locatie Balloo: 0592-860444 | locatie Burgum: 0511-845360 info@debuurderij.nl

Privacybeleid De Buurderij

mei 2021

Doel
Het uitwerken van de bepalingen die de wetgever stelt aan de verantwoorde omgang met en de bescherming van Persoonsgegevens binnen De Buurderij.

Werkingssfeer
Dit privacyreglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Dit privacyreglement is van toepassing op De Buurderij

Uitgangspunten
De Algemene Verordening Gegevensbescherming (AVG)
De Uitvoeringswet AVG
De Wet op de geneeskundige behandelovereenkomst (WGBO)
De Wet op de individuele beroepen in de gezondheidszorg (BIG)
De Archiefwet.
Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
Zorgverzekeringswet (Zvw);
Wet marktordening gezondheidszorg (Wmg);
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Uitwerking
Een overzicht van bewaartermijnen is opgenomen in de bijlage.

Artikel 1 Begripsbepaling
In dit Privacyreglement wordt verstaan onder:
a. de Wet:
De Algemene Verordening Gegevensbescherming (AVG).
b.1 Persoonsgegevens:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
b.2
Bijzonder persoonsgegevens:
Bijzondere persoonsgegevens zijn gegevens over iemands: ras of etnische afkomst; politieke opvattingen; godsdienst of levensovertuiging; lidmaatschap van een vakbond; genetische of biometrische gegevens met oog op unieke identificatie; gezondheid; seksuele leven; strafrechtelijk verleden.

c. Verwerking van Persoonsgegevens:
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
d. Bestand:
elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
e. Verwerkingsverantwoordelijke:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
f. Verwerker:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
g. Beheerder:
een onder rechtstreeks gezag van de Verantwoordelijke vallende functionaris die door de Verantwoordelijke is belast met de dagelijkse zorg voor de registratie
h. Functionaris Gegevensbeheer (FG):
Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Bij De Buurderij is dit Marc Bralts (marc@debuurderij.nl).
i. Gebruiker:
een onder rechtsreeks gezag van de Verantwoordelijke vallende functionaris die door de Verantwoordelijke geautoriseerd is om Persoonsgegevens te raadplegen, toe te voegen, te wijzigen of te verwijderen.
j. Betrokkene:
degene op wie een Persoonsgegeven betrekking heeft.
k. Vertegenwoordiger:
degene of degenen die op basis van artikel 9 van dit Privacyreglement als vertegenwoordiger van de Betrokkene kan of kunnen optreden.
l. Derde:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;.
m. Raad van Bestuur:
persoon of personen die belast zijn met de leiding van De Buurderij.
n. Ontvanger:
degene aan wie de Persoonsgegevens worden verstrekt.
o. Toestemming van de Betrokkene:
elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Betrokkene aanvaardt dat hem betreffende Persoonsgegevens worden verwerkt. Deze toestemming kan op elk moment worden ingetrokken.
p. De autoriteit Persoonsgegevens (AP):
De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.
q. Verstrekken van Persoonsgegevens:
het bekend maken of ter beschikking stellen van Persoonsgegevens. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
r. Verzamelen van Persoonsgegevens:
het verkrijgen van Persoonsgegevens.
s. Bijzondere Zorgvraag:
Een Bijzondere Zorgvraag ontstaat als:
– de kwaliteit van leven van de cliënt ernstig wordt aangetast of dreigt te worden aangetast en er geen uitzicht op verbetering is en;
– de reguliere zorgverlening ontoereikend is (handelingsverlegenheid) en/of;
– de dialoog tussen hulpverlener en cliënt of zijn vertegenwoordiger is gestagneerd en/of
– er geen passend zorgaanbod kan worden geïdentificeerd.
t. Consultatie:
het opstellen en/of adviseren over een plan van aanpak bij een cliënt met een bijzondere zorgvraag en eventueel volgend daarop tijdelijk coördineren van het zorgproces.
u. Second opinion:
Het adviseren over het bestaande zorgplan bij een cliënt met complexe problematiek.
v. Inhoudelijke Toetsing:
het op verzoek van de betrokkene en/of een instelling waar een betrokkene zorg van ontvangen en/of een instantie die daartoe wettelijk is bevoegd, beoordelen van de toestand van een persoon en/of van een zorgplan met het doel te adviseren over de benodigde zorg, of kwaliteit en passendheid van het bestaande zorgplan.
w. Tijdelijke ondersteuning:
het financieel en/of op andere wijze ondersteunen van de uitvoering van een Bijzonder Zorgplan.
x. Bijzonder Zorgplan:
een plan van aanpak op basis van een consultatie, waaraan een financiële aanvraag voor extra inzet gekoppeld is.

