Privacyreglement Stichting Altijd Zorg

Dit reglement is gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 van toepassing is.

Privacyreglement ter bescherming van de persoonlijke levenssfeer in het kader van persoonsregistratie gehouden voor dienstverlening door Stichting Altijd Zorg.

Verantwoordelijk uitgever: directie Stichting Altijd Zorg © 1 april 2019. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt worden, in enige vorm, of op enige wijze, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke uitgever.

Artikel 1. Begripsbepaling

In dit reglement wordt verstaan onder:

Privacy Het recht van individuen op bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
Stichting Altijd Zorg Elk van de bedrijven en ondernemingen die vallen onder Stichting Altijd Zorg.
Cliënt Degene die gebruik wil maken, gebruik maakt of gebruik heeft gemaakt van het aanbod van dienstverlening van Stichting Altijd Zorg.
Betrokkene Degene over wie gegevens verwerkt worden. Dit kan een cliënt zijn, maar ook medewerkers, debiteuren, leveranciers en andere netwerkcontacten kunnen betrokkene zijn.
Verwerkingsverantwoordelijke Degene die vaststelt welk doel er is voor het verwerken van persoonsgegevens. Binnen Stichting Altijd Zorg is dit de directie.
Verwerker Degene die bevoegd is om persoonsgegevens te verwerken; binnen Stichting Altijd Zorg zijn dit zowel de administratie als de medewerkers, als externe partijen, zoals gemeenten, justitie en UWV. Voor de medewerkers is de verantwoordelijkheid vastgelegd in de arbeidsovereenkomst; voor externe partijen wordt in principe een verwerkersovereenkomst gesloten.
Bewerker Degene die onder verantwoording van de verwerkingsverantwoordelijke persoonsgegevens bewerkt.
Ontvanger Iemand die de persoonsgegevens ontvangt.
Persoonsgegevens Alle informatie die tot een geïdentificeerde natuurlijke persoon te herleiden is.
Gegevens over gezondheid Persoonsgegevens die gaan over de fysieke of mentale gezondheid van een persoon, waaronder gegevens over de gezondheidszorg die geboden is.
Verwerking van persoonsgegevens Elke handeling met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden of vernietigen van gegevens.
Toestemming Aantoonbare instemming van de betrokkene met de beoogde verwerking van gegevens. Aantoonbaar betekent dat de toestemming gegeven wordt door: (1) een handtekening op het document waarop de gegevens staan, (2) aankruisen + handtekening op een toestemmingsverklaring, (3) gegevensaanlevering door de betrokkene zelf terwijl deze al een toestemming gegeven heeft op eerder geregistreerde gegevens, of (4) door schriftelijke toestemming zoals e-mail of Whatsapp-bericht.
Geheimhouding Iedere medewerker in dienst van Stichting Altijd Zorg die toegang heeft tot persoonsgegevens van cliënten is tot geheimhouding verplicht. Deze plicht is ook van toepassing na beëindiging van het dienstverband.

 

Artikel 2. Reikwijdte

  1. Dit reglement is van toepassing op alle papieren dossiers, digitale dossiers en ongeschreven informatie binnen Stichting Altijd Zorg, alswel de bijbehorende gegevensuitwisseling en gegevensverwerking
  2. Stichting Altijd Zorg verwerkt informatie in de volgende categorieën:
    – persoonsgegevens, waaronder naam, adres, woonplaats, geboortedatum, burgerservicenummer
    – achtergrondinformatie, zoals uitkeringssituatie, arbeidsverleden, persoonlijke netwerk
    – voortgangsinformatie: zoals persoonlijke ontwikkeling, gespreksverslagen, voortgangsrapportages, evaluatieverslagen
    – medische informatie, zoals de aard van de handicap en diagnoses
    – contractinformatie, zoals opdrachtverstrekkingen, zorgtoewijzingen, leveringscontracten, arbeidscontracten
    – procesinformatie, zoals datum van binnenkomst, aanwezigheid, rapportagedata, klachtenregistratie, melding datalekken, incidentenregistratie
  3. Dit reglement is van toepassing binnen Stichting Altijd Zorg en heeft betrekking op de verwerkingen van persoonsgegevens van:
    – cliënten
    – medewerkers, inclusief stagiaires en vrijwilligers
    – debiteuren, zoals opdrachtgevers en budgetbeheerders
    – leveranciers, zoals onderaannemers maar ook andere bedrijven
    – netwerkcontacten, zoals de relatie met en gegevens van andere personen in het persoonlijk netwerk

