Gegevensbeschermingsbeleid Breederzorg Thuiszorg

Vergelijkbare documenten
Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Data Protection Impact Assessment Clientgegevens

Algemene Verordening Gegevensbescherming (AVG)

Vandaag Zorgvernieuwing

AVG. Algemene Verordening Gegevensbescherming

Handvatten bij de implementatie van de AVG

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Moshe Beukers Dalila Dizdar Robert van Asch

Algemene Verordening Gegevensbescherming (AVG)

AVG- VERKLARING. door Rico Magsino

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

GEGEVENSBESCHERMINGSBELEID: Register van verwerkingsactiviteiten en bewaarbeleid Rolschaatsvereniging S.E.O.

VERANTWOORDINGSPLICHT

Data Protection Impact Assessment Medewerkergegevens

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

INTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Cursus privacyrecht Jeroen Naves 7 september 2017

Kennissessie AVG Promis 28 maart met medewerking van Mr. R.M. Stark

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene Verordening Gegevensbescherming

Handleiding. Checklist Data Privacy Impact Analyse

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

AVG in de praktijk, tips!

Algemene Verordening Gegevensbescherming (AVG)

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Inleiding. Uitleg tienstappenplan AVG

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Privacy Protocol. Naar aanleiding van. Algemene Verordening Gegevensbescherming. Ten behoeve van

Privacy Policy Beleid (Wet Algemene verordening gegevensbescherming)

Privacyverklaring. WaterProof Marine Consultancy & Services BV.

Privacy wetgeving: Wat verandert er in 2018?

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Privacy Maturity Scan (PMS)

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Gegevensbescherming en Privacybeleid

Privacy beleid Gastouderbureau Dolfijntjes

1. Inleiding. Aan bod komen de volgende onderwerpen:

Wat betekent de AVG voor jouw vereniging?

Algemene verordening gegevensbescherming

Gegevensbescherming en privacybeleid

Privacy bij de Vrienden van het Staelduinse Bos

Privacyreglement Gemeente Borsele

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

G.J. Heiremans verwerkt persoonsgegevens van de volgende categorieën personen: (potentiële) patiënten;

checklist in 10 stappen voorbereid op de AVG. human forward.

Blockchain Smart Contracts AVG

Gegevensverwerking. Artikel 1 - Definities

PRIVACYBELEID CONVENIENT FASTGUIDE BV

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Als controller zijn wij verantwoordelijk voor en beheren we de verwerking van uw persoonlijke gegevens en voldoen wij aan de AVG.

De AVG, wat moet ik ermee?

BELEID VERWERKING PERSOONSGEGEVENS

Laatst aangepast 1 oktober 2018

Introductie ICT-er met een brede blik

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Disclaimer: de auteur van deze presentatie is niet juridisch geschoold. Met deze presentatie probeert de auteur een indruk - en niet meer dan dat -

staat is om de AVG na te komen.

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Algemene Verordening Gegevensbescherming

Dit document behoort toe aan; Fysiotherapie Bennie de Jonge Schoorstraat JW Klazienaveen Hierna te noemen: de organisatie

Algemene Verordening Gegevensverwerking ( GDPR )

In bijlage 1 bij dit document zijn de relevante begrippen uit de privacy wetgeving omschreven die in dit privacy-beleid worden gebruikt.

PRIVACYBELEID KINDERTUIN

Gezondheids- en voortgangsgegevens worden vastgelegd met als enig doel uw behandeling.

Algemene verordening gegevensbescherming

Privacyverklaring Clean Result

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Gegevensverzameling en gegevensverwerking

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

De Master spreekt Privacywetgeving 2018 (AVG)

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

INTERN PRIVACYBELEID psychologenpraktijk Anneke Kamsteeg. 1. Inleiding

Privacyverklaring voor de gemeentelijke website

Reglement AVG- Privacybeleid Praktijk voor Osteopathie G.W. van Dinteren -Privacystatement

In dit reglement geeft ADMINISTRATIEF & LOGISTIEK SERVICEBUREAU ADR aan op welke wijze het omgaat met privacy en persoonsgegevens.

