0592-860444 info@debuurderij.nl

Privacyreglement

jul 4, 2020

 

 

Doel
Het uitwerken van de bepalingen die de wetgever stelt aan de verantwoorde omgang met en de
bescherming van Persoonsgegevens binnen De Buurderij Balloo.

 

Werkingssfeer
Dit privacyreglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van
persoonsgegevens en de niet geautomatiseerde verwerking van persoonsgegevens die in een
bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Dit privacyreglement is van toepassing op De Buurderij Balloo

 

Uitgangspunten

 

  • De Algemene Verordening Gegevensbescherming (AVG)
  • De Uitvoerignswet AVG
  • De Wet op de geneeskundige behandelovereenkomst (WGBO)
  • De Wet op de individuele beroepen in de gezondheidszorg (BIG)
  • De Archiefwet.
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

 

Uitwerking
Een overzicht van bewaartermijnen is opgenomen in de bijlage.

 

Artikel 1 Begripsbepaling
In dit Privacyreglement wordt verstaan onder:
a. de Wet:
De Algemene Verordening Gegevensbescherming (AVG).
b.1 Persoonsgegevens:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”);
als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden
geïdentificeerd, met name aan de hand van een identificator zoals een naam, een
identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die
kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of
sociale identiteit van die natuurlijke persoon;
b.2 Bijzonder persoonsgegevens:
Bijzondere persoonsgegevens zijn gegevens over iemands: ras of etnische afkomst; politieke
opvattingen; godsdienst of levensovertuiging; lidmaatschap van een vakbond; genetische of
biometrische gegevens met oog op unieke identificatie; gezondheid; seksuele leven; strafrechtelijk
verleden.c. Verwerking van Persoonsgegevens:
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel
van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen,
vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen,
aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
d. Bestand:
elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens
gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens
bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
e. Verwerkingsverantwoordelijke:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan
die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt;
f. Verwerker:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan
die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
g. Beheerder:
een onder rechtstreeks gezag van de Verantwoordelijke vallende functionaris die door de
Verantwoordelijke is belast met de dagelijkse zorg voor de registratie
h. Functionaris Gegevensbeheer (FG):
Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Bij
de Buurderij Balloo is dit de bestuurder.
i. Gebruiker:
een onder rechtsreeks gezag van de Verantwoordelijke vallende functionaris die door de
Verantwoordelijke geautoriseerd is om Persoonsgegevens te raadplegen, toe te voegen, te wijzigen
of te verwijderen.
j. Betrokkene:
degene op wie een Persoonsgegeven betrekking heeft.
k. Vertegenwoordiger:
degene of degenen die op basis van artikel 9 van dit Privacyreglement als vertegenwoordiger van de
Betrokkene kan of kunnen optreden.
l. Derde:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan,
niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de
personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker
gemachtigd zijn om de persoonsgegevens te verwerken;.
m. Raad van Bestuur:
persoon of personen die belast zijn met de leiding van De Buurderij Balloo.
n. Ontvanger:
degene aan wie de Persoonsgegevens worden verstrekt.
o. Toestemming van de Betrokkene:
elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Betrokkene aanvaardt dat
hem betreffende Persoonsgegevens worden verwerkt. Deze toestemming kan op elk moment
worden ingetrokken.
p. De autoriteit Persoonsgegevens (AP):
De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de
bescherming van persoonsgegevens bevordert en bewaakt.
q. Verstrekken van Persoonsgegevens:
het bekend maken of ter beschikking stellen van Persoonsgegevens. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de
gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan
dus per situatie verschillen.
r. Verzamelen van Persoonsgegevens:
het verkrijgen van Persoonsgegevens.
s. Bijzondere Zorgvraag:
Een Bijzondere Zorgvraag ontstaat als:
– de kwaliteit van leven van de cliënt ernstig wordt aangetast of dreigt te worden aangetast en er
geen uitzicht op verbetering is en;
– de reguliere zorgverlening ontoereikend is (handelingsverlegenheid) en/of;
– de dialoog tussen hulpverlener en cliënt of zijn vertegenwoordiger is gestagneerd en/of
– er geen passend zorgaanbod kan worden geïdentificeerd.
t. Consultatie:
het opstellen en/of adviseren over een plan van aanpak bij een cliënt met een bijzondere zorgvraag
en eventueel volgend daarop tijdelijk coördineren van het zorgproces.
u. Second opinion:
Het adviseren over het bestaande zorgplan bij een cliënt met complexe problematiek.
v. Inhoudelijke Toetsing:
het op verzoek van de betrokkene en/of een instelling waar een betrokkene zorg van ontvangen
en/of een instantie die daartoe wettelijk is bevoegd, beoordelen van de toestand van een persoon
en/of van een zorgplan met het doel te adviseren over de benodigde zorg, of kwaliteit en
passendheid van het bestaande zorgplan.
w. Tijdelijke ondersteuning:
het financieel en/of op andere wijze ondersteunen van de uitvoering van een Bijzonder Zorgplan.
x. Bijzonder Zorgplan:
een plan van aanpak op basis van een consultatie, waaraan een financiële aanvraag voor extra inzet
gekoppeld is.