Artikel 2 Doel verzameling en verdere verwerking
2.1.
Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Algemene Verordening Gegevensbescherming, verder te noemen AVG.

2.2.
Dit reglement is van toepassing binnen De Buurderij en kan ten hoogste de volgende gegevenscategorieën bevatten:
• Personalia/identificatiegegevens
• Bijzondere persoonsgegevens
• Financieel/administratieve gegevens
• Begeleidingsgegevens

Artikel 3 Categorieën personen van wie gegevens worden verwerkt
De Buurderij verwerkt uitsluitend gegevens over de volgende categorieën personen:
a. Personen (cliënten) met een (mogelijke) Bijzondere Zorgvraag, die worden aangemeld bij De Buurderij voor Bewoning, Dagbesteding of een ander vorm van ondersteuning;
b. Ouders, familie en/of wettelijk vertegenwoordigers van de onder sub a van dit artikel genoemde personen;
c. Hulpverleners en/of contactpersonen van de instellingen die betrokken zijn bij de zorg van de onder sub a van dit artikel genoemde personen;
d. Personen die door De Buurderij worden ingeschakeld ten behoeve van de behandeling van de cliënt, te weten consulenten en casemanagers;
e. Medewerkers van De Buurderij, en potentiële medewerkers van De Buurderij (sollicitanten);
f. Overige personen, voor zover noodzakelijk, en voor zover zij daarvoor toestemming hebben gegeven ingeval de Wet zulks voorschrijft.

Artikel 4 Verwerkingen van Persoonsgegevens
4.1. Van de in artikel 3 sub a bedoelde personen worden de volgende gegevens verwerkt:
a. Naam, voorletters, adres, woonplaats, geboortedatum, geslacht, burgerlijke staat, titulatuur, nationaliteit, juridische status, naam zorginstelling, telefoonnummer, email, zorgkantoor, locatiegegevens, naam verzekeraar, polisnummer;
b. Gegevens met betrekking tot de (mogelijke) Bijzondere Zorgvraag, o.a.:
– de algemene gezondheidstoestand van de Betrokkene;
– de beperkingen die de zorgvrager in zijn lichamelijk, zintuiglijk, psychisch of verstandelijk functioneren ondervindt als gevolg van een ziekte of een handicap;
– de woning en de woonomgeving van de Betrokkene;
– het psychisch en sociaal functioneren van de Betrokkene;
– de sociale omstandigheden van de Betrokkene;
– de aard en de omvang van de aan de Betrokkene geboden professionele en niet-professionele hulp en zorg en de mogelijkheden tot continuering en uitbreiding daarvan.
4.2. Van de in artikel 3, onder sub b en c bedoelde personen worden ten hoogste de volgende gegevens verwerkt: naam, voorletters, adres, woonplaats, titulatuur, telefoonnummer, e-mail, relatie tot betrokkene en gegevens van belang voor het goed kunnen uitvoeren van activiteiten ten behoeve van de in artikel 3, onder sub a genoemde personen.
4.3. Van de in artikel 3, onder sub d bedoelde personen worden ten hoogste de volgende gegevens verwerkt: naam, voorletters, adres, woonplaats, gegevens van belang voor het goed kunnen beoordelen of betreffende persoon geschikt is om te kunnen worden ingeschakeld ten behoeve van een cliënt met een Bijzondere Zorgvraag en ander gegevens benodigd voor het goed kunnen inzetten van de bedoelde personen.
4.4. Van de in artikel 3, onder sub e bedoelde personen worden ten hoogste de volgende gegevens verwerkt: naam, voorletters, adres, woonplaats, geboortedatum, telefoonnummer, e-mail, geslacht, burgerlijke staat, titulatuur, VOG (verklaring omtrent goed gedrag), opleidingsgeschiedenis, registraties, C.V.- gegevens, indien van belang voor het goed kunnen uitvoeren van de taken als (potentieel) werknemer.
4.5. De onder lid 1,2,3 van dit artikel genoemde gegevens kunnen ook in de vorm van audio en/of videobeelden worden vastgelegd.