Privacyreglement WSVH

INTERN PRIVACYBELEID Psychotherapiepraktijk Libra. 1. Inleiding

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Algemene Verordening Gegevensbescherming

Privacyreglement Gemeente Tiel

AVG Algemeen PRIVACYREGLEMENT

AVG. algemene verordening gegevensbescherming

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

PRIVACYREGLEMENT HUMANTOTALCARE B.V. Versie 1.1 Classificatie: publiek

Hoe word ik Privacy-proof? 21 november 2017

Privacyverklaring voor opdrachtgevers

Transcriptie:

Gegevensbeschermingsbeleid Breederzorg Thuiszorg Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. Dit document beschrijft het gegevens beschermingsbeleid en de keuzes die gemaakt zijn om te voldoen aan deze nieuwe wet. Inzicht We onderscheiden drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens. Breederzorg verwerkt: - Gewone persoonsgegevens: contactgegevens, personeelsgegevens - Bijzondere persoonsgegevens: gegevens over de gezondheid van cliënten (Electronisch cliënten dossier) en medewerkers (ziekteverzuim). - Strafrechtelijke persoonsgegevens zijn voor Breederzorg niet van toepassing. Grondslag Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Er moet daarvoor een wettelijke grondslag aanwezig zijn. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen. 1. Toestemming van de betrokken persoon. 2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. 3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. 4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. 5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. 6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. Wanneer 1 of meer van bovengenoemde grondslagen van toepassing is, heeft de organisatie het recht om persoonsgegevens te verwerken. Breederzorg verwerkt persoonsgegevens met toestemming van de betrokken persoon (1), daarnaast is het noodzakelijk voor het uitvoeren van de zorg (2), het nakomen van de wettelijke verplichting zoals de bewaarplicht van medische dossiers (3), en tot slot ter bescherming van vitale belangen (4). Aanstellen FG Omdat Breederzorg persoonsgegevens bijzondere persoonsgegevens verwerkt, en omdat dit behoort tot de kernactiviteit van de organisatie, is het aanstellen van een FG (Functionaris gegevensbescherming) verplicht. Binnen Breederzorg is de aangestelde FG Philip van Hout.

Data protection impact assessment Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie u persoonsgegevens verwerkt. Een DPIA moet worden uitgevoerd als de verwerking aan 2 of meer van de onderstaande 9 criteria voldoet. 1. Beoordeelt u mensen op basis van persoonskenmerken? Het gaat hierbij om het systematisch en uitvoerig beoordelen van persoonskenmerken. Zoals bij profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt. 2. Neemt u geautomatiseerde beslissingen met rechtsgevolgen? Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. 3. Doet u aan stelselmatige en grootschalige monitoring? Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken. 4. Verwerkt u gevoelige gegevens of gegevens van zeer persoonlijke aard? Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals informatie over iemands politieke voorkeuren. Ook de categorie strafrechtelijke gegevens valt hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens. 5. Verwerkt u op grote schaal persoonsgegevens? De AVG geeft geen definitie van wat grootschalig is. De Europese privacy toezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is: de hoeveelheid mensen van wie gegevens worden verwerkt; de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt; de tijdsduur van de gegevensverwerking; de geografische reikwijdte van de gegevensverwerking. 6. Gebruikt u gekoppelde databases? Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Verwerkt u gegevens over kwetsbare personen? Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet eenvoudig in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan. In elk geval om relaties waarbij er sprake is van een afhankelijkheid tussen de verantwoordelijke en de betrokken personen. 8. Gebruikt u nieuwe technologieën? De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico s te begrijpen en te verhelpen. Sommige Internet of Things -toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is. 9. Verwerkt u persoonsgegevens om een recht, dienst of contract te blokkeren? Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen: een recht niet kunnen uitoefenen of; een dienst niet kunnen gebruiken of; een contract niet kunnen afsluiten. Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken. Breederzorg Thuiszorg herkent zich in de punten 3: Stelselmatige monitoring, 4: Verwerking van gevoelige gegevens of gegevens van persoonlijke aard zowel voor cliënten als medewerkers, 7: Gegevens over kwetsbare cliënten. Omdat Breederzorg aan 3 van de criteria voldoet is het verplicht een DPIA uit te voeren. De DPIA is te vinden in de bijlage. Er is zowel een DPIA voor medewerkers van Breederzorg als voor de Clienten van Breederzorg. Privacy by design & default Privacy by design betekent dat u al bij het ontwerp voorziet in technische en organisatorische maatregelen om de privacyrisico's voor mensen zo klein mogelijk te maken. Breederzorg focust hierop met de invoering van de Wbp. Enkele organisatorische voorbeelden privacy by design: - Informeren en adviseren van medewerkers over privacyrisico s. Bewustwording onder de medewerkers. - Clientgegevens en medewerker gegevens worden nooit over de telefoon gedeeld aan derden - Het gebruik van whatsapp en andere niet-beveiligde communicatie apps zijn verboden - Afgedrukte documenten van bijvoorbeeld teamvergaderingen bevatten nooit de volledige naam van een cliënt maar geslacht en voorletter en woonplaats (Dhr T. eindhoven) - Het veilig archiveren van documenten in afgesloten ruimtes