 

Artikel 2 Doel verzameling en verdere verwerking
2.1.
Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Algemene
Verordening Gegevensbescherming, verder te noemen AVG.

 

2.2.
Dit reglement is van toepassing binnen De Buurderij Balloo en kan ten hoogste de volgende
gegevenscategorieën bevatten:

 

  • Personalia/identificatiegegevens
  • Bijzondere persoonsgegevens
  • Financieel/administratieve gegevens
  • Begeleidingsgegevens

 

Artikel 3 Categorieën personen van wie gegevens worden verwerkt
De Buurderij Balloo verwerkt uitsluitend gegevens over de volgende categorieën personen:
a. Personen (cliënten) met een (mogelijke) Bijzondere Zorgvraag, die worden aangemeld bij De
Buurderij Balloo voor Bewoning, Dagbesteding of een ander vorm van ondersteuning;
b. Ouders, familie en/of wettelijk vertegenwoordigers van de onder sub a van dit artikel genoemde
personen;
c. Hulpverleners en/of contactpersonen van de instellingen die betrokken zijn bij de zorg van de
onder sub a van dit artikel genoemde personen;
d. Personen die door De Buurderij Balloo worden ingeschakeld ten behoeve van de behandeling van
de cliënt, te weten consulenten en casemanagers;
e. Medewerkers van De Buurderij Balloo, en potentiële medewerkers van De Buurderij Balloo
(sollicitanten);
f. Overige personen, voor zover noodzakelijk, en voor zover zij daarvoor toestemming hebben
gegeven ingeval de Wet zulks voorschrijft.

 

Artikel 4 Verwerkingen van Persoonsgegevens
4.1. Van de in artikel 3 sub a bedoelde personen worden de volgende gegevens verwerkt:
a. Naam, voorletters, adres, woonplaats, geboortedatum, geslacht, burgerlijke staat, titulatuur,
nationaliteit, juridische status, naam zorginstelling, telefoonnummer, email, zorgkantoor,
locatiegegevens, naam verzekeraar, polisnummer;
b. Gegevens met betrekking tot de (mogelijke) Bijzondere Zorgvraag, o.a.:
– de algemene gezondheidstoestand van de Betrokkene;
– de beperkingen die de zorgvrager in zijn lichamelijk, zintuiglijk, psychisch of verstandelijk
functioneren ondervindt als gevolg van een ziekte of een handicap;
– de woning en de woonomgeving van de Betrokkene;
– het psychisch en sociaal functioneren van de Betrokkene;
– de sociale omstandigheden van de Betrokkene;
– de aard en de omvang van de aan de Betrokkene geboden professionele en niet-professionele hulp
en zorg en de mogelijkheden tot continuering en uitbreiding daarvan.
4.2. Van de in artikel 3, onder sub b en c bedoelde personen worden ten hoogste de volgende
gegevens verwerkt: naam, voorletters, adres, woonplaats, titulatuur, telefoonnummer, e-mail, relatie
tot betrokkene en gegevens van belang voor het goed kunnen uitvoeren van activiteiten ten behoeve
van de in artikel 3, onder sub a genoemde personen.
4.3. Van de in artikel 3, onder sub d bedoelde personen worden ten hoogste de volgende gegevens
verwerkt: naam, voorletters, adres, woonplaats, gegevens van belang voor het goed kunnen
beoordelen of betreffende persoon geschikt is om te kunnen worden ingeschakeld ten behoeve van
een cliënt met een Bijzondere Zorgvraag en ander gegevens benodigd voor het goed kunnen inzetten
van de bedoelde personen.
4.4. Van de in artikel 3, onder sub e bedoelde personen worden ten hoogste de volgende gegevens
verwerkt: naam, voorletters, adres, woonplaats, geboortedatum, telefoonnummer, e-mail, geslacht,
burgerlijke staat, titulatuur, VOG (verklaring omtrent goed gedrag), opleidingsgeschiedenis,
registraties, C.V.- gegevens, indien van belang voor het goed kunnen uitvoeren van de taken als
(potentieel) werknemer.
4.5. De onder lid 1,2,3 van dit artikel genoemde gegevens kunnen ook in de vorm van audio en/of
videobeelden worden vastgelegd.

