Privacybeleid

1. Inleiding

Deze handleiding beschrijft op hoofdlijnen de uitgangspunten voor de stichting Join us van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (AVG). De AVG koppelt privacy-eisen aan de persoon of personen die verantwoordelijk is c.q. zijn voor de gegevensverwerking. De AVG betitelt hen als ‘verantwoordelijke’. Join us is de ‘(eind)verantwoordelijke’. Medewerkers van Join us en haar licentiehouders kunnen worden beschouwd als medeverantwoordelijken.

2. Enkele centrale begrippen uit de AVG

Persoonsgegevens zijn gegevens die informatie bevatten over een persoon die identificeerbaar is. In het algemeen vallen ‘cliëntgegevens’ onder deze definitie, althans als ze zijn te herleiden tot de betreffende cliënt, in het geval van Join us: de deelnemers. Geanonimiseerde gegevens, waarmee wordt bedoeld dat met deze gegevens een persoon niet kan worden geïdentificeerd, zijn geen persoonsgegevens. Niet alleen (gecombineerde) gegevens als naam, adres, woonplaats en geboortedatum maar ook foto’s, geluidsbanden, chipcard, vingerafdrukken en DNA- profielen zijn persoonsgegevens. Gemakshalve spreken we verder over ‘cliëntgegevens’. Het ‘verwerken’ van cliëntgegevens behelst alle handelingen met cliëntgegevens vanaf het moment dat deze worden verzameld totdat ze worden vernietigd. Dus: ordenen, bijwerken, raadplegen, gebruiken, verstrekken, koppelen etc. Als een of meer van deze handelingen is verricht, is dat ‘verwerking’ cliëntgegevens. Het verwerken van cliëntgegevens is – voor een beperkt aantal doelen – toegestaan aan onder meer hulpverleners, verzekeraars, instellingen voor maatschappelijke dienstverlening en speciale scholen. In de zorgpraktijk is de AVG van toepassing op vrijwel alle gegevensverzamelingen die zijn te herleiden tot cliënten, in het geval van Join us deelnemers. Dat geldt zowel voor elektronische als voor handmatige verwerkingen. Uitgezonderd zijn handmatige verwerkingen die niet in een systematisch toegankelijk dossier of systeem worden opgeslagen. Dat is doorgaans echter niet het geval omdat (systeem)geborgde toegankelijkheid een van de vereisten is die aan cliëntdossiers wordt gesteld.

3. Informatieplicht en doelen gegevens verwerking

De persoon van wie gegevens worden verwerkt (‘de betrokkene’) moet worden ingelicht over: wie de ‘verantwoordelijke’ is, over het doel of de doelen van de gegevensverwerking, de wijze waarop de verwerking plaatsvindt en eventuele medegebruikers of ontvangers van de gegevens.
De ‘verantwoordelijke’, in dit geval de hulpverlener met wie de jongere contact heeft, is aanspreekpunt voor de jongere bij vragen over de gegevensverwerking. Ook moet de jongere worden gewezen op de rechten waarop hij zich kan beroepen. Join us informeert de jongere door middel van het deelnameformulier. Daarin staat ook aangegeven dat jongeren bij klachten over de naleving van het privacyreglement zich moeten wenden tot de “eindverantwoordelijke”.