- Vergrendelde papierbak voor privacygevoelige informatie - Bewaartermijn van documenten opstellen Enkele technische voorbeelden privacy by design: - Iedere medewerker heeft een beperkte toegang in het ECD (electronische clienten dossier) waarmee slechts een deel van de informatie zichtbaar is. Deze rol toewijzing is per functie aanpasbaar. - Iedere medewerkers heeft een beperkte toegang tot de server bestanden van Breederzorg. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat Breederzorg, als standaard, de instellingen en functies van de producten of diensten op de meest privacy-vriendelijke stand zet. Gebruikers hoeven dus niets aan de instellingen en functies te wijzigen om hun privacy te beschermen. Enkele organisatorische voorbeelden privacy by default - Automatisch vergrendelen en blokkeren op afstand van Ipad en telefoon bij verlies of diefstal Enkele technische voorbeelden privacy by default - Automatisch uitloggen bij geen gebruik van een systeem (server computer en ECD) - Standaard vergrendeling van telefoonnummers en email adressen van medewerkers in het smoelenboek - Wachtwoorden opslaan en automatisch inloggen is uitgeschakeld in de kantooromgeving De genoemde voorbeelden zijn terug te vinden in de DPIA. Register van verwerkingsactiviteiten Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel. In het register staat informatie over de persoonsgegevens die u verwerkt. Criteria: 1. De organisatie telt 250 of meer medewerkers 2. De organisatie verwerkt niet incidenteel persoonsgegevens 3. De organisatie verwerkt persoonsgegevens die een risico inhouden voor de rechten en vrijheden van de personen (gevoelige informatie) 4. De organisatie verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens Breederzorg voldoet aan deze criteria (punt 2, 3 en 4). Om administratieve lasten te verlagen heeft Breederzorg ervoor gekozen om de verschillende DPIA S uit te breiden waardoor ook het register van verwerkingsactiviteiten naar voren komt. In de DPIA S is daarom mede opgenomen: de naam en contactgegevens van: uw organisatie, of de vertegenwoordiger van uw organisatie; de Functionaris voor de gegevensbescherming (FG); de doelen waarvoor u de persoonsgegevens verwerkt; een beschrijving van de categorieën van personen van wie u gegevens verwerkt; een beschrijving van de categorieën van persoonsgegevens; de datum waarop u de gegevens moet wissen; de categorieën van ontvangers aan wie persoonsgegevens worden verstrekt; een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beveiligen.