 

Artikel 5 Verwerkingsactiviteiten en register verwerkingsactiviteiten
Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke
verwerkingen van persoonsgegevens zij uitvoeren. Dit kunnen verwerkingen zijn die een wettelijke
grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene.
Het register dient ook bijgehouden te worden. Wanneer er een nieuwe verwerking plaatsvindt, moet
deze in het register komen te staan.: Iedere verwerkingsverantwoordelijke moet een register van de
verwerkingsactiviteiten die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke
vallen, in een register bij te houden (art. 30 AVG). Dit register is in schriftelijke vorm, waaronder in
elektronische vorm, opgesteld. De verwerkingsverantwoordelijke houdt de volgende gegevens in het
register bij:

 

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris
    voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens
    verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
  • een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens
    worden er verwerkt? bijvoorbeeld BSN, financiële gegevens, etc.);
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien
    van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische
    maatregelen die genomen zijn om te beveiligen.

 

Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten
behoeve van de verwerkingsverantwoordelijke zijn verricht (art. 30 lid 2 AVG). Dit register is ook in
schriftelijke vorm, waaronder elektronische vorm opgesteld. De verwerker houdt de volgende
gegevens in het register bij:

 

  • de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n)
    en de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor rekening van iedere
    verwerkingsverantwoordelijke zijn uitgevoerd;
  • de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
    (indien van toepassing);
  • indien mogelijk een algemene beschrijving van de technische en organisatorische
    maatregelen die genomen zijn om te beveiligen.

 

Artikel 6 Verwerkingsovereenkomsten
De Buurderij heeft met haar verwerkers een verwerkersovereenkomst afgesloten. Artikel 28 AVG
bepaalt dat de gegevensverwerking, uitgevoerd door de verwerker voor een
verwerkingsverantwoordelijke, vastgelegd moet worden in een verwerkingsovereenkomst. De
verwerkersovereenkomst bevat het onderwerp, de duur van de verwerking, de aard en het doel van
de verwerking, het soort persoonsgegevens dat verwerkt wordt, de categorieën van de betrokkene
en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

 

Artikel 7 Verzamelen van Persoonsgegevens op verzoek van derden
Indien er geen wettelijke bezwaren zijn tot het verzamelen en verwerken op verzoek van derden van
de in artikel 3 onder a genoemde Persoonsgegevens kan pas worden overgegaan tot het verzamelen
van de gegevens na schriftelijke Toestemming van de Betrokkene of zijn Vertegenwoordiger.

 

Artikel 8 Verantwoordelijke en Beheerder verwerking
De Raad van Bestuur is aan te merken als Verantwoordelijke voor de verwerking en draagt als
zodanig de verantwoordelijkheid voor de verwerking van de Persoonsgegevens overeenkomstig dit
Privacyreglement.
De Raad van Bestuur kan binnen de organisatie een of meer Beheerders aanwijzen die belast is
respectievelijk zijn met de dagelijkse zorg voor de verwerking.

