Privacy

5. PRIVACY

ALGEMENE VERORDENING GEGEVENSBESCHERMING (PRIVACY WETGEVING)
AVG-document berichtgeving All Day M.O.;

Uw privacy is belangrijk voor ons.

Privacyreglement volgens AVG – 2018

Beste cliënt, cliënte, betrokkenen,

Zoals u weet is Vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking gezet. U heeft er vast al over gehoord. De AVG bevat nieuw privacyregels met als belangrijkste doel uw persoonsgegevens nog beter te beschermen. Op basis daarvan hebben ook wij ons huidige Privacy Statement aangepast.

Alle wijzigingen die wij hebben aangebracht zijn erop gericht dat u beter begrijpt hoe wij uw gegevens verwerken en welke rechten u heeft. Hiermee streven wij het doel na om te voldoen aan de Algemene Verordening Gegevensbescherming van de Europese Unie, die volledig van toepassing is met ingang van 25 mei 2018.

Hieronder vindt u een samenvatting van de voornaamste updates: Wij hebben het Beleid een nieuwe structuur gegeven zodat het voor u gemakkelijker leesbaar en begrijpelijk is. Wij leggen u op een eenvoudige manier uit waarvoor wij uw gegevens verwerken zodat u beter begrijpt waarom we het recht hebben om dit te doen. Wij lichten toe welke nieuwe rechten u kunt uitoefenen en hoe u dit kunt doen.

Wat betekent dit voor u?

  • Meer inzicht in welke gegevens wij van je verzamelen, wat wij met je gegevens doen, waar we deze voor gebruiken en hoe lang we gegevens bewaren.
  • Je kunt je gegevens beheren en bepaalt wat wij met je gegevens mogen doen.
  • Meer inzicht in wat we doen om je gegevens te beschermen.

Waarom hebben wij uw gegevens nodig?

  • Zorgverlening
  • Doelmatig beheer en beleid

Wat zijn uw rechten?

  • Meer mogelijkheden om voor u zelf meer op te komen als uw persoonsgegevens worden verwerkt.
  • Uw bestaande privacy rechten worden uitgebreid. Er zijn namelijk 2 nieuwe rechten bij gekomen. Dit kunt u nalezen in onze kwaliteitshandboek.

5.1. Rechten van betrokkenen

In het bovenstaande document bij 5. Privacy (document berichtgeving) ziet u de rechten van de cliënten.

5.2. De AVG- privacy rechten

5.2.1. Het recht op dataportabiliteit

Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens.
In de AVG (artikel 20) heet dit het ‘recht om gegevens over te dragen’. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.
Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

5.2.2. Het recht op vergetelheid.

In artikel 17 van Algemene verordening gegevensbescherming (AVG) is het zogeheten recht op vergetelheid opgenomen. Dit recht houdt in dat All Day M.O. (hierna te noemen: de organisatie) in een aantal gevallen persoonsgegevens moet wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.
Voorwaarden recht op vergetelheid
Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:

  • Niet meer nodig
    De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
  • Intrekken toestemming
    De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar
    De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
  • Onrechtmatige verwerking
    De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • Wettelijk bepaalde bewaartermijn
    De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Kinderen
    De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Verschil met nu
Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens). Maar het recht op vergetelheid is breder. Het recht is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens.

5.2.3. Recht op inzage

De Algemene verordening gegevensbescherming (AVG) geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om All Day M.O. (de organisatie) te vragen welke gegevens men van hen heeft. Ze mogen ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.
Bij inzageverzoeken moet de organisatie laten weten:

  • Waarom bepaalde gegevens worden verwerkt.
  • Welke soorten persoonsgegevens verzameld zijn.
  • Indien van toepassing: aan welke organisaties de persoonsgegevens doorgegeven zijn. Dit
    geldt ook voor gegevens die doorgegeven worden aan organisaties in andere landen of aan
    internationale organisaties.
  • Hoe lang men de persoonsgegevens bewaart. Als dat niet precies aangeven kan worden, moet
    men duidelijk kunnen maken welke criteria men hanteert om een bewaartermijn te bepalen.
  • Welke privacy rechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen,
    aanvullen of wissen, om te vragen om minder persoonsgegevens te verwerken en om
    bezwaar te maken als hun persoonsgegevens verwerkt worden.
  • Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  • Indien van toepassing: van welke organisatie persoonsgegevens zijn ontvangen als Al Day M.O. deze niet zelf heeft verzameld bij de betrokken personen.
  • Indien van toepassing: op basis van welke logica All Day M.O. een geautomatiseerd besluit over iemand neemt.
5.2.4. Recht op rectificatie en aanvulling.

De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht beschreven als ‘recht op rectificatie’.

All Day M.O. is er verantwoordelijk voor dat de persoonsgegevens die verwerkt zijn. Juist zijn. En dat deze gegevens geactualiseerd worden als dat nodig is.
Zijn persoonsgegevens, gelet op de doeleinden waarvoor die verwerkt zijn, onjuist? Dan zijn wij verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand ons erop wijst dat zijn gegevens niet kloppen. Of onvolledig zijn.

Derde partijen informeren
Hebben wij onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan moeten wij de aangepaste of aangevulde gegevens ook aan deze organisaties doorgeven.
Als een betrokkene daar om vraagt, moeten wij ook vertellen welke organisaties wij op die manier hebben geïnformeerd.

5.2.5. Het recht op beperking van de verwerking

De Algemene verordening gegevensbescherming (AVG) geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht op beperking van de verwerking’.