Artikel 3. Doel van de persoonsregistratie

  1. Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor de uitvoering van de zorg voor cliënten, het hebben van personeel en het functioneren als bedrijf.
  2. De gegevens van cliënten worden verzameld en verwerkt ten bate van:
    a. Het begeleiden op alle gebieden van het dagelijks leven
    b. Het begeleiden binnen een woongroep voor beschermd wonen
    – Deze doelstellingen worden gerealiseerd door middel van het aanbieden van intensieve individuele- en groepsbegeleiding
  3. De gegevens van medewerkers worden verzameld en verwerkt ten bate van:
    a. Het maken en uitvoeren van een arbeids- of stageovereenkomst
    b. Het laten uitvoeren van de loonadministratie
    c. Het als collega’s samenwerken
    d. Het voorbereid zijn op calamiteiten
  4. De gegevens van debiteuren oftewel opdrachtgevers worden verzameld en verwerkt ten bate van:
    a. Het kunnen uitvoeren van en communiceren over verstrekte opdrachten
    b. Het kunnen factureren en betaald krijgen
    c. Het kunnen overleggen over potentieel nieuwe opdrachten
  5. De gegevens van crediteuren oftewel leveranciers en onderaannemers worden verzameld en verwerkt ten bate van:
    a. Het laten uitvoeren van en communiceren over verstrekte opdrachten
    b. Het kunnen betalen van facturen en het afleggen van verantwoording over de betalingen
    c. Het kunnen overleggen over de leveringen of diensten
  6. De gegevens van netwerkcontacten worden verzameld en verwerkt ten bate van:
    a. Het kunnen communiceren bij noodgevallen
    b. Het kunnen afstemmen van de diensten met het netwerk van de betrokkene

Artikel 4. Vertegenwoordiging betrokkene

De betrokkene kan vertegenwoordigd worden:

  1. Indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt: de ouder of voogd tekent als wettelijk vertegenwoordiger
  2. Indien de betrokkene onder curatele of mentorschap is gesteld: de curator of mentor tekent als wettelijk vertegenwoordiger
  3. Indien de betrokkene onder verplichte bewindvoering staat: de bewindvoerder tekent als wettelijke vertegenwoordiger
  4. Indien de betrokkene onder vrijwillige bewindvoering staat: zowel de bewindvoerder als de cliënt moet tekenen
  5. Indien de betrokkene iemand expliciet gemachtigd heeft; zowel de betrokkene als de gemachtigde hebben de machtiging ondertekend; de gemachtigde mag de aangegeven documenten ondertekenen

Artikel 5. Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De directie is ervoor verantwoordelijk dat de verwerking en het beheer van de persoonsgegevens goed gaat en kan daarvoor aansprakelijk gesteld worden, behoudens overmacht

Artikel 6. Beschrijving functie, doel en toegang

Personen die de in het overzicht genoemde functies bekleden, hebben slechts toegang tot de registraties voorzover zij ten behoeve van de zorginstelling en ten behoeve van het doel van de registratie ingezet zijn.

