Privacyreglement 1. Algemeen Dit reglement is een uitwerking van de Wet bescherming persoonsgegevens (Wbp). Hiermee 1 2 wordt de privacy van medewerkers, stagiairs, vrijwilligers en (ouders van) cliënten geborgd. Dit reglement is van toepassing op alle werksoorten van Rijnstad.
2. Definities Betrokkene: degene op wie een persoonsgegeven betrekking heeft. Dit kunnen medewerkers, stagiairs, vrijwilligers, of (ouders van) cliënten (ook wel: klant of deelnemer) van Rijnstad zijn. Gegevensverzameling: verzameling van persoonsgegevens over een bepaalde groep (medewerkers, stagiairs, vrijwilligers, of (ouders van) cliënten) met daaraan ten grondslag een bepaald doel. Intern beheer: degene die vanuit een hiërarchische verhouding met de verantwoordelijke persoonsgegevens verwerkt. Bv. de medewerkers van salarisadministratie of hulpverleners van Rijnstad. Persoonsgegevens: gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijke persoon en als die persoon identificeerbaar is. Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de verwerking van persoonsgegevens vast te leggen; de directeur. De directeur delegeert de bevoegdheid tot het verwerken van gegevens aan uitvoerende medewerkers voor intern beheer, maar behoudt de formele verantwoordelijkheid ervoor. Verantwoordelijke bewerker: degene die persoonsgegevens bewerkt in opdracht van verantwoordelijke, maar die niet onder rechtstreeks gezag staat van verantwoordelijke (bv. een ingehuurd bedrijf voor het vernietigen van persoonsgegevens). Verwerking van persoonsgegevens: elke handeling met betrekking tot personeelsgegevens, verzamelen, vastleggen, bijwerken, samenvoegen en analyseren, valt hieronder.
3. Regels voor verwerking van persoonsgegevens Voorwaarden gegevensverzameling en -verwerking Persoonsgegevens mogen slechts door Rijnstad worden verwerkt als aan de volgende voorwaarden wordt voldaan: 1) de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend. Hiervoor moet voor betrokkene duidelijk zijn welke gegevens voor welk doel verzameld worden. De toestemming is verleend door het ondertekenen van een overeenkomst of intakeformulier, de praktische uitwerking hiervan is per cluster bepaald. Indien in een later stadium specifieke gegevens moeten worden opgevraagd of verstrekt aan derden, dan wordt hiervoor separaat toestemming gevraagd aan de betrokkene (bv. toestemming voor overdracht van gegevens aan de basisschool d.m.v. het Arnhems Overdrachtformulier), 2) de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (arbeidsovereenkomst, hulp- en dienstverleningsovereenkomst, behandelplan o.i.d.), 3) de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is,
1 2
Als betrokkene < 18 jaar is dan wordt hij vertegenwoordigd door zijn ouders (verzorgers / voogd). Met cliënten worden de klant-afnemers bedoeld, geen opdrachtgevers. Ook wel: deelnemer of klant.