Artikel 5 Verwerkingsactiviteiten en register verwerkingsactiviteiten
Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke verwerkingen van persoonsgegevens zij uitvoeren. Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient ook bijgehouden te worden. Wanneer er een nieuwe verwerking plaatsvindt, moet deze in het register komen te staan.: Iedere verwerkingsverantwoordelijke moet een register van de verwerkingsactiviteiten die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke vallen, in een register bij te houden (art. 30 AVG). Dit register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. De verwerkingsverantwoordelijke houdt de volgende gegevens in het register bij:
• de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
• de verwerkingsdoeleinden;
• een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
• een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens worden er verwerkt? bijvoorbeeld BSN, financiële gegevens, etc.);
• de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
• doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);
• indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten behoeve van de verwerkingsverantwoordelijke zijn verricht (art. 30 lid 2 AVG). Dit register is ook in schriftelijke vorm, waaronder elektronische vorm opgesteld. De verwerker houdt de volgende gegevens in het register bij:
• de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
• de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
• de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
• indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.

Artikel 6 Verwerkingsovereenkomsten
De Buurderij heeft met haar verwerkers een verwerkersovereenkomst afgesloten. Artikel 28 AVG bepaalt dat de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vastgelegd moet worden in een verwerkingsovereenkomst. De verwerkersovereenkomst bevat het onderwerp, de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat verwerkt wordt, de categorieën van de betrokkene en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Artikel 7 Verzamelen van Persoonsgegevens op verzoek van derden
Indien er geen wettelijke bezwaren zijn tot het verzamelen en verwerken op verzoek van derden van de in artikel 3 onder a genoemde Persoonsgegevens kan pas worden overgegaan tot het verzamelen van de gegevens na schriftelijke Toestemming van de Betrokkene of zijn Vertegenwoordiger.

Artikel 8 Verantwoordelijke en Beheerder verwerking
De Raad van Bestuur is aan te merken als Verantwoordelijke voor de verwerking en draagt als zodanig de verantwoordelijkheid voor de verwerking van de Persoonsgegevens overeenkomstig dit Privacyreglement.
De Raad van Bestuur kan binnen de organisatie een of meer Beheerders aanwijzen die belast is respectievelijk zijn met de dagelijkse zorg voor de verwerking.

Artikel 9 Verantwoordelijke en Bewerker verwerking
Indien de Verantwoordelijke de Verwerking van Persoonsgegevens of een gedeelte daarvan heeft ondergebracht bij een Verwerker, ziet de Verantwoordelijke of de Functionaris Gegevensbeheer in diens opdracht toe op naleving van het in dit Privacyreglement en bij de wet bepaalde.

Artikel 10 Verkrijgen van Persoonsgegevens
Persoonsgegevens kunnen worden verkregen:
a. Van Betrokkene zelf;
b. Van zorgaanbieders van wie de betreffende persoon al zorg ontvangt of heeft ontvangen;
c. Van de Vertegenwoordigers;
d. Van familieleden of anderen in de omgeving van de Betrokkene;
e. Van anderen die betrokken zijn bij de cliënt, bijvoorbeeld onderwijsinstelling en verwijzers;