 

Artikel 9 Verantwoordelijke en Bewerker verwerking
Indien de Verantwoordelijke de Verwerking van Persoonsgegevens of een gedeelte daarvan heeft
ondergebracht bij een Verwerker, ziet de Verantwoordelijke of de Functionaris Gegevensbeheer in
diens opdracht toe op naleving van het in dit Privacyreglement en bij de wet bepaalde.

 

Artikel 10 Verkrijgen van Persoonsgegevens
Persoonsgegevens kunnen worden verkregen:
a. Van Betrokkene zelf;
b. Van zorgaanbieders van wie de betreffende persoon al zorg ontvangt of heeft ontvangen;
c. Van de Vertegenwoordigers;
d. Van familieleden of anderen in de omgeving van de Betrokkene;
e. Van anderen die betrokken zijn bij de cliënt, bijvoorbeeld onderwijsinstelling en verwijzers;

 

Artikel 11 Vertegenwoordiging
1. Er is alleen dan sprake van vertegenwoordiging en de invulling daarvan indien
a. de Betrokkene jonger is dan twaalf jaar:
– De ouders die het ouderlijk gezag uitoefenen dan wel de voogd treden in de plaats van de
Betrokkene.
b. de Betrokkene de leeftijd van twaalf jaar bereikt heeft en niet in staat wordt geacht tot een
redelijke waardering van zijn belangen ter zake;
c. de Betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke
waardering van zijn belangen:
– Naast de Betrokkene zelf treden diens ouders/verzorgers op;
d. de Betrokkene zestien jaar is of ouder en niet in staat kan worden geacht tot een redelijke
waardering van zijn belangen ter zake. In volgorde als hier is weergegeven, treedt dan als
Vertegenwoordiger voor hem op:
– De curator of mentor indien de Betrokkene onder curatele staat of ten behoeve van hem
mentorschap is ingesteld.
– De persoonlijk gemachtigde indien de Betrokkene deze schriftelijk heeft gemachtigd, tenzij deze
persoon niet optreedt.
– De echtgenoot of andere levensgezel van de Betrokkene, tenzij deze persoon dat niet wenst of
ontbreekt.
– Een ouder, kind, broer of zus van de Betrokkene, tenzij die persoon dat niet wenst;
e. de Betrokkene de leeftijd van achttien jaar bereikt heeft en wel in staat is tot een redelijke
waardering van zijn belangen, en hij van de mogelijkheid gebruik maakt een andere persoon
schriftelijk te machtigen in diens plaats op te treden.
2. De persoon die in plaats van de Betrokkene optreedt, betracht de zorg van een goed
Vertegenwoordiger. Hij is gehouden de Betrokkene zoveel mogelijk bij de vervulling van zijn taken te
betrekken.
3. Indien een vertegenwoordiger optreedt namens de Betrokkene, komt de Verantwoordelijke zijn
verplichtingen die voortvloeien uit de wet en dit Privacyreglement na jegens deze
Vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed
Verantwoordelijke.

 

Artikel 12 Verkrijgen gegevens betreffende de gezondheid
Benodigde gegevens over de gezondheid (medische gegevens) worden na schriftelijke toestemming
van de zorgvrager of diens ouders of wettelijke vertegenwoordigers verkregen van een andere
behandelaar. De verwerking van deze gegevens geschiedt conform het in artikel 4 van dit
Privacyreglement bepaalde.

 

Artikel 13 Informatieverstrekking aan de Betrokkene
Aan de persoon en/of diens ouders of diens Vertegenwoordiger, van wie gegevens worden
opgenomen, wordt vooraf bij de aanvang tot verwerking, schriftelijk medegedeeld met welk doel de
gegevens worden vastgelegd, hoe de verwerking van de registratie is en op welke wijze dit
Privacyreglement kan worden verkregen.