Beveiliging Middels dit document brengen we de risico s voor informatiebeveiliging in kaart. Hiermee kunnen we bepalen welke maatregelen we nemen om de risico s te beperken. Breederzorg maakt een afweging gelet op de stand van de techniek en de uitvoeringskosten van de maatregelen enerzijds, en de aard, omvang, context en de verwerkingsdoeleinden, en de risico's voor de rechten en vrijheden van betrokkenen anderzijds. Technische maatregelen die Breederzorg op dit moment treft: Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur; Afgesloten kasten, alarminstallatie, kluizen, cameratoezicht, sleuteluitgifte controle, toegangscode per afdeling, brandblussers, rookmelders. Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden; actief beleid over inzicht en rolverdeling binnen ECD en medewerker gegevens. Beheer van technische kwetsbaarheden (patch management); Autorisatie van beheerder verplicht bij installatie van programma s, blokkeren van werktelefoons en ipads op afstand, noodstroom voor de server, 2 internetverbindingen van verschillende aanbieders met een balancer, 24 uur noodnummer voor de ICT, automatisch uitloggen bij geen gebruik, website is HTTPS beveiligd waardoor geen gegevens worden opgeslagen, toegangscode voor inloggen iedere 3 maanden vernieuwen. Software; Firewalls, virusscanner, automatische backup, operating systems windows/android en IOS zijn up-to- date. Back-ups; automatisch dagelijkse kopie van de server naar een andere locatie met classificatie Tier 4. Automatisch verwijderen van verouderde gegevens; medewerkers uit dienst zijn niet meer door iedereen in het systeem te zien. Cliënten uit zorg zijn niet meer door iedereen in het systeem te zien. Actief verwijderen van persoonsgegevens die niet wettelijk bewaard hoeven te worden. Versleuteling van gegevens; berichtenverkeer via Nedap is versleuteld/encrypted zodat het bericht niet onderschept kan worden door derden. Hashing; het gebruiken van pseudoniemen voor cliëntnamen of delen van de naam waardoor het niet te achterhalen is om wie het gaat voor derden. Minder gegevens op servers verwerken. Op dit moment wordt het grootste gedeelte van de gegevens verwerkt op de Ipads en werktelefoons van de medewerkers. De backup hiervan is in handen van Nedap ONS. Op de server van Breederzorg worden slechts noodzakelijke dingen opgeslagen. Organisatorische maatregelen die Breederzorg op dit moment treft: Toewijzen van verantwoordelijkheden voor informatiebeveiliging; FG is intern verantwoordelijk voor de informatiebeveiliging binnen Breederzorg. De verantwoordelijkheid van informatiebeveiliging van externe partijen (Nedap / Nmbrs / Exact / Ecare TCS / Ecom ICT) zijn beschreven of genoemd in de SLA overeenkomsten datalekken.

Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers; introductie bij nieuwe medewerkers, informeren en adviseren bestaande medewerkers Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren; camera s testen, ontruimingsoefeningen, BHV herhalingscursus, controle brandveiligheid, controle alarminstallatie, controle noodstroom. Opstellen van protocol voor de afhandeling van datalekken en beveiligingsincidenten; Sluiten van geheimhoudingsovereenkomsten. Beoordelen of we dezelfde doelen kunt behalen met minder persoonsgegevens; herinrichting formulieren op de website, incidentmeldingen kunnen anoniem worden ingevuld. Minder mensen in uw organisatie toegang geven tot persoonsgegevens; Hier wordt continue op gemonitord door HR en FG. Register van verwerkingsactiviteiten bijhouden en besluitvormingsproces en de achterliggende overwegingen vastleggen. Verwerkersovereenkomsten Breederzorg werkt met andere partijen die persoonsgegevens voor ons verwerken. Te weten: Nedap ONS, Ecom ICT en Nmbrs. De verantwoordelijkheid van informatiebeveiliging van deze externe partijen zijn beschreven of genoemd in de SLA overeenkomsten datalekken. Daarnaast blijven we monitoren wanneer de verwerking of situatie in de toekomst verandert waardoor er nieuwe afspraken nodig zijn. Informatieplicht Breederzorg informeert haar medewerkers en cliënten op een begrijpelijke manier welke gegevens worden verzameld en voor welk doel.