Privacyreglement
Pagina 1 van 4
4) de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. In het geval van Rijnstad wil dat zeggen dat de gegevensverzameling en – verwerking valt onder bemoeizorg. In dat geval is de regeling Bemoeizorg van kracht. Doel gegevensverzameling en -verwerking Rijnstad verzamelt en verwerkt gegevens waarbij de volgende doelen worden beoogd: 1) vastleggen van personeelsgegevens ten behoeve van het personeelsbeleid. 2) vastleggen van cliëntgegevens ten einde goede hulp- en dienstverlening te bieden. 3) het financieel afhandelen en verantwoorden van de geboden hulp- en dienstverlening aan cliënten volgens de eisen van financiers en opdrachtgevers. 4) het kunnen uitvoeren van controles ten behoeve van de AO&IC. 5) het kunnen evalueren en onderzoeken van het voldoen aan kwaliteitseisen en wetgeving. 6) Vastleggen van persoonsgegevens ten behoeve van deelname aan activiteiten die behoren tot de kerndoelen van Rijnstad. In bijlage I staat een gedetailleerde opsomming van soorten gegevensverzameling inclusief de beoogde doelen. Informatieverstrekking aan betrokkene 1) Betrokkene moet worden geïnformeerd over het doel van gegevensverzameling en – verwerking door Rijnstad, voordat de gegevens worden verzameld. 2) Betrokkene moet ook worden geïnformeerd over de manier waarop met gegevens wordt omgegaan en welke rechten betrokkene heeft. Nieuwe cliënten ontvangen informatie via de folder “privacyreglement en klachtenreglement”en kunnen desgewenst het privacy reglement ontvangen. Nieuwe medewerkers hebben vanaf start dienstverband inzage in het reglement via IDocument. 3) Betrokkene hoeft niet actief te worden geïnformeerd als redelijkerwijs ervan uitgegaan kan worden dat betrokkene op de hoogte is van het doel van gegevensverzameling en –verwerking door Rijnstad3. Verwerken van persoonsgegevens 1) Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld en worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn. 2) Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze in de eerste instantie zijn verkregen. 3) Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt. 4) Personen die belast zijn met het intern beheer van persoonsgegevens en (externe) bewerkers hebben een geheimhoudingsplicht. 5) Rijnstad draagt zorg voor passende beveiliging van persoonsgegevens die worden verwerkt. Uitgangspunten daarbij zijn dat digitale informatie wordt beveiligd tegen verlies en onbevoegd gebruik door een back up systeem en gepaste autorisaties. Papieren informatie wordt beveiligd tegen verlies en onbevoegd gebruik door het hanteren van huisregels en een gedragscode en het gebruik van afsluitbare kasten. De regels voor het vernietigen van digitale en papieren informatie zijn opgenomen in het hoofdstuk “bewaren van gegevens”. Recht op inzage 1) Betrokkene heeft het recht om kennis te nemen van de op zijn persoon betrekking hebbende gegevens. 2) Rijnstad reageert uiterlijk binnen 4 weken op een dergelijk verzoek. 3) Inzage kan geweigerd worden als betrokkene buitensporig vaak om inzage verzoekt. 4) Voor inzage kan een vergoeding van ten hoogste € 4,50 gevraagd worden. Alleen als aanvragen bij niet redelijke tussenpozen worden gedaan, de clustermanager besluit hierover. 3
Bijvoorbeeld het verzamelen en beheren van contactgegevens ten behoeve van wijkbijeenkomsten
Privacyreglement
Pagina 2 van 4
Recht op aanvulling, correctie of verwijdering 1) Op basis van inzage kan betrokkene Rijnstad verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. 2) Dit kan als de gegevens feitelijk onjuist, onvolledig of niet ter zake dienend zijn. 3) Rijnstad geeft binnen 4 weken aan of en op welke wijze aan het verzoek voldaan wordt. Een weigering moet gemotiveerd zijn. 4) Bij honoreren van het verzoek zal Rijnstad zo spoedig mogelijk de gegevens aanvullen, corrigeren of verwijderen. Indien van toepassing worden daarbij ook derden, aan wie gegevens zijn verstrekt, geïnformeerd over de wijziging. Bewaren van gegevens 1) Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden bewerkt. 2) De verantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven. 3) De bewaartermijn voor hulp- en dienstverleningsgegevens is in beginsel vijf jaar, vanaf het moment waarop het dossier is gesloten. 4) Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 5) Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd. 6) Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat - het bewaren van groot belang is voor een ander dan de betrokkene; - het bewaren op grond van een wettelijk voorschrift vereist is of - indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat. 7) Indien voor vernietiging van gegevens gebruik gemaakt wordt van een externe partij, dan wordt gekozen voor een gewaarborgd of gecertificeerd bedrijf. Klachten Indien betrokkene van mening is dat dit reglement niet wordt nageleefd, kan hij zich wenden tot: 1) De functionaris die belast is met het intern beheer, 2) De leidinggevende van deze functionaris, 3) De directeur als verantwoordelijke, 4) Het College Bescherming Persoonsgegevens: - hij kan het College verzoeken een onderzoek in te stellen; - en hij kan gebruik maken van de in de Wbp neergelegde beroepsmogelijkheden.