 

Artikel 14 Toegang tot de Persoonsgegevens
1. Onverminderd eventuele wettelijke voorschriften hebben slechts toegang tot de
Persoonsgegevens:
a. De Verantwoordelijke, voor zover noodzakelijk voor de uitoefening van toezicht;
b. De Bewerker, voor zover noodzakelijk in het kader van bewerking;
c. De Beheerder, voor zover noodzakelijk voor de uitoefening van zijn taak;
d. De Gebruiker, voor zover noodzakelijk voor de uitoefening van zijn taak.

 

2. De verwerking is uitsluitend toegankelijk op het volgende gegeven:
a. Op naam;
b. Op registratienummer of password;
c. Voor zover met het beeldscherm toegang tot de verwerking kan worden verkregen, staat dit
beeldscherm opgesteld ten kantore van De Buurderij Balloo of een andere locatie waarbij de
Gebruiker dusdanige maatregelen treft waardoor derden zich geen toegang kunnen verschaffen tot
de Persoonsgegevens.

 

Artikel 15 Geheimhoudingsplicht
De personen bedoeld in artikel 12 lid 1, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk
voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de
Persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen
tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

 

Artikel 16 Ontvangers van Persoonsgegevens binnen de organisatie
Binnen De Buurderij Balloo kunnen Persoonsgegevens worden verstrekt aan:
a. Degenen die betrokken zijn bij het uitvoeren van de Consultatie, Toetsing en of Tijdelijke
Ondersteuning of andere cliëntgerichte taken van De Buurderij Balloo voor zover zij die gegevens
nodig hebben voor een goede uitvoering van hun functie;
b. Degenen die betrokken zijn bij het bij het beheer van de Verwerking van Persoonsgegevens voor
zover zij die gegevens nodig hebben voor een goede uitvoering van hun functie.

 

Artikel 17 Ontvangers van Persoonsgegevens buiten de organisatie
Persoonsgegevens mogen slechts aan derden worden verstrekt als:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst met betrokkene,
of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de
betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de
verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene,
zoals bijvoorbeeld een dringende medische noodzaak;
e. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van
de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of
de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming
van de persoonlijke levenssfeer, prevaleert.

 

Artikel 18 Verstrekking gegevens ten behoeve van wetenschappelijk onderzoek
1. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke
doeleinden, wordt niet als onverenigbaar beschouwd, indien de verwerking plaatsvindt door
instellingen of diensten voor wetenschappelijk onderzoek of statistiek en de nodige voorzieningen
zijn getroffen teneinde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve
van deze specifieke doeleinden.

 

Artikel 19 Beveiliging van de Persoonsgegevens
1. De Verantwoordelijke draagt zorg voor passende voorzieningen van technische en
organisatorische aard ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of
aantasting van de gegevens of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen
garanderen, rekening houdende met de stand van de techniek en de kosten van de
tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard
van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht
onnodige verzameling en verdere Verwerking van Persoonsgegevens te voorkomen.

 

Artikel 20 Melding verwerking en registratie incidentele afwijkingen
1. Van een verwerking die afwijkt van hetgeen in artikel 2, 3, 4, 15 lid 1 en 17 is gesteld, zal een
register worden bijgehouden. De in dit register vermelde gegevens worden ten hoogste 3 jaar
bewaard tenzij dit register in het kader van procedure of wet langer of korter bewaard moet blijven.
2. In dit register zullen in ieder geval alle gevallen worden opgenomen waarin sprake is van:
a. Overige personen zoals bedoeld in artikel 3 sub e van dit Privacyreglement;
b. Verzoeken van derden tot het doen verzamelen en verwerken van niet in artikel 4 van dit
Privacyreglement genoemde Persoonsgegevens (artikel 5);
c. Verstrekking aan personen of instanties anders dan beschreven in artikel 15 lid 1 van dit
Privacyreglement.

 

Artikel 21 Datalek
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening
gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.
Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot
de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde
toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt
12, AVG).

 

Er zijn drie categorieën datalekken te onderscheiden:

 

  • Inbreuk op de vertrouwelijkheid
    Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot,
    persoonsgegevens.
  • Inbreuk op de integriteit
    Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
  • Inbreuk op de beschikbaarheid
    Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of
    vernietiging van, persoonsgegevens.

    Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën
    vallen.

 

De Buurderij is verplicht direct een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra zij
een ernstig datalek heeft.

 

Artikel 22 lnzage
1. Degene, van wie gegevens in de verwerking zijn opgenomen dan wel degene die vermoedt dat zijn
gegevens in de verwerking zijn opgenomen, heeft recht op inzage van de hem betreffende gegevens.
2. De Verantwoordelijke deelt eenieder op diens verzoek schriftelijk zo spoedig mogelijk doch
uiterlijk binnen vier weken mede of hem betreffende Persoonsgegevens worden verwerkt.
3. Indien zodanige Persoonsgegevens worden verwerkt, stelt de Verantwoordelijke de verzoeker
desverlangd zo spoedig mogelijk doch uiterlijk binnen vier weken na ontvangst van het verzoek
schriftelijk een volledig overzicht daarvan met inlichtingen over de herkomst van de
Persoonsgegevens, over het doel van de verwerking en over de Ontvangers van de
Persoonsgegevens ter beschikking.
4. Voordat een Verantwoordelijke een mededeling doet als bedoeld in het tweede en derde lid,
waartegen een Derde naar verwachting bedenkingen zal hebben, stelt hij die Derde in de
gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem
betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
5. Indien een gewichtig belang van de verzoeker dit eist voldoet de Verantwoordelijke aan het
verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast.
6. Indien inzage niet kan worden verleend zonder dat daarbij inzage wordt gegeven in de gegevens
van andere personen, dienen die andere personen eerst toestemming te verlenen.
7. Inzage wordt slechts geweigerd voor zover dit noodzakelijk is voor de bescherming van de
Betrokkene of van de rechten en vrijheden van anderen. Verzoeker wordt geïnformeerd over de
mogelijkheid hiertegen bezwaar te maken.

 

Artikel 23 Recht op verbetering, verwijdering, aanvulling of afscherming van Persoonsgegevens
1. De Betrokkene die inzage heeft gekregen in de hem betreffende Persoonsgegevens kan verzoeken
de op hem/haar betrekking hebbende Persoonsgegevens te verbeteren, aan te vullen, te verwijderen
of af te schermen indien de gegevens feitelijk onjuist zijn of niet ter zake doen, dan wel indien de
gegevens in strijd met dit Privacyreglement zijn opgenomen.
2. Een verzoek als bedoeld in lid 1 van dit artikel wordt schriftelijk bij de Verantwoordelijke
ingediend. Het verzoek bevat de aan te brengen wijzigingen.
3. Indien de Verantwoordelijke van mening is dat het verzoek gegrond is, draagt hij er zorg voor dat
de noodzakelijke verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk nadat het
verzoek is ontvangen plaatsvindt, waarna hij Betrokkene dit schriftelijk meedeelt.
4. Aan degenen van wie kan worden nagegaan dat onjuiste gegevens zijn verstrekt, wordt
mededeling gedaan van de verbetering, aanvulling, verwijdering of afscherming van gegevens tenzij
dit onmogelijk blijkt of een onevenredige inspanning kost.
5. Indien de Verantwoordelijke van mening is dat het verzoek niet of niet geheel gegrond is, deelt hij
dit binnen vier weken en met redenen omkleed schriftelijk mee aan verzoeker, waarbij deze tevens
geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te maken.

 

Artikel 24 Verzet
1. De Betrokkene kan op grond van bijzondere persoonlijke omstandigheden bij de
Verantwoordelijke verzet aantekenen tegen verwerking, of bepaalde verwerkingen, van zijn
Persoonsgegevens. Verzet is niet mogelijk tegen verwerkingen die plaatsvinden op grond van een
wettelijke verplichting van de Verantwoordelijke of op grond van Toestemming van de Betrokkene.
2. De Verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet
gerechtvaardigd is. Indien het verzet gerechtvaardigd is, wordt de verwerking waartegen dit is
gericht, beëindigd.
3. Indien de Verantwoordelijke het verzet niet gerechtvaardigd acht, bericht hij dit schriftelijk aan de
Betrokkene, waarbij deze tevens geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te
maken.

