wie-zij-wij-banner

Privacyreglement Stichting Werk op Maat

Algemene Verordening Gegevensverwerking

Per 25 mei 2018 is de Algemene Verordening Gegevensverwerking  (AVG) ingevoerd.

De belangrijkste bepalingen uit de AVG over het rechtmatig omgaan met persoonsgegevens zijn als volgt samen te vatten:

  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet aantoonbaar toestemming hebben gegeven voor het verwerken van de gegevens en ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • Betrokkenen hebben het recht op inzage en het recht op correctie en verwijdering.
  • Betrokkenen hebben recht op dataportabiliteit. ( betrokkenen kunnen hun gegevens makkelijk krijgen en vervolgens doorgeven aan een andere organisatie als ze dat willen.
  • Betrokkenen hebben het recht om bij de Autoriteit Persoonsgegevens klachten in te dienen over de manier waarop u met hun gegevens omgaat.
  • De gegevensverwerking moeten afdoende worden beveiligd.
  • Meldplicht datalekken

Hoe stichting Werk op Maat met de gegevens omgaan van de deelnemers, ligt vast in dit privacyreglement.

Recht op bescherming van persoonlijke gegevens

Om een goede dienstverlening mogelijk te maken, legt de stichting persoonlijke gegevens vast. Op grond van de AVG  worden deze gegevens beschermd door vast te leggen:

  • Wie toegang heeft tot uw gegevens
  • Hoe lang de gegevens worden bewaard
  • Aan wie uw gegevens worden verstrekt
  • Hoe uw gegevens worden beveiligd

Verder is in dit reglement geregeld dat:

Wij niet meer gegevens over u opnemen dan strikt noodzakelijk;
Wij vertrouwelijk met alle gegevens omgaan;
Alleen degenen die betrokken zijn bij de dienstverlening aan een deelnemer de gegevens zullen inzien;
Wij zonder toestemming van de deelnemer geen informatie delen met anderen;
De deelnemer ons kan verzoeken alle gegevens te verbeteren, aan te vullen of te verwijderen;
De deelnemer kan vragen het persoonlijke dossier te vernietigen wanneer het traject/ zorgovereenkomst is geëindigd.

Registratie van gegevens

Werk op Maat registreert ter zake doende informatie. Dit betreft de algemene persoonsgegevens (naam, adres, postcode en woonplaat, geboortedatum, BSN, telefoonnummer emailadres). Daarnaast vragen we informatie die betrekking heeft op eventuele kansen en belemmeringen in de dagbesteding (o.a. psychische, fysieke en verstandelijke gesteldheid). We registeren informatie die betrekking heeft op mogelijke risico’s voor gezondheid en veiligheid van de deelnemer en voor de omgeving (bijvoorbeeld of er sprake is van gedrag beïnvloedende medicijngebruik, agressie, middelengebruik). We registreren contactgegevens van andere betrokken hulpverlenende instanties of sleutelfiguren en van die personen die wij in kennis moeten stellen in geval van calamiteiten. 

Uitwisselen gegevens via mailverkeer

Communicatie betreffende deelnemers via mailverkeer gebeurd uitsluitend zo dat gegevens niet toe te leiden zijn naar een individueel persoon. Indien er gegevens door derden wel via de mail worden toegezonden wordt deze mail verwijderd en ook wordt deze mail uit de map verwijderde items verwijderd.

Toegang tot gegevens

De gegevens van deelnemers worden door alle betrokken medewerkers van de stichting vastgelegd in één persoonlijk dossier. Het dossier bevat relevante informatie voor de dienstverlening. Bijvoorbeeld de naam  en adresgegevens, het BSN nummer, de verwijzer/opdrachtgever. Het dossier bevat informatie over scholing, werk, persoonlijke omstandigheden en eventueel ter zake doende medicatiegebruik. Ook gegevens die met medeweten van de deelnemer zijn verkregen van een huisarts, een (medisch) specialist of een andere partij worden vastgelegd. Alle medewerkers van de stichting die betrokken zijn bij de dienstverlening hebben toegang tot de gegevens die noodzakelijk zijn voor het uitvoeren van hun taak. Deze medewerkers hebben een geheimhoudingsplicht.

Financiële administratie

Een beperkt aantal gegevens uit het dossier wordt gebruikt voor de financiële administratie en zijn derhalve in een daartoe bedoelde registratie opgenomen. Trajectbegeleiders en financieel medewerkers hebben toegang tot deze gegevens.

Wetenschappelijk onderzoek en statistiek

Er is toestemming nodig van de deelnemer als de gegevens worden gebruikt voor wetenschappelijk onderzoek of statistiek.  Deze toestemming is niet nodig als gegevens worden gebruikt die niet tot de persoon herleidbaar zijn.