4. Slotopmerkingen 1) Degene die vanuit intern beheer gegevensverzamelingen bewerken doen dit conform het privacy reglement. Aan medewerkers van Rijnstad wordt dit privacy reglement ter beschikking gesteld. 2) De gegevensverzamelingen ten behoeve van de hulpverlening door Rijnstad wordt gemeld bij Het College Bescherming Persoonsgegevens.
Privacyreglement
Pagina 3 van 4
3) Dit reglement treedt in werking per 12-04-2010 en geldt tot 12-04-2012. De kwaliteitsadviseur draagt zorg voor het up to date houden van het reglement. 4) In geval van samenwerking met andere instanties kan een ander privacyreglement van kracht zijn. Dit is van toepassing bij deelname door het cluster MW&SR aan Centrale Toegang Arnhem (dak- en thuislozen) en deelname aan Verwijsindex Risicojongeren regio Arnhem (VIRA). 5) In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement. Bij deze regeling horen de volgende documenten: 1 Bijlage I: soorten gegevensverzamelingen 2 Bijlage II: verklaring van geheimhouding voor interne auditoren 3 Folder privacyreglement en klachtenregeling
12-7-10 aangepast, versienummer opgehoogd naar 2.1 Voorheen bij 4: slotopmerkingen: “De gegevensverzamelingen bij Rijnstad hoeven niet gemeld te worden bij de Het College Bescherming Persoonsgegevens. Ze vallen onder het Vrijstellingsbesluit” Versie 2.1 bij 4: slotopmerkingen: “De gegevensverzamelingen ten behoeve van de hulpverlening door Rijnstad wordt gemeld bij Het College Bescherming Persoonsgegevens”
Privacyreglement
Pagina 4 van 4
Privacyreglement 1. Algemeen Dit reglement is een uitwerking van de Wet bescherming persoonsgegevens (Wbp). Hiermee 1 2 wordt de privacy van medewerkers, stagiairs, vrijwilligers en (ouders van) cliënten geborgd. Dit reglement is van toepassing op alle werksoorten van Rijnstad.
2. Definities Betrokkene: degene op wie een persoonsgegeven betrekking heeft. Dit kunnen medewerkers, stagiairs, vrijwilligers, of (ouders van) cliënten (ook wel: klant of deelnemer) van Rijnstad zijn. Gegevensverzameling: verzameling van persoonsgegevens over een bepaalde groep (medewerkers, stagiairs, vrijwilligers, of (ouders van) cliënten) met daaraan ten grondslag een bepaald doel. Intern beheer: degene die vanuit een hiërarchische verhouding met de verantwoordelijke persoonsgegevens verwerkt. Bv. de medewerkers van salarisadministratie of hulpverleners van Rijnstad. Persoonsgegevens: gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijke persoon en als die persoon identificeerbaar is. Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de verwerking van persoonsgegevens vast te leggen; de directeur. De directeur delegeert de bevoegdheid tot het verwerken van gegevens aan uitvoerende medewerkers voor intern beheer, maar behoudt de formele verantwoordelijkheid ervoor. Verantwoordelijke bewerker: degene die persoonsgegevens bewerkt in opdracht van verantwoordelijke, maar die niet onder rechtstreeks gezag staat van verantwoordelijke (bv. een ingehuurd bedrijf voor het vernietigen van persoonsgegevens). Verwerking van persoonsgegevens: elke handeling met betrekking tot personeelsgegevens, verzamelen, vastleggen, bijwerken, samenvoegen en analyseren, valt hieronder.
