Privacyverklaring |
|
|
1. Inleiding Dit is het privacybeleid van J.A.N. Truijens, directeur PsIOC BV, klinisch psycholoog – psychotherapeut en opleider psychotherapie. Dit privacy beleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel de dienstverlening als de (interne) bedrijfsvoering van J.A.N. Truijens. J.A.N. Truijens is als aanbieder verwerkingsverantwoordelijke. J.A.N. Truijens bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop J.A.N. Truijens als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG') wordt voldaan. De volgende onderwerpen komen aan bod:
2. Actualisatie en controle naleving privacybeleid De verwerking van persoonsgegevens binnen PsIOC BV (J.A.N. Truijens) dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door verwerkers van J.A.N. Truijens daadwerkelijk wordt nageleefd. 3. Categorieën persoonsgegevens en verwerkingsdoelen J.A.N. Truijens verwerkt persoonsgegevens van de volgende categorieën personen:
a. (potentiële) cliënten J.A.N. Truijens verwerkt persoonsgegevens van (potentiële) cliënten, ten behoeve van identificatie van de cliënt en de uitvoering van de overeenkomst. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en vooropleidingsbewijs. De opgenomen gegevens van een cliënt worden in het ICT-systeem van J.A.N. Truijens opgeslagen. b. bezoekers van www.psioc.nl Via de website worden persoonsgegevens gegenereerd als een bezoeker een contact- of aanmeldingsformulier op de website invult. De contactgegevens en gegevens die zijn vermeld in het contactformulier of aanmeldingsformulier, worden verwerkt ter afhandeling van het gewenste contact of het verwerken van de aanmelding. De website maakt geen gebruik van cookies. c. deelnemers aan bijeenkomsten van J.A.N. Truijens Op geregelde tijdstippen wordt er clientinformatie uitgewisseld op opleidingsbesprekingen. Dit is ten behoeve van kwaliteitsverbetering conform de kwaliteitseisen van de vakverenigingen. Deze bespreking gebeurt zo veel mogelijk anoniem. De deelnemers zijn collegae uit het vak en gebonden aan beroepsgeheim. d. sollicitanten Van personen die bij J.A.N. Truijens hebben gesolliciteerd, worden persoonsgegevens verwerkt, zoals contactgegevens en gegevens die zijn vermeld in de sollicitatiebrief en het cv. Deze gegevens worden verwerkt ter beoordeling van de geschiktheid van de kandidaat en om met een kandidaat contact te leggen. De gegevens worden bewaard tot maximaal 6 maanden na de sollicitatieprocedure. e. overige personen In het kader van een opleiding, kan J.A.N. Truijens ook gebruikmaken van gegevens afkomstig van andere bij de opleiding betrokkenen. Hiervoor dient toestemming te worden gegeven door de cliënt. 4. Organisatorische en technische maatregelen / beveiliging Uitgangspunt voor J.A.N. Truijens is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft J.A.N. Truijens passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Interne maatregelen J.A.N. Truijens heeft de volgende interne technische en organisatorische maatregelen getroffen:
J.A.N. Truijens ziet toe op naleving van de hiervoor genoemde maatregelen. Steekproefsgewijs kunnen (proportionele) controles worden uitgevoerd. Als wordt vermoed dat maatregelen door een bepaalde medewerker niet in acht worden genomen, kan worden overgegaan tot gerichte controles tegen de medewerker in kwestie. Na deze controle kan J.A.N. Truijens op basis van zijn bevindingen besluiten tot het treffen van arbeidsrechtelijke maatregelen. Verwerkers Met verwerkers heeft J.A.N. Truijens afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico's die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald. Door J.A.N. Truijens ingeschakelde verwerkers zijn verplicht J.A.N. Truijens alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door J.A.N. Truijens of een door J.A.N. Truijens gemachtigde controleur mogelijk te maken en er aan bij te dragen. 5. Informatieplicht J.A.N. Truijens informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan. Voor personen die niet aan J.A.N. Truijens zijn verbonden, is om die reden een extern privacyverklaring opgesteld. Deze privacyverklaring is op de website van PsIOC BV, J.A.N. Truijens, gepubliceerd. 6. Verwerkingsregister J.A.N. Truijens houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden. Het verwerkingsregister (Excel-bestand) is opgenomen in het ICT-systeem van de praktijk. 7. Verwerkers en ontvangers Verwerkers J.A.N. Truijens kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van J.A.N. Truijens. Met deze partijen heeft J.A.N. Truijens verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker. J.A.N. Truijens maakt gebruik van de volgende verwerker: - Facta non Verba Financials BV. E. van den Brink. Ontvangers J.A.N. Truijens verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst, de uitvoering van een (arbeids)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene. 8. Bewaartermijnen J.A.N. Truijens vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd. J.A.N. Truijens hanteert in beginsel de volgende bewaartermijnen:
9. Vooralsnog geen gegevensbeschermingseffectbeoordeling (GEB) In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB). In dat geval voert J.A.N. Truijens voor elke nieuwe verwerking van persoonsgegevens een GEB uit, indien deze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan. 10. Doorgifte buiten EER J.A.N. Truijens geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt J.A.N. Truijens ervoor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG. 11. Geen functionaris voor de gegevensbescherming Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast' heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen. J.A.N. Truijens heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens. 12. Beveiligingsincidenten J.A.N. Truijens heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld. Bij elk incident met betrekking tot persoonsgegevens zal J.A.N. Truijens beoordelen:
J.A.N. Truijens documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister. Voor het geval dat een (potentieel) incident waarvan een door J.A.N. Truijens ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker J.A.N. Truijens zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens. 13. Rechten van betrokkenen Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. J.A.N. Truijens heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven. Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door J.A.N. Truijens afgewikkeld. Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICT-systeem. Na ontvangst van een verzoek zal J.A.N. Truijens eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum. Nadat de identiteit van de verzoeker is vastgesteld, zal J.A.N. Truijens aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert J.A.N. Truijens de verzoeker binnen de eerste maand. J.A.N. Truijens stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. J.A.N. Truijens beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en de wettelijke bewaarplicht. J.A.N. Truijens legt zijn bevindingen in een verslag vast. Het verslag wordt opgeslagen in een map van het ICT-systeem van PIOC BV, dat speciaal voor het verzoek is aangelegd. In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd. Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. J.A.N. Truijens stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen aan externe partijen laat J.A.N. Truijens achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt. |