1. Definities
Autoriteit Persoonsgegevens (AP):
de autoriteit die erover waakt dat persoonsgegevens zorgvuldig en veilig worden verwerkt en zo nodig sancties kan opleggen als dat niet gebeurt
AVG:
Algemene verordening gegevensbescherming
Bestand:
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn
Betrokkene:
degene op wie een persoonsgegeven betrekking heeft
Bijzondere categorieën persoonsgegevens:
persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
Derde:
elke persoon of instantie die geen betrokkene, verwerkingsverantwoordelijke, verwerker, of een persoon is die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd is persoonsgegevens te verwerken
Functionaris voor gegevensbescherming (FG):
functionaris die door de zorgaanbieder wordt aangesteld voor het informeren en adviseren over en het toezicht houden op de toepassing en naleving van de AVG en andere gegevensbeschermingsbepalingen
Gezondheidsgegevens:
gegevens over de lichamelijke of geestelijke gezondheid van een persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven
Inbreuk in verband met persoonsgegevens:
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Persoonsgegevens:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd
Pseudonimisering:
het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkenen kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld
Toestemming van de betrokkene:
door betrokkene, op goede informatie berustende, specifieke, in vrijheid en ondubbelzinnig gegeven toestemming waarbij betrokkene hem betreffende verwerking van persoonsgegevens aanvaardt
Verwerker:
degene die in opdracht van en voor de verwerkingsverantwoordelijke persoonsgegevens verwerkt
Verwerking van persoonsgegevens:
alle handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of in een andere vorm beschikbaar stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens
Verwerkingsverantwoordelijke:
zorggroep Maas & Waal die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
Zorgaanbieder:
zorggroep Maas & Waal (de Zorggroep)
2. Verwerking van persoonsgegevens van cliënten in overeenstemming met de AVG
2.1 Beginselen
Zorggroep Maas & Waal is verantwoordelijk voor de naleving van onderstaande beginselen en moet de naleving van deze beginselen kunnen aantonen.
Binnen de Zorggroep worden persoonsgegevens alleen verwerkt:
- op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is;
- voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.
de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd; - voor zover zij toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
- indien de persoonsgegevens juist zijn en zo nodig worden geactualiseerd
- en bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen; - door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2.2 Rechtmatigheid
De verwerking is alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:
- de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden
de zorgaanbieder moet de toestemming kunnen aantonen en betrokkenen heeft het recht de toestemming te allen tijde in te trekken; - de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
- de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen, bijvoorbeeld de dossierplicht in de Wgbo of gegevensverstrekking bij gedwongen opname en gedwongen behandeling op grond van de Wet Bopz;
- de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een ander natuurlijk persoon;
- de gegevensverwerking is noodzakelijk voor de goede vervulling van een taak van algemeen belang, dat elders in een wet is vastgelegd met eventuele nadere bepalingen;
- de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde én de belangen, grondrechten of fundamentele vrijheden van degene van wie de gegevens worden verwerkt niet prevaleren.
2.3 Voorwaarden om gezondheidsgegevens te verwerken
Gezondheidsgegevens zijn bijzondere persoonsgegevens. Zorggroep Maas & Waal mag gezondheidsgegevens alleen verwerken, als voldaan wordt aan één van de onderstaande voorwaarden:
- de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, voor zover dit is toegestaan in nationale wetgeving.
- de verwerking is noodzakelijk met het doel gezondheidszorg te leveren, onder de verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim gebonden is of door een ander persoon die op grond van de wet of overeenkomst tot geheimhouding is gehouden.
2.4 Uitbesteden van gegevensverwerking
Zorggroep Maas & Waal kan de verwerking uitbesteden aan een verwerker en legt dan in een verwerkersovereenkomst de verplichtingen uit de AVG op aan de verwerker.
De Zorggroep werkt alleen met verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden zodat de verwerking aan de vereisten van de AVG voldoet.
2.5 Aansprakelijkheid
Zorggroep Maas & Waal is verantwoordelijk en aansprakelijk voor schade die voortvloeit uit het toerekenbaar tekortschieten of niet voldoende naleven van de AVG, waaronder het wel/niet naleven van de beveiligingseisen.
De verwerker, waaraan de Zorggroep (een deel van) gegevensverwerking heeft uitbesteed, kan zelfstandig aansprakelijk zijn voor schade of een deel van de schade die voortvloeit uit zijn werkzaamheden. De verdeling van de aansprakelijkheid ligt vast in de verwerkersovereenkomst.