Artikel 11 Vertegenwoordiging
1. Er is alleen dan sprake van vertegenwoordiging en de invulling daarvan indien
a. de Betrokkene jonger is dan twaalf jaar:
– De ouders die het ouderlijk gezag uitoefenen dan wel de voogd treden in de plaats van de
Betrokkene.
b. de Betrokkene de leeftijd van twaalf jaar bereikt heeft en niet in staat wordt geacht tot een redelijke waardering van zijn belangen ter zake;
c. de Betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen:
– Naast de Betrokkene zelf treden diens ouders/verzorgers op;
d. de Betrokkene zestien jaar is of ouder en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. In volgorde als hier is weergegeven, treedt dan als
Vertegenwoordiger voor hem op:
– De curator of mentor indien de Betrokkene onder curatele staat of ten behoeve van hem mentorschap is ingesteld.
– De persoonlijk gemachtigde indien de Betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt.
– De echtgenoot of andere levensgezel van de Betrokkene, tenzij deze persoon dat niet wenst of ontbreekt.
– Een ouder, kind, broer of zus van de Betrokkene, tenzij die persoon dat niet wenst;
e. de Betrokkene de leeftijd van achttien jaar bereikt heeft en wel in staat is tot een redelijke waardering van zijn belangen, en hij van de mogelijkheid gebruik maakt een andere persoon schriftelijk te machtigen in diens plaats op te treden.
2. De persoon die in plaats van de Betrokkene optreedt, betracht de zorg van een goed
Vertegenwoordiger. Hij is gehouden de Betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
3. Indien een vertegenwoordiger optreedt namens de Betrokkene, komt de Verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit Privacyreglement na jegens deze Vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed Verantwoordelijke.

Artikel 12 Verkrijgen gegevens betreffende de gezondheid
Benodigde gegevens over de gezondheid (medische gegevens) worden na schriftelijke toestemming van de zorgvrager of diens ouders of wettelijke vertegenwoordigers verkregen van een andere behandelaar. De verwerking van deze gegevens geschiedt conform het in artikel 4 van dit Privacyreglement bepaalde.

Artikel 13 Informatieverstrekking aan de Betrokkene
Aan de persoon en/of diens ouders of diens Vertegenwoordiger, van wie gegevens worden opgenomen, wordt vooraf bij de aanvang tot verwerking, schriftelijk medegedeeld met welk doel de gegevens worden vastgelegd, hoe de verwerking van de registratie is en op welke wijze dit Privacyreglement kan worden verkregen.

Artikel 14 Toegang tot de Persoonsgegevens
1. Onverminderd eventuele wettelijke voorschriften hebben slechts toegang tot de Persoonsgegevens:
a. De Verantwoordelijke, voor zover noodzakelijk voor de uitoefening van toezicht;
b. De Bewerker, voor zover noodzakelijk in het kader van bewerking;
c. De Beheerder, voor zover noodzakelijk voor de uitoefening van zijn taak;
d. De Gebruiker, voor zover noodzakelijk voor de uitoefening van zijn taak.

2. De verwerking is uitsluitend toegankelijk op het volgende gegeven:
a. Op naam;
b. Op registratienummer of password;
c. Voor zover met het beeldscherm toegang tot de verwerking kan worden verkregen, staat dit beeldscherm opgesteld ten kantore van De Buurderij of een andere locatie waarbij de Gebruiker dusdanige maatregelen treft waardoor derden zich geen toegang kunnen verschaffen tot de Persoonsgegevens.

Artikel 15 Geheimhoudingsplicht
De personen bedoeld in artikel 12 lid 1, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 16 Ontvangers van Persoonsgegevens binnen de organisatie
Binnen De Buurderij kunnen Persoonsgegevens worden verstrekt aan:
a. Degenen die betrokken zijn bij het uitvoeren van de Consultatie, Toetsing en of Tijdelijke Ondersteuning of andere cliëntgerichte taken van De Buurderij voor zover zij die gegevens nodig hebben voor een goede uitvoering van hun functie;
b. Degenen die betrokken zijn bij het bij het beheer van de Verwerking van Persoonsgegevens voor zover zij die gegevens nodig hebben voor een goede uitvoering van hun functie.

Artikel 17 Ontvangers van Persoonsgegevens buiten de organisatie
Persoonsgegevens mogen slechts aan derden worden verstrekt als:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst met betrokkene, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, zoals bijvoorbeeld een dringende medische noodzaak;
e. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Artikel 18 Verstrekking gegevens ten behoeve van wetenschappelijk onderzoek
1. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verwerking plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of statistiek en de nodige voorzieningen zijn getroffen teneinde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.

Artikel 19 Beveiliging van de Persoonsgegevens
1. De Verantwoordelijke draagt zorg voor passende voorzieningen van technische en organisatorische aard ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdende met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking van Persoonsgegevens te voorkomen.