 

Artikel 25 Looptijd, overdracht en overgang van de verwerking
1. Onverminderd eventuele wettelijke bepalingen is dit Privacyreglement van kracht gedurende de
gehele looptijd van de verwerking.
2. In geval van overdracht of overgang van de verwerking naar een andere Verantwoordelijke dienen
de Betrokkenen van dit feit in kennis te worden gesteld, opdat tegen de overdracht of overgang van
op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt.

 

Artikel 26 Bewaartermijn
1. De gegevens worden verwerkt voor zover en zolang dit noodzakelijk is voor de in artikel 2 van dit
Privacyreglement genoemde doeleinden of de in artikel 4 van dit privacyreglement genoemde
verwerkingen, tenzij enige wettelijke bepaling een langere bewaartermijn vereist.
2. De Persoonsgegevens van de Betrokkene zullen verwijderd worden dan wel zodanig
geanonimiseerd dat identificatie van de Betrokkene niet meer mogelijk is:
a. Na het verstrijken van de bewaartermijn zoals beschreven in de bijlage;
b. Zodra vaststaat dat de Persoonsgegevens niet meer noodzakelijk zijn voor het doel van de
verwerking;
3. Voor vernietiging van gegevens gelden de bepalingen van de Archiefwet;
4. Voor een overzicht van bewaartermijnen wordt verwezen naar de bijlage.

 

Artikel 27 Ter inzagelegging
Dit Privacyreglement is beschikbaar gemaakt op de website. (www.debuurderij.nl).

 

Artikel 28 Wijzigingen
1. Dit Privacyreglement wordt vastgesteld en kan worden gewijzigd door de Raad van Bestuur van De
Buurderij Balloo
2. Wijzigingen in dit Privacyreglement treden in werking de eerste dag na een periode van 4 weken
volgend op de vaststelling door de Raad van Bestuur van De Buurderij Balloo.
3. De Raad van Bestuur van De Buurderij Balloo draagt er zorg voor dat er een algemene
kennisgeving wordt gedaan van de wijziging(en) in dit Privacyreglement.

 

Artikel 29 Citeertitel, wijziging en inwerkingtreding
1. Dit Privacyreglement kan worden aangehaald als “Privacyreglement De Buurderij Balloo “.
2. Dit Privacyreglement treedt in werking met ingang van de eerste dag na vaststelling van het
Privacyreglement door de Raad van Bestuur van het De Buurderij Balloo.

 

Bijlage: Bewaartermijnen volgens de archiefwet

Bijlage Privacyreglement: Bewaartermijnen volgens de archiefwet
Persoonsgegevens mogen niet langer worden bewaard dan wettelijk bepaald en noodzakelijk is voor
de doeleinden waarvoor zij zijn verzameld of worden gebruikt.

Cliënt gegevens
In de praktijk beschikt De Buurderij Balloo over cliënt gegevens die onder te verdelen zijn in:
1. Gegevens die zij zelf heeft gegenereerd en die direct verband houden met de zorg en
ondersteuning aan de cliënt (gezondheidsgegevens). Deze worden 15 jaar bewaard;
2. Gegevens die de instelling niet zelf heeft gegenereerd, maar van de cliënt zelf heeft gekregen
zoals financiële gegevens, bankafschriften. Deze worden zoveel mogelijk geretourneerd na het
einde van de behandeling;
3. Gegevens die de instelling zelf heeft gegenereerd die nog wel verband houden met de zorg en
ondersteuning, maar geen gezondheidsgegevens zijn (de financiële administratie); hiervoor geldt
de bewaartermijn op grond van andere regels, bijvoorbeeld die voor de boekhoudplicht/
financiële verslaglegging. Voor dergelijke fiscale gegevens geldt over het algemeen een termijn
van 7 jaar.
4. Overige gegevens. Deze worden niet langer bewaard dan strikt noodzakelijk is.

