Privacybeleid

1. Inleiding

Dit is het privacybeleid van PsyZorg Gelderse Vallei. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van de (interne) bedrijfsvoering van Vereniging PsyZorg Gelderse Vallei.

PsyZorg Gelderse Vallei is als vereniging verwerkingsverantwoordelijke. PsyZorg Gelderse Vallei bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop PsyZorg Gelderse Vallei als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.

Aan bod komen de volgende onderwerpen:
2. Categorieën persoonsgegevens en doelen;
3. Organisatorische en technische maatregelen / beveiliging;
4. Actualisatie en controle naleving privacybeleid;
5. Informatieplicht;
6. Verwerkingsregister;
7. Verwerkers en ontvangers;
8. Bewaartermijnen;
9. Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPLA);
10. Doorgifte buiten de EU;
11. Geen functionaris voor de gegevensbescherming;
12. Beveiligingsincidenten;
13. Rechten van betrokkenen.

2. Actualisatie en controle naleving privacybeleid

De verwerking van persoonsgegevens binnen PsyZorg Gelderse Vallei dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door leden en verwerkers van PsyZorg Gelderse Vallei daadwerkelijk wordt nageleefd.

3. Categorieën persoonsgegevens en verwerkingsdoelen

PsyZorg Gelderse Vallei verwerkt persoonsgegevens van de volgende categorieën personen:
a. leden van PsyZorg Gelderse Vallei;
b. bezoekers van www.psyzorggeldersevallei.nl;
c. deelnemers aan bijeenkomsten van PsyZorg Gelderse Vallei;
d. zzp’ers;
e. alle overige personen die met PsyZorg Gelderse Vallei contact opnemen of van wie PsyZorg Gelderse Vallei persoonsgegevens verwerkt.

a. leden van PsyZorg Gelderse Vallei
PsyZorg Gelderse Vallei verwerkt persoonsgegevens van leden ten behoeve van het lidmaatschap van de vereniging. Voor identificatie gaat het om naam, contact- en adresgegevens en gegevens over inschrijving bij de beroepsvereniging, het BIG register of het register van NIP en NVO.
– van ieder lid de contactgegevens van hun praktijk ter informatie op de website. 
– gegevens die zijn benodigd voor (betaling voor) lidmaatschap en externe bijeenkomsten.
De opgenomen gegevens van de leden worden in het ICT-systeem van PsyZorg Gelderse Vallei opgeslagen.

b. bezoekers van www.psyzorggeldersevallei.nl
Tijdens een bezoek van een betrokkene aan de website van PsyZorg Gelderse Vallei zijn gegenereerd, zoals het IP-adres, het surfgedrag op de website (zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s en de wijze waarop door de website wordt genavigeerd) en op welke onderdelen daarvan de betrokkene klikt;

c. deelnemers aan bijeenkomsten van PsyZorg Gelderse Vallei
In de stukken van bijeenkomsten van bijeenkomsten kunnen persoonsgegevens worden gebruikt van (beoogde) participanten, bijvoorbeeld aan/afwezigheid.

d. zzp’ers en contactpersonen van contractpartners
PsyZorg Gelderse Vallei verwerkt de persoonsgegevens van door haar ingeschakelde zzp’ers. PsyZorg Gelderse Vallei vraagt zzp’ers niet om een kopie of scan van hun identiteitsbewijs te verstrekken. Wel zal in het kader van de vergewisplicht (Wkkgz) een onderzoek worden gedaan naar de geschiktheid van de zzp’er.

e. alle overige personen
In het kader van de contact met de vereniging, kan PsyZorg Gelderse Vallei gebruikmaken van gegevens afkomstig van aspirantleden die om informatie over lidmaatschap vragen of een overzicht aanleggen van potentiële leden in de regio op basis van openbare informatie over zorgverleners.