2.6 Andere bijzondere gegevens dan de gezondheidsgegevens
Andere bijzondere gegevens, bijvoorbeeld gegevens met betrekking tot ras/etniciteit of godsdienst/ levensovertuiging mogen alleen als aanvulling op gezondheidsgegevens worden verwerkt als dat nodig is voor een goede behandeling of verzorging van de betrokkene en dus niet systematisch bij elke cliënt.
2.7 Geheimhoudingsplicht en verstrekking aan derden
Persoonsgegevens verkregen in de uitoefening van een beroep in de gezondheidszorg vallen onder de geheimhoudingsplicht van de hulpverlener. Deze geheimhoudingsplicht is o.a. vastgelegd in de Wet op de geneeskundige behandelovereenkomst (Wgbo), de wet Beroepen op de individuele gezondheidszorg (BIG) en in verschillende beroepscodes.
Bij de verstrekking van gegevens aan derden wordt de wet nageleefd.
2.8 Gegevensverstrekking voor wetenschappelijk onderzoek en statistiek
Voor het verstrekken van niet geanonimiseerde gegevens is toestemming van de betrokkene vereist. Zonder toestemming van de betrokkene kan – ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid – aan een ander desgevraagd inlichtingen over de betrokkene of inzage in de bescheiden, worden verstrekt indien:
- het vragen van toestemming in redelijkheid niet mogelijk is en bij de uitvoering van het onderzoek zodanige waarborgen gelden, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of
- het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener ervoor zorgt dat gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen
- het onderzoek een algemeen belang betrokkene
- aangetoond is dat het onderzoek niet zonder de gegevens kan worden uitgevoerd; en
- de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
Zorggroep Maas & Waal en de onderzoeker maken schriftelijke afspraken over de maatregelen die de onderzoeker neemt om de privacy van betrokkenen te beschermen.
2.9 Bewaren van persoonsgegevens
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt. Zorggroep Maas & Waal hanteert de wettelijke bewaartermijnen.
3 Rechten van de betrokkenen
3.1 Voorwaarden
- Het verstrekken van de in deze paragraaf bedoelde informatie, het verstrekken van de communicatie en het treffen van de maatregelen geschieden kosteloos. Indien het verzoek – naar de mening van de Raad van Bestuur van zorggroep Maas & Waal – ongegrond of buitensporig is, mag zorggroep Maas & Waal een redelijke vergoeding rekenen of weigeren gevolg te geven aan het verzoek. Het is aan zorggroep Maas & Waal om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
- Zorggroep Maas & Waal verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd.
De Zorggroep stelt de betrokkene binnen één maand, na ontvangst van het verzoek, in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
3.2 Informeren van betrokkene
- Als zorggroep Maas & Waal gegevens bij de betrokkene zelf opvraagt informeert hij de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, voorafgaand aan het verkrijgen van zijn persoonsgegevens, over:
- de identiteit en de contactgegevens van de zorgaanbieder;
- de contactgegevens van de functionaris voor gegevensbescherming
- de verwerkingsdoelen waarvoor de gegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
- in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens.
- de periode gedurende welke de persoonsgegevens zullen worden opgeslagen ;
- de mogelijkheden die de betrokkene heeft om een verzoek om inzage, rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
- indien de gegevensverwerking op toestemming is gebaseerd, dient de betrokkene geïnformeerd te worden over het recht om te allen tijde die toestemming in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming voor de intrekking daarvan.
- het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens en op welke wijze de betrokkene deze rechten kan inroepen.
- of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt.
3.3 Informatieplicht als de persoonsgegevens niet van de betrokkene zijn verkregen
- Als persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt zorggroep Maas & Waal de betrokkene alle informatie conform art 3.1 en meldt ook de betrokken categorieën van persoonsgegevens alsmede de bron waar de persoonsgegevens vandaan komen.
- De Zorggroep verstrekt de in het eerste lid van dit artikel bedoelde informatie:
- binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens;
- indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
- indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
- Als de Zorggroep de persoonsgegevens voor een ander doel gaat verwerken dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de zorgaanbieder de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in het eerste lid van dit artikel.
3.4 Inzage en afschrift/kopie
- De betrokkene heeft het recht op inzage en een kopie van de op zijn persoon betrekking hebbende verwerkte gegevens. Het verzoek wordt ingediend bij de Raad van Bestuur van de Zorggroep.