De Verantwoordelijke bepaalt aan de hand van de wettelijke bepalingen en het doel hoe lang het
noodzakelijk is om Persoonsgegevens te bewaren. Gegevens moeten worden vernietigd of
geanonimiseerd binnen een redelijke termijn nadat deze periode is verstreken
Algemene uitzondering om Persoonsgegevens langer te kunnen bewaren zijn:
– Ondubbelzinnige Toestemming van de Betrokkene;
– Noodzaak voor het behandelen van (lopende) geschillen.
Voor verwerkingen die niet onder de meldingsplicht vallen, gelden andere bewaartermijnen.
Hieronder wordt een aantal daarvan genoemd.

Audio- en videobeelden van cliënten van gezondheidszorginstellingen
Hier zijn ruwweg twee situaties denkbaar:
– Als de privacygevoelige gegevens niet (langer) relevant zijn voor het doel waarvoor ze werden
verzameld, dan dienen ze vernietigd te worden. Dit is het geval als de videobeelden enkel dienden als
een geheugensteuntje. Zodra het is verwerkt in een schriftelijk verslag, moet de band gewist worden.
Tot die tijd wordt het materiaal in het dossier bewaard.
– Als de video-opnames een belangrijke bouwsteen zijn voor de professionele besluitvorming, dan
dienen ze in het cliëntdossier te worden bewaard tot tenminste één jaar na het eindigen van de
professionele relatie. Wanneer de video-opnames worden gebruikt in het diagnostisch proces,
bijvoorbeeld in teamoverleg, dan dienen ze in het cliëntdossier te worden bewaard, net zoals
vragenlijsten, testuitslagen, verslagen etc.

Medische gegevens
De bewaartermijn van medische gegevens die onder de geneeskundige behandelovereenkomst
vallen, wordt over het algemeen geregeld in de Wet op de Geneeskundige Behandelovereenkomst
(WGBO).
De hulpverlener bewaart medische gegevens gedurende vijftien jaren, tenzij het voor een
zorgvuldige hulpverlening nodig is om de gegevens langer te bewaren.

Gegevens van personeel
Een werkgever beschikt over uiteenlopende informatie over medewerkers die mogelijk is
opgenomen in verschillende dossiers. Voorbeelden hiervan zijn verslagen van
functioneringsgesprekken en de hoogte van het salaris. Deze gegevens mogen alleen bewaard worden wanneer zij ter zake dienend zijn. Verouderde informatie die haar waarde heeft verloren
dient vernietigd te worden.
In principe bewaart De Buurderij medewerkersgegevens niet langer dan twee jaar nadat de
Betrokkene uit dienst is getreden, tenzij wettelijk anders bepaald.
Bepaalde gegevens dienen voor de fiscus zeven jaar te worden bewaard.
Vanuit de Wet op de Identificatieplicht is het voor de werkgever verplicht een kopie van het
identiteitsbewijs van een medewerker tot minstens 5 jaar na het einde van het kalenderjaar waarin
de werkzaamheden van de betreffende werknemer zijn beëindigd in de administratie te bewaren.

Sollicitatiegegevens
In een sollicitatieperiode vraagt de organisatie waar gesolliciteerd wordt om bepaalde informatie
zoals geboortedatum, werkervaring en opleidingsniveau. Deze gegevens kan de sollicitant schriftelijk
geven door een sollicitatiebrief of een door een curriculum vitae. Tijdens het sollicitatiegesprek
kunnen er door personen die bij het gesprek aanwezig zijn, aantekeningen worden gemaakt. Een
assessment maakt soms ook deel uit van de procedure, de uitkomsten daarvan horen ook bij de
sollicitatiegegevens. De Buurderij houdt zich aan de vergewisplicht en tevens kunnen referenties
worden opgevraagd.
Voor deze sollicitatiegegevens geldt voor sollicitanten die worden afgewezen dat deze uiterlijk vier
weken na het einde van de volledige sollicitatieprocedure vernietigd dienen te worden.
Wel kan de sollicitant toestemming geven om zijn/haar gegevens tot maximaal één jaar te laten
bewaren in afwachting van het beschikbaar komen van een functie op een later tijdstip.
Gegevens van sollicitanten die worden geaccepteerd worden toegevoegd aan het personeelsdossier.