Artikel 20 Melding verwerking en registratie incidentele afwijkingen
1. Van een verwerking die afwijkt van hetgeen in artikel 2, 3, 4, 15 lid 1 en 17 is gesteld, zal een register worden bijgehouden. De in dit register vermelde gegevens worden ten hoogste 3 jaar bewaard tenzij dit register in het kader van procedure of wet langer of korter bewaard moet blijven.
2. In dit register zullen in ieder geval alle gevallen worden opgenomen waarin sprake is van:
a. Overige personen zoals bedoeld in artikel 3 sub e van dit Privacyreglement;
b. Verzoeken van derden tot het doen verzamelen en verwerken van niet in artikel 4 van dit Privacyreglement genoemde Persoonsgegevens (artikel 5);
c. Verstrekking aan personen of instanties anders dan beschreven in artikel 15 lid 1 van dit Privacyreglement.

Artikel 21 Datalek
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.
Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).
Er zijn drie categorieën datalekken te onderscheiden:
• Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
• Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
• Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
De Buurderij is verplicht direct een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek heeft.

Artikel 22 lnzage
1. Degene, van wie gegevens in de verwerking zijn opgenomen dan wel degene die vermoedt dat zijn gegevens in de verwerking zijn opgenomen, heeft recht op inzage van de hem betreffende gegevens.
2. De Verantwoordelijke deelt eenieder op diens verzoek schriftelijk zo spoedig mogelijk doch uiterlijk binnen vier weken mede of hem betreffende Persoonsgegevens worden verwerkt.
3. Indien zodanige Persoonsgegevens worden verwerkt, stelt de Verantwoordelijke de verzoeker desverlangd zo spoedig mogelijk doch uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk een volledig overzicht daarvan met inlichtingen over de herkomst van de Persoonsgegevens, over het doel van de verwerking en over de Ontvangers van de Persoonsgegevens ter beschikking.
4. Voordat een Verantwoordelijke een mededeling doet als bedoeld in het tweede en derde lid, waartegen een Derde naar verwachting bedenkingen zal hebben, stelt hij die Derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
5. Indien een gewichtig belang van de verzoeker dit eist voldoet de Verantwoordelijke aan het verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast.
6. Indien inzage niet kan worden verleend zonder dat daarbij inzage wordt gegeven in de gegevens van andere personen, dienen die andere personen eerst toestemming te verlenen.
7. Inzage wordt slechts geweigerd voor zover dit noodzakelijk is voor de bescherming van de Betrokkene of van de rechten en vrijheden van anderen. Verzoeker wordt geïnformeerd over de mogelijkheid hiertegen bezwaar te maken.

Artikel 23 Recht op verbetering, verwijdering, aanvulling of afscherming van Persoonsgegevens
1. De Betrokkene die inzage heeft gekregen in de hem betreffende Persoonsgegevens kan verzoeken de op hem/haar betrekking hebbende Persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien de gegevens feitelijk onjuist zijn of niet ter zake doen, dan wel indien de gegevens in strijd met dit Privacyreglement zijn opgenomen.
2. Een verzoek als bedoeld in lid 1 van dit artikel wordt schriftelijk bij de Verantwoordelijke ingediend. Het verzoek bevat de aan te brengen wijzigingen.
3. Indien de Verantwoordelijke van mening is dat het verzoek gegrond is, draagt hij er zorg voor dat de noodzakelijke verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk nadat het verzoek is ontvangen plaatsvindt, waarna hij Betrokkene dit schriftelijk meedeelt.
4. Aan degenen van wie kan worden nagegaan dat onjuiste gegevens zijn verstrekt, wordt mededeling gedaan van de verbetering, aanvulling, verwijdering of afscherming van gegevens tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
5. Indien de Verantwoordelijke van mening is dat het verzoek niet of niet geheel gegrond is, deelt hij dit binnen vier weken en met redenen omkleed schriftelijk mee aan verzoeker, waarbij deze tevens geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te maken.