Informatie over de gegevensverwerking van wilsonbekwame jongeren (jongeren onder de achttien) moet worden verstrekt aan de (wettelijk) vertegenwoordiger, zoals de ouders, voogd, curator, mentor. Wat de doelen van gegevensverwerking betreft, de ‘verantwoordelijke’ moet aangeven voor welk(e) doel(en) persoonsgegevens worden verzameld, nagaan of die doelen ‘gerechtvaardigd’ zijn en of niet meer gegevens worden verwerkt dan voor het doel noodzakelijk is. Worden er gegevens voor andere doelen verwerkt, dan moet zijn voldaan aan extra voorwaarden, zoals uitdrukkelijke toestemming van de betrokkene. Voorts moet de verantwoordelijke ervoor zorgen, dat de gegevens juist en objectief meetbaar zijn. Dat geldt ook voor gegevens die aan anderen
worden verstrekt. Van derden ontvangen gegevens moeten rechtmatig zijn verkregen, dat wil zeggen met kennis en (veronderstelde) toestemming van de jongere. Hulpverlener moet er dus op toezien dat alle cliëntgegevens die hij ‘verwerkt’, aan deze eisen voldoen. Het – ook aan de deelnemers mee te delen – doel van verwerking van cliëntgegevens zal veelal zijn het bieden van passende begeleiding en hulpverlening. Het aanleggen en bijhouden van een dossier door de hulpverlener is daartoe noodzakelijk; dit wordt ‘dossierplicht’ genoemd. Ook de waarnemer en andere personen die rechtstreeks bij de jongere zijn betrokken, hebben een dossierplicht. In het dossier mogen ook ‘bijzondere’ persoonsgegevens, zoals AVG ze noemt, worden opgenomen, mits deze relevant zijn voor passende hulpverlening. Voorbeelden daarvan zijn gegevens over iemands levensovertuiging of seksuele leven. Het verwerken van iemands gegevens met het oog op een passende behandeling, verzorging of begeleiding is dus rechtmatig. Ook het verwerken van (uitsluitend de noodzakelijke) gegevens voor de financiële ondersteuning van de behandeling vormt een onderdeel van dit doel. Voor het verwerken van gegevens ten behoeve van een derde of een doel anders dan zorg en hulpverlening dient apart toestemming door de jongere te worden gegeven.

4. Rechten van de deelnemer

De wet biedt de betrokkene (de persoon op wie een gegeven betrekking heeft) ook rechten. Namens de jongere kan ook diens wettelijk vertegenwoordiger, bijvoorbeeld de ouders, voogd, mentor, curator of gemachtigde, een beroep doen op de cliëntenrechten, tenzij nakoming tegenover deze personen strijdig is met de zorg en hulpverlening

4.1 Toestemming voor verwerking van persoonlijke gegevens
Hoofdregel is dat gegevens alleen aan ‘anderen’ mogen worden verstrekt als de deelnemer daarvoor uitdrukkelijk toestemming heeft gegeven. Deze toestemming wordt gevraagd in het deelnameformulier. Met ‘anderen’ worden niet bedoeld de hulpverlener, waarnemer ouder, vertegenwoordiger etc. Voor informatieverstrekking aan deze personen hoeft de hulpverlener dus niet eerst toestemming aan de jongere te vragen. Wél voor verstrekking aan personen die hierboven niet zijn aangegeven. In een situatie dat zich een ‘conflict van plichten’ voordoet, kunnen relevante gegevens door een hulpverlener worden verstrekt zonder dat daarvoor toestemming aan de jongere is gevraagd. Voorbeelden zijn gevallen of ernstige vermoedens van mishandeling of incest.

De hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat de privacy van een cliënt ook na diens dood wordt gerespecteerd en dat anderen dus geen inzage in zijn gegevens krijgen. Er zijn echter uitzonderingen.
– Er is een wettelijke die bepaling die verplicht om inzage te geven, bijvoorbeeld aan de Inspecteur voor de Gezondheidszorg.
– In geval van ‘veronderstelde toestemming’ van de overleden cliënt: als de hulpverlener tot de overtuiging komt, na ‘reconstructie van de wil van de overledene’, dat in een concreet geval de overledene toestemming tot inzage zou hebben gegeven aan bijv. verwanten.
– Als er sprake is van een ‘conflict van plichten’ kan de hulpverlener tot gegevensverstrekking overgaan. Het moet daarbij altijd gaan om zeer zwaarwegende belangen van derden. Bijvoorbeeld wanneer zwijgen ernstige schade aan een derde oplevert. De belangenafweging en zijn motieven daarbij dienen te worden vastgelegd.

4.2 Recht op inzage en afschrift
De deelnemer heeft recht op inzage en afschrift van zijn gegevens. De wet maakt hierop één uitzondering: inzage of afschrift mag niet worden gegeven als daardoor de privacy van een ander wordt geschonden. Het kan bijvoorbeeld gaan om gegevens die door een partner of familielid zijn verstrekt in het vertrouwen dat de jongere daarvan niet op de hoogte wordt gebracht. De gegevens kunnen betrekking hebben op henzelf of op de jongere. De hulpverlener zal die informatie alleen vastleggen als dit voor de behandeling relevant is. Om een beroep te doen op de uitzondering moet de hulpverlener aantonen dat het privacybelang van de ander wordt geschaad
door inzage te geven én dat dit belang zwaarder weegt dan het belang van de jongere. De hulpverlener moet dus een belangenafweging maken. Daarom is ook van belang dat de diverse gegevens in zijn te scheiden. Het gebruik onder hulpverleners om per gezinslid een afzonderlijk dossier te gebruiken, voorziet daarin.