Verstrekken van gegevens

Voor zover dat relevant is voor de dienstverlening of voor het voortzetten van de zorg of behandeling elders worden gegevens verstrekt aan andere hulpverleners, mits de deelnemer daar aantoonbaar toestemming voor geeft.

Gegevens worden enkel verstrekt aan familieleden als de deelnemer minderjarig is of daar aantoonbaar toestemming voor geeft.

Persoonlijke gegevens worden aan anderen verstrekt als dat wettelijk is voorgeschreven.

Bijvoorbeeld: in geval van de Meldcode Huiselijk geweld en kindermishandeling.

Beveiliging van uw gegevens

Stichting Werk op Maat draagt er zorg voor dat de dossiers veilig worden opgeborgen, dat de gegevens niet verloren raken en niet in onbevoegde handen komen. Medewerkers worden geacht enkel die  gegevens in te zien, die noodzakelijk zijn voor de dienstverlening.

De computers, laptops en mobiele telefoons, waarop privacygevoelige informatie wordt bewaard van de medewerkers zijn voorzien van een wachtwoord. Wachtwoorden worden minimaal 1 x per 6 maanden gewijzigd.  Dit staat opgenomen in de jaarcyclus van het teamoverleg. De werkbegeleider van de ICT& Training is daarvoor verantwoordelijk. Wachtwoorden staan opgeslagen in een digitale kluis (Keepass).

Privacy gevoelige informatie wordt opgeslagen op een daartoe beschikbare server. Deze is alleen voor de medewerkers van de stichting toegankelijk.

Bewaartermijn

Op grond van de wet is er geen voorgeschreven bewaartermijn. De stichting bewaart de dossiers na afloop van de overeenkomst maximaal 3 jaar. Voor gegevens van jeugdigen (die ten tijden van de start van het traject /overeenkomst 18- waren) geldt een wettelijke bewaartermijn van 15 jaar.

Deelnemers kunnen beroep doen op het vernietigingsrecht.

Recht op inzage en afschrift

De deelnemer heeft recht op inzage van de persoonlijke gegevens en het verkrijgen van een afschrift van de gegevens. Stichting Werk op Maat zal binnen twee weken voldoen aan dit verzoek. Voor het verstrekken van afschriften vraagt stichting Werk op Maat de onkosten vergoeding die bij wet is bepaald. Inzage in de gegevens is gratis.

Recht op aanvulling, correctie en afscherming

Als de persoonsgegevens feitelijk onjuist zijn of het doel waarvoor de gegevens zijn verzameld niet ter zake doen, kan de deelnemer vragen deze te corrigeren. Dit recht heeft slechts betrekking op ‘feiten’, gegevens zoals naam en geboortedatum, waarover in het algemeen geen verschil van mening kan bestaan. Het recht om correctie te vragen is niet bedoeld om persoonsgegevens bestaande uit professionele indrukken, meningen en conclusies, waarmee de deelnemer het oneens bent te corrigeren. Deze kan wel vragen een persoonlijk afgegeven verklaring over de gegevens aan het dossier toe te voegen.

Recht op verwijdering en vernietiging

De deelnemer kan aan stichting Werk op Maat vragen (een deel van) van de gegevens te vernietigen. Een verzoek tot vernietiging van gegevens wordt binnen drie maanden uitgevoerd, tenzij de stichting aannemelijk maakt dat het bewaren van de gegevens van aanmerkelijk belang is voor iemand anders, of omdat een wettelijke bepaling vernietiging verbiedt.

Datalekken

De stichting zal alles binnen de mogelijkheden doen om datalekken te voorkomen. Mocht er ondanks dat toch sprake van een datalek dan zullen de volgende stappen worden ondernomen. Alle datalekken worden gedocumenteerd.

Melding aan de Autoriteit Persoonsgegevens (AP) over een datalek

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het eerste moment dat het probleem daadwerkelijk gesignaleerd is.
De melding aan de toezichthouder omvat in elk geval:

  • de aard van de inbreuk;
  • de instanties waar meer informatie over de inbreuk kan worden verkregen;
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

Melding aan de betrokken persoon

Als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken deelnemer(s), dienen ook zij een melding te ontvangen. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Er zijn uitzonderingen op de plicht om aan de betrokken personen te melden. Deze plicht geldt bijvoorbeeld niet als de gelekte persoonsgegevens versleuteld zijn. Dus voor een verloren usb-stick met persoonsgegevens

die met encryptie zijn beveiligd hoeft niet gemeld te worden aan de betrokken personen (wel aan de Autoriteit Persoonsgegevens).  

Logboek met datalekken bijhouden

Een organisatie heeft de plicht een logboek bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te moeten melden. Preciezer geformuleerd (art. 34a):
“De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.”