Artikel 24 Verzet
1. De Betrokkene kan op grond van bijzondere persoonlijke omstandigheden bij de Verantwoordelijke verzet aantekenen tegen verwerking, of bepaalde verwerkingen, van zijn Persoonsgegevens. Verzet is niet mogelijk tegen verwerkingen die plaatsvinden op grond van een wettelijke verplichting van de Verantwoordelijke of op grond van Toestemming van de Betrokkene.
2. De Verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, wordt de verwerking waartegen dit is gericht, beëindigd.
3. Indien de Verantwoordelijke het verzet niet gerechtvaardigd acht, bericht hij dit schriftelijk aan de
Betrokkene, waarbij deze tevens geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te maken.

Artikel 25 Looptijd, overdracht en overgang van de verwerking
1. Onverminderd eventuele wettelijke bepalingen is dit Privacyreglement van kracht gedurende de gehele looptijd van de verwerking.
2. In geval van overdracht of overgang van de verwerking naar een andere Verantwoordelijke dienen de Betrokkenen van dit feit in kennis te worden gesteld, opdat tegen de overdracht of overgang van op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt.

Artikel 26 Bewaartermijn
1. De gegevens worden verwerkt voor zover en zolang dit noodzakelijk is voor de in artikel 2 van dit
Privacyreglement genoemde doeleinden of de in artikel 4 van dit privacyreglement genoemde verwerkingen, tenzij enige wettelijke bepaling een langere bewaartermijn vereist.
2. De Persoonsgegevens van de Betrokkene zullen verwijderd worden dan wel zodanig geanonimiseerd dat identificatie van de Betrokkene niet meer mogelijk is:
a. Na het verstrijken van de bewaartermijn zoals beschreven in de bijlage;
b. Zodra vaststaat dat de Persoonsgegevens niet meer noodzakelijk zijn voor het doel van de verwerking;
3. Voor vernietiging van gegevens gelden de bepalingen van de Archiefwet;
4. Voor een overzicht van bewaartermijnen wordt verwezen naar de bijlage.

Artikel 27 Ter inzagelegging
Dit Privacyreglement is beschikbaar gemaakt op de website. (www.debuurderij.nl).

Artikel 28 Wijzigingen
1. Dit Privacyreglement wordt vastgesteld en kan worden gewijzigd door de Raad van Bestuur van De Buurderij
2. Wijzigingen in dit Privacyreglement treden in werking de eerste dag na een periode van 4 weken volgend op de vaststelling door de Raad van Bestuur van De Buurderij.
3. De Raad van Bestuur van De Buurderij draagt er zorg voor dat er een algemene kennisgeving wordt gedaan van de wijziging(en) in dit Privacyreglement.

Artikel 29 Citeertitel, wijziging en inwerkingtreding
1. Dit Privacyreglement kan worden aangehaald als “Privacyreglement De Buurderij “.
2. Dit Privacyreglement treedt in werking met ingang van de eerste dag na vaststelling van het
Privacyreglement door de Raad van Bestuur van De Buurderij.

Bijlage: Bewaartermijnen volgens de archiefwet

Bijlage Privacyreglement: Bewaartermijnen volgens de archiefwet
Persoonsgegevens mogen niet langer worden bewaard dan wettelijk bepaald en noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt.

Cliënt gegevens
In de praktijk beschikt De Buurderij over cliënt gegevens die onder te verdelen zijn in:
1. Gegevens die zij zelf heeft gegenereerd en die direct verband houden met de zorg en ondersteuning aan de cliënt (gezondheidsgegevens). Deze worden 15 jaar bewaard;
2. Gegevens die de instelling niet zelf heeft gegenereerd, maar van de cliënt zelf heeft gekregen zoals financiële gegevens, bankafschriften. Deze worden zoveel mogelijk geretourneerd na het einde van de behandeling;
3. Gegevens die de instelling zelf heeft gegenereerd die nog wel verband houden met de zorg en ondersteuning, maar geen gezondheidsgegevens zijn (de financiële administratie); hiervoor geldt de bewaartermijn op grond van andere regels, bijvoorbeeld die voor de boekhoudplicht/ financiële verslaglegging. Voor dergelijke fiscale gegevens geldt over het algemeen een termijn van 7 jaar.
4. Overige gegevens. Deze worden niet langer bewaard dan strikt noodzakelijk is.