Aan een verzoek tot inzage of afschrift moet de hulpverlener of de ‘eindverantwoordelijke’ zo spoedig mogelijk, maar in elk geval binnen vier weken voldoen. Als Join us het inzage- of afschriftverzoek afhandelt, is het van belang dat het verzoek wordt afgestemd met de betrokken hulpverlener en dat conform een daartoe geldende procedure wordt gehandeld. De betrokken hulpverlener moet beoordelen of alle gegevens kunnen worden ingezien of opgevraagd. De jongere heeft in beginsel geen recht op afgifte van de originele gegevens. De originelen komen alleen toe aan degene die ze heeft opgesteld of degene die ze bewaart en beheert. Het is wel gebruikelijk dat bij overdracht naar een andere hulpverlener de originele gegevens aan de deelnemer worden meegegeven voor de opvolger.

Daarnaast hebben personen – uit hoofde van hun functie / rol bij Join us, haar licentiehouders en eenmanszaak krachtens overeenkomst tot geheimhouding – inzage in persoonsgegevens; bij aanname van personeel e/o freelancers onderdeel arbeids- of dienstverleningsovereenkomst.

4.3 Recht op aanvulling, correctie en afscherming
De deelnemer heeft het recht om het dossier aan te vullen. Hiermee kan de jongere bereiken dat
– naar zijn mening – een vollediger of juister beeld van zijn persoon of zijn situatie kan worden geschetst. Het gaat dan om aanvullende zienswijzen van de deelnemer zelf c.q. zijn vertegenwoordiger óf – op verzoek van de deelnemer – van een andere hulpverlener bijvoorbeeld in het kader van een second opinion. Ook als de hulpverlener het met de inhoud van de verklaring niet eens is, moet hij de verklaring in het dossier opnemen. De deelnemer mag de hulpverlener ook verzoeken om feitelijke onjuistheden in de gegevens te corrigeren. De deelnemer mag de hulpverlener ook verzoeken zijn gegevens voor anderen af te schermen als hij van mening is dat deze feitelijk onjuist zijn of niet ter zake doen. Dat zal hij alleen vragen als hij het bewaren van deze gegevens van belang vindt, anders zal hij wel om correctie of vernietiging vragen. Binnen vier weken moet de hulpverlener of instelling laten weten of, en zo ja, in hoeverre aan deze verzoeken kan worden voldaan.

4.4 Recht op verwijdering en vernietiging
De deelnemer heeft het recht om informatie die niet relevant is voor de begeleiding, te laten verwijderen. Ook kan de jongere verzoeken (een deel van) zijn dossier te laten vernietigen. De verantwoordelijke moet binnen vier weken op een vernietigingsverzoek reageren en het binnen drie maanden uitvoeren. Een eventuele weigering moet worden gemotiveerd. Op het recht op verwijderen of vernietigen van gegevens bestaan twee uitzonderingen:
a. Een voorschrift of een andere wet bepaalt dat de gegevens moet worden bewaard.
b. Vanwege een ‘aanmerkelijke belang’ van een ander dan de deelnemer, moeten (bepaalde) gegevens worden bewaard.

5. Wat legt Join us vast?

In het voorgaande heeft Join us het wettelijk kader onderschreven waar het zich in het kader van de AVG aan houdt. Binnen dit kader legt Join us – voor zover noodzakelijk of voorgeschreven – de volgende gegevens vast van haar deelnemers:
Voor- en achternaam
Geboortedatum
Adres
Huidige dagactiviteiten
Telefoon en mailadres ouder(s) / verwante / vertegenwoordiger
Sociaal emotionele ontwikkeling
Gezondheidsgegevens
Burgerservicenummer (optioneel)
Polisnummer verzekering (optioneel)
Huisartsgegevens (optioneel)
Financiële gegevens (optioneel)

In een logboek per groep worden rapportages vastgelegd van de avonden, hierin kunnen ook persoonsgegevens worden opgeslagen. Daarnaast kunnen bijzondere persoonsgegevens vastgelegd worden (gezondheid, sociaal emotionele ontwikkeling, seksueel leven, strafrechtelijke gegevens). Daarvoor hanteert Join us – ter bescherming van de deelnemers – randvoorwaarden vanuit onderstaand kader:

  • de verwerking van bijzondere persoonsgegevens geschiedt door Join us enkel voor zover dat met het oog op een passende dienstverlening van de betrokkene, noodzakelijk is.
  • De verwerking geschiedt door Join us op verzoek van belanghebbende enkel voor zover dat vereist is voor de dienstverlening e/o een door verzekeringsinstelling te verzekeren risico, dan wel uitvoering van een verzekeringsovereenkomst.