Criteria recht op beperking van de verwerking
Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:

  • Gegevens zijn mogelijk onjuist
    Geeft iemand aan dat de organisatie onjuiste persoonsgegevens gebruikt? Dan mogen wij deze gegevens niet gebruiken zolang wij nog niet hebben gecontroleerd of de gegevens wel kloppen.
  • De verwerking is onrechtmatig
    Wij mogen bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat wij de gegevens wissen. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
  • Gegevens zijn niet meer nodig
    de organisatie heeft de persoonsgegevens niet meer nodig voor het doel waarvoor wij ze hebben verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
  • Betrokkene maakt bezwaar
    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moeten wij stoppen met deze gegevens te verwerken. Tenzij wij dwingende gerechtvaardigde gronden voor de verwerking aanvoeren die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of onze gronden zwaarder wegen, mogen wij de gegevens niet verwerken.

Derde partijen informeren
Hebben wij de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moeten wij deze organisaties laten weten dat wij het gebruik van deze gegevens hebben beperkt. En dat zij dat dus ook moeten doen.
Als iemand van wie wij persoonsgegevens verwerken er om vraagt, moeten wij ook vertellen welke organisaties wij op die manier hebben geïnformeerd.

5.2.6. Het recht met betrekking tot geautomatiseerde besluitvorming en profilering.

Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij profilering. De Algemene verordening gegevensbescherming (AVG) geeft mensen recht op een menselijke blik bij besluiten die over hen gaan.
Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.
Wilt All Day M.O. een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokken persoon consequenties aan? Dan heeft deze persoon het recht zich te beroepen op dit artikel. Dat betekent dat wij een nieuw besluit moeten nemen waarbij een mens de gegevens heeft beoordeeld.

5.2.7. Het recht om bezwaar te maken tegen de gegevensverwerking.

De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens. In de AVG staat dit recht beschreven als ‘recht van bezwaar’.
Verwerkt All Day M.O. als organisatie persoonsgegevens op grond van een taak van algemeen belang? Of op grond van een gerechtvaardigd belang? Dan hebben de betrokkenen – de mensen van wie wij gegevens verwerken – altijd het recht om bezwaar te maken tegen deze verwerking van hun gegevens.

  • Verwerking stoppen of beperken
    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moeten wij stoppen met deze gegevens te verwerken.
    Tenzij de organisatie dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die te maken hebben met een rechtsvordering.
    Let op: zo lang nog niet duidelijk is of onze gronden zwaarder wegen, mag All Day M.O. de betreffende gegevens niet verwerken. Wij stellen dan een beperking van de verwerking in.
  • Direct marketing
    Gebruikt All Day M.O.-persoonsgegevens voor direct marketing? Dan hebben betrokkenen altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering voor deze marketingdoeleinden.
    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct marketing? Dan moeten wij hier hoe dan ook direct mee stoppen.

Informeren over recht van bezwaar
All Day M.O. moet betrokkenen informeren over het recht op bezwaar. Dit moet uiterlijk op het moment van het eerste contact met de betrokkene geschieden. Deze informatie moet duidelijk en gescheiden van andere informatie aangeboden worden.

5.2.8. Het recht op duidelijke informatie

Onder de Algemene verordening gegevensbescherming (AVG) heeft de organisatie een informatieplicht. Dat betekent dat wij verplicht zijn om nieuwe en bestaande klanten duidelijk te informeren over wat wij met hun persoonsgegevens doen. In de praktijk is een online privacyverklaring de meest handige manier om hieraan te voldoen.

In de AVG staat dat de informatie over verwerkingen in principe schriftelijk gegeven moet worden. De beste manier om er zeker van te zijn dat onze informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring

Verantwoordingsplicht
Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat All Day M.O. aan de Autoriteit Persoonsgegevens (AP) moet kunnen aantonen dat wij aan de AVG voldoen. Wij moeten onder meer kunnen laten zien dat wij mensen goed hebben geïnformeerd over de verwerking van hun persoonsgegevens. Wij kunnen hiervoor de privacyverklaring gebruiken.

Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

5.3. Overzicht verwekingen

We moeten alle gegevensverwerkingen in kaart brengen. Documenteren van welke persoonsgegevens wij verwerken en met welk doel wij dit doen, waar deze gegevens vandaan komen en met wie wij ze delen.
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.
Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
U kunt het register ook nodig hebben als betrokkenen hun privacy rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

5.4. Data protection impact assessment (DPIA)

Onder de AVG kunt men verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

5.5. Privacy by design & privacy by default

Wij maken onze organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

  • Privacy by design houdt in dat men er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat men niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat men de gegevens niet langer bewaart dan nodig.
  • Privacy by default houdt in dat men technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat men, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.

5.6. Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit geldt ook voor onze organisatie.
Vanaf 1 mei 2018 was een beleidsmedewerker hieraan toe gekoppeld, vervolgens is dit gewijzigd naar een onafhankelijk ZZP ’er.

5.7. Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan onze eigen registratie van de datalekken die zich in onze organisatie hebben voorgedaan. Wij moeten alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of wij aan de meldplicht hebben voldaan.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
De Europese privacy toezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG.
Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Wanneer de guidelines definitief zijn, kunnen wij u volledig informeren over de meldplicht datalekken onder de AVG.

5.8. Verwerkersovereenkomsten

Voor de gegevensverwerking door Nedap is een bewerkersovereenkomst gesloten. Deze wordt z.s.m. vervangen door verwerkingsovereenkomsten die voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt.

5.9. Toestemming

Nieuw is dat we moeten kunnen aantonen dat wij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Specifiek en geïnformeerd
Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.