4. Organisatorische en technische maatregelen / beveiliging

Uitgangspunt voor PsyZorg Gelderse Vallei is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft PsyZorg Gelderse Vallei passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

Technische beveiligingsmaatregelen
☑ Up to date virusscan
☑ Unieke inlogcode en wachtwoord (regelmatig aanpassen)
☑ Geen onbeveiligde externe harde schijven
☑ Geen onbeveiligde back ups maken

Organisatorische beveiligingsmaatregelen
☑ Laptop niet onbemand achterlaten
☑ Laptop nooit achterlaten in de auto
☑ Oude documenten op juiste manier vernietigenV

Verwerkers
Met verwerkers heeft PsyZorg Gelderse Vallei afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald.

Door PsyZorg Gelderse Vallei ingeschakelde verwerkers zijn verplicht PsyZorg Gelderse Vallei alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door PsyZorg Gelderse Vallei of een door PsyZorg Gelderse Vallei gemachtigde controleur mogelijk te maken en er aan bij te dragen.

5. Informatieplicht

PsyZorg Gelderse Vallei informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan.

Bij aangaan van het lidmaatschap worden nieuwe leden geïnformeerd over de verwerking van hun persoonsgegevens binnen PsyZorg Gelderse Vallei. Voor leden geldt een intern privacyprotocol. Dit interne protocol van PsyZorg Gelderse Vallei is opgenomen in het ICT-systeem van de praktijk.

6. Verwerkingsregister

PsyZorg Gelderse Vallei houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden.

Het verwerkingsregister (Excel-bestand) is opgenomen in het ICT-systeem van de vereniging. 

7. Verwerkers en ontvangers

Verwerkers
PsyZorg Gelderse Vallei kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van PsyZorg Gelderse Vallei. Met deze partijen heeft PsyZorg Gelderse Vallei verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.

PsyZorg Gelderse Vallei maakt gebruik van de volgende verwerkers:

CHII Bianca Oldenkamp

Ontvangers
PsyZorg Gelderse Vallei verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de taken van de vereniging of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene. 

8. Bewaartermijnen

PsyZorg Gelderse Vallei vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.

PsyZorg Gelderse Vallei hanteert in beginsel de volgende bewaartermijnen:
a. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;
b. gegevens van zzp’ers, anders dan (financieel-)administratieve gegevens: 5 jaar na uitdiensttreding respectievelijk na het einde van de overeenkomst van opdracht;
c. bezoekers van de website en ontvangers van nieuwsbrieven: 5 jaar na het laatste bezoek aan de website respectievelijk na uitschrijving voor de nieuwsbrief, tenzij eerder bezwaar wordt gemaakt in welk geval tot vernietiging zal worden overgegaan.

9. Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA)

In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een DPIA. In dat geval voert PsyZorg Gelderse Vallei voor elke nieuwe verwerking van persoonsgegevens een DPIA uit, indien deze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.

10. Doorgifte buiten EER

PsyZorg Gelderse Vallei geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt PsyZorg Gelderse Vallei ervoor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG.

11. Geen functionaris voor de gegevensbescherming

Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.

PsyZorg Gelderse Vallei heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens.

12. Beveiligingsincidenten

PsyZorg Gelderse Vallei heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.

Bij elk incident met betrekking tot persoonsgegevens zal PsyZorg Gelderse Vallei beoordelen:
– of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens;
– welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;
– of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;
– of het incident aan de AP dient te worden gemeld;
– of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;
– welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.

PsyZorg Gelderse Vallei  documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister. 

Voor het geval dat een (potentieel) incident waarvan een door PsyZorg Gelderse Vallei  ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker PsyZorg Gelderse Vallei  zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.

13. Rechten van betrokkenen

Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. PsyZorg Gelderse Vallei  heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.

Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door Josephine André, secretaris en Bianca Oldenkamp, administratief dienstverlener afgewikkeld.

Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICT-systeem.

Na ontvangst van een verzoek zal PsyZorg Gelderse Vallei eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum.

Nadat de identiteit van de verzoeker is vastgesteld, zal PsyZorg Gelderse Vallei aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert PsyZorg Gelderse Vallei de verzoeker binnen de eerste maand.

PsyZorg Gelderse Vallei stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. PsyZorg Gelderse Vallei beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en de wettelijke bewaarplicht.

In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.

Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. PsyZorg Gelderse Vallei stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen aan externe partijen laat PsyZorg Gelderse Vallei achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.