De inzage of afschrift verstrekking vindt plaats voor zover daarbij de persoonlijke levenssfeer van een ander niet wordt geschaad. - Een wettelijk vertegenwoordiger van een wilsonbekwame volwassene, heeft recht op inzage in of afschrift van het dossier met dezelfde uitzondering voor informatie over of verstrekt door derden (de andere ouder, familie, naastbetrokkenen en omstanders) voor zover van die vertegenwoordigers toestemming voor de behandeling is vereist. De vertegenwoordiger krijgt alleen die informatie die noodzakelijk is voor het uitoefenen van zijn taken als vertegenwoordiger.
- Als de hulpverlener door inlichtingen over de cliënt dan wel inzage in of afschrift van de bescheiden aan de (wettelijk) vertegenwoordiger te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege.
- Als de zorgaanbieder van mening is dat de gevraagde inzage en/of de kopieën moeten worden verstrekt, moet dat zo spoedig mogelijk plaats vinden/ worden verstrekt, maar uiterlijk binnen één maand. Afhankelijk van de complexiteit van het verzoek/de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd.
Zorggroep Maas & Waal stelt de betrokkene binnen één maand, na ontvangst van het verzoek, in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
3.5 Rectificatie (verbetering)of aanvulling van persoonsgegevens
- De betrokkene kan de Raad van Bestuur van zorggroep Maas & Waal vragen om rectificatie (verbetering) van hem of haar betreffende persoonsgegevens als die onjuist zijn of de Zorggroep verzoeken om zijn persoonsgegevens te vervolledigen, met in acht neming van het doel van de verwerking.
- De Zorggroep informeert de verzoeker onverwijld en ten laatste binnen één maand na ontvangst van een verzoek tot aanvulling of verbetering van gegevens of en op welke manier aan het verzoek wordt voldaan. De Zorggroep heeft de mogelijkheid om de termijn van één maand te verlengen met nog eens twee maanden afhankelijk van de complexiteit van het verzoek. In dat geval dient de betrokkene wel binnen één maand van die verlenging in kennis te worden gesteld.
- Als de Zorggroep het verzoek van betrokkene afwijst, geeft hij daarvan schriftelijk de reden. De Zorggroep deelt een afwijzing van het verzoek onverwijld en uiterlijk binnen één maand ontvangst van het verzoek aan de verzoeker mee. Ook informeert zorggroep Maas & Waal de verzoeker over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens en de mogelijkheid om beroep in te stellen bij de rechter.
- De betrokkene kan de Zorggroep vragen om bepaalde gegevens voor bepaalde personen af te schermen en hen de toegang tot die gegevens te laten blokkeren.
- Het verzoek van een cliënt en beslissing van de zorgaanbieder tot rectificatie (verbetering) of aanvulling van gegevens blijft bewaard in het dossier van de cliënt.
3.6 Recht op gegevenswissing (vergetelheid)
- De betrokkene heeft het recht van zorggroep Maas & Waal zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de Zorggroep is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
- de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
- de betrokkene trekt de toestemming waarop de verwerking berust in en er geen andere rechtsgrond is voor de verwerking;
- de persoonsgegevens zijn onrechtmatig verwerkt;
- op basis van een wettelijke verplichting, die op de zorgaanbieder rust, de persoonsgegevens moeten worden gewist.
- Een verzoek tot gegevenswissing mag alleen worden geweigerd als:
- de wet zich tegen de vernietiging verzet;
- een derde een aanmerkelijk belang heeft bij bewaring van die gegevens.
- de cliënt heeft een procedure tegen de hulpverlener aangespannen of het is waarschijnlijk dat hij dit zal doen;
- de zorgaanbieder de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- om redenen van algemeen belang op het gebied van volksgezondheid.
3.7 Recht van bezwaar
- 1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens.
- Zorggroep Maas & Waal beoordeelt onverwijld en in ieder geval binnen één maand na ontvangst van het bezwaar of het bezwaar gerechtvaardigd is. Indien het bezwaar gerechtvaardigd is, beëindigt hij onmiddellijk de verwerking, tenzij er sprake is van dwingende gerechtvaardigde gronden voor de verwerking die zwaarder wegen dan de belangen, vrijheden en rechten van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
3.8 Recht op gegevensoverdraagbaarheid (dataportabiliteit)
- De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan zorggroep Maas & Waal heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke (bijvoorbeeld andere zorgaanbieder) over te dragen, zonder daarbij te worden gehinderd door de zorggroep aan wie de persoonsgegevens waren verstrekt, indien de verwerking berust op toestemming of op uitvoering van een overeenkomst en de verwerking geautomatiseerd wordt verricht.
