerker, die persoonsgegevens gaat verwerken een overeenkomst af te sluiten.

*Betrokkene

De persoon wiens persoonsgegevens worden verwerkt, al dan niet vertegenwoordigd door een Wettelijke vertegenwoordiger, bijvoorbeeld een ouder van een betrokkene die jonger is dan 16 jaar of een familielid van iemand die niet meer wilsbekwaam is.

*Ontvanger

Degene aan wie de persoonsgegevens worden verstrekt

*Toestemmingsverklaring

Formulier waarmee wordt aangetoond dat er toestemming is verleend om persoonsgegevens te gebruiken.

*Transparantie

De betrokkene(n) actief informeren over de verwerking van hun persoonsgegevens waaronder doel van de verwerking, verstrekking van gegevens aan derden , bewaartermijn.

*Rechtmatig

In overeenstemming met de wet.

*Dataportabiliteit

Het recht van de betrokkenen om makkelijk zijn gegevens te krijgen en vervolgens te kunnen doorspelen aan een andere organisatie. Privacyreglement versie 1, 0 juli 2018 3.

4. Reikwijdte

Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrokkenen bij de organisatie, waaronder cliënten, medewerkers, bezoekers en externe relaties (bijv. administratiekantoor en ICT hosting).

5. Doel van de gegevensverwerking

Het reglement heeft tot doel:

*de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;

*vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens worden verwerkt;

*Ook overigens te borgen dat persoonsgegevens binnen rechtmatig, transparant en behoorlijk worden verwerkt;

*De rechten van betrokkenen vast te leggen en te borgen dat deze rechten worden gerespecteerd.

6. Doelstellingen cliënten

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

*een goede uitvoering van de zorg-, hulp- en dienstverlening die door de organisatie wordt verleend; het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;

*het stimuleren van een permanente vorm van kwaliteitscontrole;

*het financieel afhandelen van de geboden zorg aan de cliënt, met de cliënt dan wel met diens zorgverzekeraar;

*het verantwoorden van de organisatie aan de ziektekostenverzekeraars en aan de overheid conform dit reglement, de van kracht zijnde wettelijke verplichtingen;

*het evalueren en onderzoeken van de zorg-, hulp- en dienstverlening.

7. Doelstellingen medewerkers

De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:

*een goede uitvoering van personeelsbeleid die door de organisatie wordt uitgevoerd;

*het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig beleid en beheer van de organisatie;

*het stimuleren van een permanente vorm van kwaliteitscontrole; het financieel afhandelen van salaris en overige vergoedingen;

*het verantwoorden van de organisatie aan de ziektekostenverzekeraars, uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen;

*het evalueren en onderzoeken van personeelsbeleid en arbeidsmarktontwikkelingen.

De verwerkingsverantwoordelijke zal geen persoonsgegevens opnemen of bewaren voor andere doeleinden dan hierboven genoemd.

Grondslagen voor de gegevensverwerking Persoonsgegevens mogen slechts worden verwerkt indien aan een van de voorwaarden is voldaan:

*de betrokkene heeft ondubbelzinnig toestemming verleend;

*de verwerking is noodzakelijk voor de uitvoering van een overeenkomst;

*de verwerking is noodzakelijk voor de uitvoering van een wettelijke plicht;

*de verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene;

*de verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Privacyreglement versie 1, 0 juli 2018 4

8. Kwaliteit van de gegevensverwerking

De gegevens moeten gelet op het doel waarvoor ze worden verwerkt:

*rechtmatig;

*toereikend;

*ter zake dienend;

*transparant.

*juist en nauwkeurig zijn;

9. Opgenomen gegevens

De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën bevatten:

*Personalia/identificatiegegevens

*Financieel/administratieve gegevens

10. Bijzondere persoonsgegevens

Bijzondere gegevens over ras, godsdienst of levensovertuiging mogen niet worden geregistreerd, tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven.

11. Cliënt

Zorg Op Dreef informeert de cliënt tijdens het intakegesprek en door middel van de Algemene Leveringsvoorwaarden dat er persoonsgegevens worden geregistreerd, tevens wordt de cliënt geïnformeerd over het bestaan van het Privacyreglement. Daarnaast moet de cliënt een toestemmingsverklaring ondertekenen.

12. Medewerker

Zorg Op Dreef informeert de medewerker tijdens het aannamegesprek dat er persoonsgegevens worden geregistreerd. De medewerker kan een exemplaar opvragen van het Privacyreglement.

13. Verstrekking van gegevens

Verstrekking van gegevens van cliënten of medewerkers binnen de organisatie:

Binnen de organisatie van de verwerkingsverantwoordelijke kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk. Voor andere doeleinden ( bijv. nieuwsbrief, website, Facebook), moet betrokkenen uitdrukkelijk via een toestemmingsverklaring toestemming verlenen.

14. Verstrekking van gegevens van cliënten aan derden

Buiten de organisatie van de verantwoordelijke kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover noodzakelijk voor de taakuitoefening noodzakelijk, aan:

*degenen, die rechtstreeks betrokken zijn bij de actuele zorg- of hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;

*Dinz: de organisatie die de software levert en Zorg Op Dreef ondersteunt bij de verwerking van o.a. verkoopfacturen, indicaties en rapportages in. Met deze organisatie is dan ook een verwerkersovereenkomst getekend;

*organisaties genoemd in de WMO en aan het ministerie van VWS, ten behoeve van de financiering van de hulpverlening.