De Verantwoordelijke bepaalt aan de hand van de wettelijke bepalingen en het doel hoe lang het noodzakelijk is om Persoonsgegevens te bewaren. Gegevens moeten worden vernietigd of geanonimiseerd binnen een redelijke termijn nadat deze periode is verstreken
Algemene uitzondering om Persoonsgegevens langer te kunnen bewaren zijn:
– Ondubbelzinnige Toestemming van de Betrokkene;
– Noodzaak voor het behandelen van (lopende) geschillen.
Voor verwerkingen die niet onder de meldingsplicht vallen, gelden andere bewaartermijnen. Hieronder wordt een aantal daarvan genoemd.

Audio- en videobeelden van cliënten van gezondheidszorginstellingen
Hier zijn ruwweg twee situaties denkbaar:
– Als de privacygevoelige gegevens niet (langer) relevant zijn voor het doel waarvoor ze werden verzameld, dan dienen ze vernietigd te worden. Dit is het geval als de videobeelden enkel dienden als een geheugensteuntje. Zodra het is verwerkt in een schriftelijk verslag, moet de band gewist worden. Tot die tijd wordt het materiaal in het dossier bewaard.
– Als de video-opnames een belangrijke bouwsteen zijn voor de professionele besluitvorming, dan dienen ze in het cliëntdossier te worden bewaard tot tenminste één jaar na het eindigen van de professionele relatie. Wanneer de video-opnames worden gebruikt in het diagnostisch proces, bijvoorbeeld in teamoverleg, dan dienen ze in het cliëntdossier te worden bewaard, net zoals vragenlijsten, testuitslagen, verslagen etc.

Medische gegevens
De bewaartermijn van medische gegevens die onder de geneeskundige behandelovereenkomst vallen, wordt over het algemeen geregeld in de Wet op de Geneeskundige Behandelovereenkomst (WGBO).
De hulpverlener bewaart medische gegevens gedurende vijftien jaren, tenzij het voor een zorgvuldige hulpverlening nodig is om de gegevens langer te bewaren.

Gegevens van personeel
Een werkgever beschikt over uiteenlopende informatie over medewerkers die mogelijk is opgenomen in verschillende dossiers. Voorbeelden hiervan zijn verslagen van functioneringsgesprekken en de hoogte van het salaris. Deze gegevens mogen alleen bewaard worden wanneer zij ter zake dienend zijn. Verouderde informatie die haar waarde heeft verloren dient vernietigd te worden.
In principe bewaart De Buurderij medewerkersgegevens niet langer dan twee jaar nadat de Betrokkene uit dienst is getreden, tenzij wettelijk anders bepaald.
Bepaalde gegevens dienen voor de fiscus zeven jaar te worden bewaard.
Vanuit de Wet op de Identificatieplicht is het voor de werkgever verplicht een kopie van het identiteitsbewijs van een medewerker tot minstens 5 jaar na het einde van het kalenderjaar waarin de werkzaamheden van de betreffende werknemer zijn beëindigd in de administratie te bewaren.

Sollicitatiegegevens
In een sollicitatieperiode vraagt de organisatie waar gesolliciteerd wordt om bepaalde informatie zoals geboortedatum, werkervaring en opleidingsniveau. Deze gegevens kan de sollicitant schriftelijk geven door een sollicitatiebrief of een door een curriculum vitae. Tijdens het sollicitatiegesprek kunnen er door personen die bij het gesprek aanwezig zijn, aantekeningen worden gemaakt. Een assessment maakt soms ook deel uit van de procedure, de uitkomsten daarvan horen ook bij de sollicitatiegegevens. De Buurderij houdt zich aan de vergewisplicht en tevens kunnen referenties worden opgevraagd.
Voor deze sollicitatiegegevens geldt voor sollicitanten die worden afgewezen dat deze uiterlijk vier weken na het einde van de volledige sollicitatieprocedure vernietigd dienen te worden.
Wel kan de sollicitant toestemming geven om zijn/haar gegevens tot maximaal één jaar te laten bewaren in afwachting van het beschikbaar komen van een functie op een later tijdstip.
Gegevens van sollicitanten die worden geaccepteerd worden toegevoegd aan het personeelsdossier.