Van aanmeldingen via de website legt Join us de volgende gegevens vast:
Voor- en achternaam
Geboortedatum
Mobiel telefoonnummer
Emailadres
Extra ingevulde informatie.

Van aanmeldingen op de nieuwsbrief legt Join us de volgende gegevens vast:
Voor- en achternaam
Emailadres

Join us verzend voor de nieuwsbrief met MailChimp, bovenstaande gegevens worden binnen de database van MailChimp opgeslagen. Alle doorgifte van gegevens gebeurt op grond van het EU-VS Privacy Shield Framework. Meer over het privacybeleid van MailChimp vind je hier.

WhatsApp
Begeleiders van Join us zijn samen met de deelnemers actief in een WhatsApp groep. Deelnemers beslissen zelf of zij deelnemen aan de groep op eigen verantwoordelijkheid. In deze groepen worden alleen algemene zaken besproken. Persoonlijke kwesties en gegevens worden nooit door begeleiders in WhatsApp besproken of gedeeld, niet binnen de groepen maar ook niet in 1:1 contact via WhatsApp.

Van medewerkers of freelancers legt Join us de volgende gegevens vast:
Voor- en achternaam
Geboortedatum
Mobiel telefoonnummer
Emailadres
IBAN
VOG
Identiteitskaart

Overige informatie die nodig is voor een goede samenwerking.
Bij het ontvangen van een email verzamelt Join us:
Bedrijfsnaam
Voor- en achternaam
Emailadres
Telefoonnummer

Alle gegevens die Join us vastlegt worden opgeslagen op servers van:
Office 365 Business (Microsoft)
Voor mailverkeer en verwerken van gegevens gebruikt Join us Microsoft Office 365 Business. Op 1 augustus 2016 heeft Microsoft zich aangemeld voor de EU-U.S. Alle doorgifte van gegevens gebeurt op grond van het EU-VS Privacy Shield Framework. Meer informatie over het privacybeleid van Microsoft, laatste statusupdates rondom de GDPR compliance, locaties van data-opslag en doorgifte van gegevens vind je hier. Als locatie voor de dataservers koos Join us voor Europa (een instelling binnen Office 365 Business). Toegang tot de servers is alleen mogelijk voor begeleiders en ondersteunende professionals van Join us. Zij hebben geheimhoudingsplicht.

6. Geheimhoudingsplicht

Join us is verplicht tot geheimhouding van de persoonsgegevens van de betrokkene en de gegevens worden niet verstrekt aan derden, tenzij:

  • de deelnemer hiervoor uitdrukkelijke toestemming heeft gegeven en het beroepsgeheim de verstrekking niet in de weg staat
  • het gaat om andere beroepskrachten die de gegevens nodig hebben in het belang van de uitvoering van de dienstverlening
  • er sprake is van nadeel voor de deelnemer wanneer de persoonsgegevens niet worden verstrekt
  • er sprake is van een wettelijke verplichting, waaronder de verstrekking aan een verzekeraar in het kader van materiële controles
  • het gaat aantoonbaar om verbetering van de kwaliteit dienstverlening

7. Meldplicht datalekken

Op 1 januari 2016 is de meldplicht voor datalekken ingegaan. Deze meldplicht houdt in dat organisaties een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben gesignaleerd. In voorkomende gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Deze meldplicht geldt als de inbreuk leidt tot nadelige gevolgen voor de bescherming van persoonsgegevens (of een aannemelijke kans daarop). Join us houdt zich aan de voorschriften en meldt voorkomende datalekken uiterlijk binnen 72 uur aan de Autoriteit Persoonsgegevens.

Contact

Stichting Join us
Deken van Miertstraat 6
5461 JN Veghel
Telefoonnummer: 085 877 03 42