15. Verstrekking van gegevens van medewerkers aan derden

Buiten de organisatie van de verantwoordelijke kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover noodzakelijk voor de taakuitoefening aan:

*Pensioenfondsen;

*Uitvoerings- en uitkeringsinstanties;

*Belastingdienst;

*Arbodienst;

*Arbeidsinspectie;

*Centraal Bureau voor Statistiek (CBS);

*Ziektekostenverzekeraars;

*Verzekeringsmaatschappijen ten behoeve van persoonlijke verzekeringen;

16. Anonieme gegevens

Indien de persoonsgegevens zodanig zijn geanonimiseerd, dat zij redelijkerwijs niet tot de individuele persoon herleidbaar zijn, kan de verantwoordelijke beslissen deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie.

17. Verstrekking van gegevens ten behoeve van wetenschappelijk onderzoek

Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid worden verstrekt, indien aan tenminste één van de volgende voorwaarden is voldaan:

*het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

*het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

Voorts is dit slechts mogelijk indien:

*het onderzoek een algemeen belang dient;

*het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;

*de betrokken cliënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt;

*het onderzoek wordt verricht door Centraal Bureau voor Statistiek;

*Bij een verstrekking van gegevens wordt daarvan aantekening gehouden in het dossier.

18. Toestemming voor verstrekking van gegevens

Voor het verstrekken van persoonsgegevens aan derden is de toestemming van betrokkene vereist, tenzij er sprake is van bovengenoemde situaties of wanneer het noodzakelijk is ter uitvoering van een wettelijk voorschrift.

Indien verstrekking buiten de doelstelling van de gegevensverwerking valt, dient de toestemming schriftelijk verleend te worden.

19. Correctie of verwijdering van opgenomen persoonsgegevens

De betrokkene kan de verwerkingsverantwoordelijke schriftelijk verzoeken de opgenomen persoonsgegevens te verbeteren, aan te vullen, te verwijderen, af te schermen of op een andere manier er voor te zorgen dat de onjuiste gegevens niet langer worden gebruikt, indien deze feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienende zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te Privacyreglement versie 1, 0 juli 2018 6 brengen wijzigingen. Ook heeft de betrokkene het recht op dataportabiliteit ( overdraagbaarheid van gegevens). Betrokkene kan mailen naar: info@zorgopdeef.nl

De Verwerkingsverantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of en in hoeverre hij daaraan voldoet. Een gehele of gedeeltelijke weigering is steeds met redenen omkleed.

De Verwerkingsverantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd. In geval van correctie van de gegevens zal de Verwerkingsverantwoordelijke derden aan wie de (onjuiste) gegevens zijn verstrekt van de wijziging op de hoogte stellen, voor zover redelijkerwijs mogelijk is.

 

20. Dossierbeveiliging

De in de organisatie aanwezige dossiers worden achter slot en grendel bewaard. De digitale gegevens worden op een beveiligde server opgeslagen.

21. Meldplicht datalek

De organisatie is verplicht alle datalekken bij te houden. Ernstige datalekken moeten bij de Autoriteit Persoonsgegevens worden gemeld. Ook de betrokkene dient geïnformeerd te worden.

22. Bewaartermijnen

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor de gegevens zijn verzameld of (verder) verwerkt.

23. Bewaartermijnen gegevens cliënten

Met inachtneming van eventuele wettelijke voorschriften stelt de verwerkingsverantwoordelijke vast hoelang de in de registratie(s) opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer dan redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.

24. Bewaartermijnen gegevens medewerkers

Met inachtneming van eventuele wettelijke voorschriften stelt de verwerkingsverantwoordelijke vast hoelang de in de registratie(s) opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is in beginsel zeven jaren, te rekenen vanaf het tijdstip waarop de medewerker uit dienst is getreden. Sollicitatiebrieven mogen een maand bewaard blijven en open sollicitatiebrieven een jaar.

25. Vernietiging

Binnen één maand na het verstrijken van de vastgestelde bewaartermijn worden gegevens van cliënten en medewerkers door de verantwoordelijke verwijderd uit de systemen. Papieren documenten worden na het verstrijken van de bewaartermijn door de verantwoordelijke Privacyreglement versie 1, 0 juli 2018 7 versnipperd. De versnipperde documenten worden bewaard in een papiercontainer welke op regelmatige basis door een gespecialiseerd bedrijf wordt opgehaald.

26. Verantwoordelijkheid van de verwerker

De Verwerkingsverantwoordelijke verplicht de Verwerker dit reglement na te leven. De verplichtingen van de Verwerker worden door de Verwerkingsverantwoordelijke schriftelijk vastgelegd. De Verwerker is verantwoordelijk voor het goed functioneren van de onder zijn beheerstaander faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.

27. Klachtenafhandeling

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dient hij zich te wenden tot de verantwoordelijke van de registratie. Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft de betrokkene de volgende mogelijkheden:

*De cliënt kan een officiële klacht indienen bij de directie. Het e-mailadres is info@zorgopdreef.nl;

*De manier waarop Zorg Op Dreef omgaat met klachten staat beschreven in het klachtenreglement. Een exemplaar van dit reglement is kosteloos verkrijgbaar en eveneens te vinden op de website van Zorg Op Dreef.

*Ook kunnen mensen zich wenden tot de Autoriteit Persoonsgegevens (AP) over de manier waarop met hun gegevens is omgegaan: https://autoriteitpersoonsgegevens.nl

*Een medewerker kan ten allen tijde een klacht indienen bij de directie en als dat niet tot een oplossing heeft geleid, kan hij conform de klachtenregeling zich eveneens wenden tot de AP of tot de klachtenfunctionaris ( Klachtenportaal Zorg). Het klachtenreglement kan worden opgevraagd bij de Directie.

*Een betrokkene die schade lijdt of dreigt te lijden, kan ook aan de rechter vragen een gebod of verbod op te leggen.

28. Wijziging en inwerkingtreding van dit reglement

Wijzigingen van dit reglement worden aangebracht door de Verwerkingsverantwoordelijke. Dit reglement is per 25 mei 2018 in werking getreden.