- Bij de uitoefening van het recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene zorgaanbieder naar de andere worden doorgezonden.
- Bij de uitoefening van dit recht mag dit geen afbreuk doen aan de rechten en vrijheden van anderen.
4.Veilige verwerking van persoonsgegevens
4.1 Verantwoordelijkheid van zorggroep Maas & Waal
- Zorggroep Maas & Waal treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
- De hierboven bedoelde maatregelen betreffen een passend gegevensbeschermingsbeleid.
4.2 Register van verwerkingen
- Zorggroep Maas & Waal houdt een register bij van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvindt. Dat register bevat in ieder geval de volgende gegevens:
- de naam en de contactgegevens van de zorgaanbieder en eventuele gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
- indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, van de AVG bedoelde doorgiften, de documenten inzake de passende waarborgen;
- indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
- De verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.
- Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
- Desgevraagd stellen de Zorggroep en/ of de verwerker het register ter beschikking van de Autoriteit Persoonsgegevens.
4.3 Medewerking verlenen aan/samenwerken met de Autoriteit persoonsgegevens
Zorggroep Maas & Waal en de verwerker en, in voorkomend geval, hun vertegenwoordigers, werken desgevraagd samen met de Autoriteit Persoonsgegevens bij het vervullen van haar taken.
4.4 Melding van een inbreuk (‘’datalek’’) aan de Autoriteit Persoonsgegevens
- Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt zorggroep Maas & Waal dit zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Autoriteit Persoonsgegevens niet binnen 72 uur plaatsvindt, wordt de vertraging gemotiveerd toegelicht.
- De verwerker informeert de Zorggroep zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
- In de melding aan de Autoriteit Persoonsgegevens wordt ten minste het volgende omschreven of meegedeeld:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de zorgaanbieder heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
- Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
- Zorggroep Maas & Waal houdt alle inbreuken in verband met persoonsgegevens bij in een overzicht, met inbegrip van de feiten omtrent die inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Autoriteit Persoonsgegevens in staat de naleving van dit artikel te controleren.
4.5 Melding van een inbreuk (‘’datalek’’) aan de betrokkenen
- Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt zorggroep Maas & Waal de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
- De bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in het vorige artikel bedoelde gegevens en maatregelen.
- De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
- De Zorggroep heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- De Zorggroep heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
- Indien de Zorggroep de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Autoriteit Persoonsgegevens, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de Zorggroep daartoe verplichten of besluiten dat aan een van de in lid 3 van dit artikel, bedoelde voorwaarden is voldaan.
5.Functionaris voor gegevensbescherming (FG)
5.1 Aanwijzing van een functionaris voor gegevensverwerking
- Zorggroep Maas & Waal heeft een functionaris voor gegevensbescherming aan.
- De functionaris voor gegevensbescherming is aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de hieronder bedoelde taken te vervullen. De vereiste expertise en vaardigheden omvatten in ieder geval:
- kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
- begrip van de gegevensverwerkingen die de organisatie uitvoert;
- begrip van IT en informatiebeveiliging;
- kennis van de organisatie en de sector waarin die actief is;
- vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.
5.2 Taken van de functionaris voor gegevensverwerking
- De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
- de zorgaanbieder of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van de privacywetgeving (de AVG en andere gegevensbeschermingsbepalingen zoals uit sectorspecifieke wet- en regelgeving);
- toezien op naleving van deze AVG, van andere gegevensbeschermingsbepalingen en van het beleid van de zorgaanbieder of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan;
- met de Autoriteit Persoonsgegevens samenwerken;
- optreden als contactpunt voor de Autoriteit Persoonsgegevens inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
- De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
5.3 Bij een klacht
Bij een klacht over de naleving van dit reglement kan de betrokkene zich wenden tot:
- De verwerkingsverantwoordelijke/zorgaanbieder drs. B van Lingen, Raad van Bestuur, stichting zorggroep Maas & Waal, Rozenstraat 10, 6658 WX Beneden-Leeuwen
- De functionaris voor gegevensverwerking, drs. E.L. Wiersma, stichting zorggroep Maas & Waal, Rozenstraat 10, 6658 WX Beneden-Leeuwen
- De Autoriteit Persoonsgegevens
Voor andere klachten raadpleegt de betrokkene de klachtenregeling van de zorgaanbieder.
5.4 Wijzigingen en inzage van dit reglement
Dit reglement geldt per 25 mei 2018.