Directie controle, verwerkersverantwoordelijke, klachtenprocedures raadplegen, bijwerken, vernietigen
Beheerder verantwoordelijk voor de dagelijkse zorg voor de persoonsregistratie en bij behandeling klachtenprocedure vernietigen
Applicatiebeheerder verantwoordelijk voor het beheer en de uitvoering van de geautomatiseerde persoonsregistratie verwijderen
Begeleider uitvoering taken als begeleider raadplegen, verwijderen
Administratief medewerker Administratieve afhandeling van gegevens raadplegen, verwijderen
Auditor controle aangeleverde gegevens en naleving procedures raadplegen

 

Artikel 7. Verwerking van bijzondere persoonsgegevens

  1. Stichting Altijd Zorg verwerkt ook enkele gegevens die in de wet geclassificeerd zijn als ‘bijzondere persoonsgegevens’. Het gaat om persoonsgegevens die onder andere betrekking hebben op gegevens over gezondheid en justitieel verleden
  2. De betrokkene geeft in de toestemmingsverklaring of in een machtiging expliciet toestemming voor het verwerken van deze bijzondere persoonsgegevens

Artikel 8. Verstrekking van gegevens

  1. De betrokkene geeft expliciet toestemming voor het delen van gegevens met derden
  2. Indien de betrokkene toestemming heeft gegeven wordt en gegevens gedeeld gaan worden, wordt er een verwerkersovereenkomst gesloten met de ontvangende partij. In deze verwerkersovereenkomst staat uitgelegd hoe er met persoonsgegevens om moet worden gegaan en welke beveiligingsmaatregelen Stichting Altijd Zorg en de ontvanger treffen

Artikel 9. Rechten van betrokkene

  1. Wanneer de betrokkene schriftelijk toestemming heeft gegeven voor het verwerken van zijn/haar persoonsgegevens moet de directie kunnen aantonen dat dit is gebeurd
  2. De betrokkene heeft het recht zijn toestemming op elk moment in te trekken
  3. De betrokkene heeft het recht om gegevens over te dragen
  4. De betrokkene heeft het recht om vergeten te worden
  5. De betrokkene heeft het recht op inzage
  6. De betrokkene heeft het recht op rectificatie en aanvulling
  7. Het recht tot inzage strekt zich niet uit tot de aantekeningen die consulenten maken (de ‘gespreksverslagen’), tenzij deze tevens gebruikt zouden worden voor een ander doel dan aantekeningen

Artikel 10. Bewaren van gegevens

Voor verschillende documenten gelden verschillende bewaartermijnen:

vernietigen papieren dossiers 2 jaar na uitstroom
vernietigen digitale dossiers 5 jaar na uitstroom
vernietigen toegangslogboek 5 jaar na datum mutatie
vernietigen e-mailarchief 5 jaar na uitstroom
vernietigen digitale agenda’s 5 jaar na einde boekjaar
vernietigen papieren dagstaten 2 jaar na einde boekjaar
vernietigen urenregistratie 5 jaar na einde boekjaar
vernietigen personeelsdossier 2 jaar na einde dienstverband
vernietigen salarisadministratie 7 jaar na einde boekjaar
vernietigen financiële informatie (debiteuren) 7 jaar na einde boekjaar
vernietigen lijst van vernietigde dossiers 20 jaar vernietiging
vernietigen digitale backups 5 jaar na backupdatum
vernietigen gegevens in administratie 5 jaar na uitstroom
vernietigen na gehonoreerd vernietigingsverzoek 3 maanden na verzoek
vernietigen sollicitatiebrief en CV 4 weken na afronding sollicitatieprocedure, of 1 jaar bij open sollicitatie

 

Artikel 11. Klachtenregeling

De betrokkene kan een klacht indienen bij de directie over de gegevensverwerking. Dit moet op de manier die is vastgelegd in het klachtenreglement.

Artikel 12. Wijzigingen inwerkingtreding en afschrift

– Wijzigingen in dit reglement worden aangebracht door de directie en gemeld in een daarna volgende vergadering van medewerkers
– De wijzigingen in het reglement gaan in vier weken nadat ze bekend zijn gemaakt aan betrokkenen
– Dit reglement treedt in werking per 1 april 2019

Directie Stichting Altijd Zorg