3. Regels voor verwerking van persoonsgegevens Voorwaarden gegevensverzameling en -verwerking Persoonsgegevens mogen slechts door Rijnstad worden verwerkt als aan de volgende voorwaarden wordt voldaan: 1) de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend. Hiervoor moet voor betrokkene duidelijk zijn welke gegevens voor welk doel verzameld worden. De toestemming is verleend door het ondertekenen van een overeenkomst of intakeformulier, de praktische uitwerking hiervan is per cluster bepaald. Indien in een later stadium specifieke gegevens moeten worden opgevraagd of verstrekt aan derden, dan wordt hiervoor separaat toestemming gevraagd aan de betrokkene (bv. toestemming voor overdracht van gegevens aan de basisschool d.m.v. het Arnhems Overdrachtformulier), 2) de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (arbeidsovereenkomst, hulp- en dienstverleningsovereenkomst, behandelplan o.i.d.), 3) de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is,
1 2
Als betrokkene < 18 jaar is dan wordt hij vertegenwoordigd door zijn ouders (verzorgers / voogd). Met cliënten worden de klant-afnemers bedoeld, geen opdrachtgevers. Ook wel: deelnemer of klant.
Privacyreglement
Pagina 1 van 4
4) de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. In het geval van Rijnstad wil dat zeggen dat de gegevensverzameling en – verwerking valt onder bemoeizorg. In dat geval is de regeling Bemoeizorg van kracht. Doel gegevensverzameling en -verwerking Rijnstad verzamelt en verwerkt gegevens waarbij de volgende doelen worden beoogd: 1) vastleggen van personeelsgegevens ten behoeve van het personeelsbeleid. 2) vastleggen van cliëntgegevens ten einde goede hulp- en dienstverlening te bieden. 3) het financieel afhandelen en verantwoorden van de geboden hulp- en dienstverlening aan cliënten volgens de eisen van financiers en opdrachtgevers. 4) het kunnen uitvoeren van controles ten behoeve van de AO&IC. 5) het kunnen evalueren en onderzoeken van het voldoen aan kwaliteitseisen en wetgeving. 6) Vastleggen van persoonsgegevens ten behoeve van deelname aan activiteiten die behoren tot de kerndoelen van Rijnstad. In bijlage I staat een gedetailleerde opsomming van soorten gegevensverzameling inclusief de beoogde doelen. Informatieverstrekking aan betrokkene 1) Betrokkene moet worden geïnformeerd over het doel van gegevensverzameling en – verwerking door Rijnstad, voordat de gegevens worden verzameld. 2) Betrokkene moet ook worden geïnformeerd over de manier waarop met gegevens wordt omgegaan en welke rechten betrokkene heeft. Nieuwe cliënten ontvangen informatie via de folder “privacyreglement en klachtenreglement”en kunnen desgewenst het privacy reglement ontvangen. Nieuwe medewerkers hebben vanaf start dienstverband inzage in het reglement via IDocument. 3) Betrokkene hoeft niet actief te worden geïnformeerd als redelijkerwijs ervan uitgegaan kan worden dat betrokkene op de hoogte is van het doel van gegevensverzameling en –verwerking door Rijnstad3. Verwerken van persoonsgegevens 1) Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld en worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn. 2) Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze in de eerste instantie zijn verkregen. 3) Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt. 4) Personen die belast zijn met het intern beheer van persoonsgegevens en (externe) bewerkers hebben een geheimhoudingsplicht. 5) Rijnstad draagt zorg voor passende beveiliging van persoonsgegevens die worden verwerkt. Uitgangspunten daarbij zijn dat digitale informatie wordt beveiligd tegen verlies en onbevoegd gebruik door een back up systeem en gepaste autorisaties. Papieren informatie wordt beveiligd tegen verlies en onbevoegd gebruik door het hanteren van huisregels en een gedragscode en het gebruik van afsluitbare kasten. De regels voor het vernietigen van digitale en papieren informatie zijn opgenomen in het hoofdstuk “bewaren van gegevens”. Recht op inzage 1) Betrokkene heeft het recht om kennis te nemen van de op zijn persoon betrekking hebbende gegevens. 2) Rijnstad reageert uiterlijk binnen 4 weken op een dergelijk verzoek. 3) Inzage kan geweigerd worden als betrokkene buitensporig vaak om inzage verzoekt. 4) Voor inzage kan een vergoeding van ten hoogste € 4,50 gevraagd worden. Alleen als aanvragen bij niet redelijke tussenpozen worden gedaan, de clustermanager besluit hierover. 3
Bijvoorbeeld het verzamelen en beheren van contactgegevens ten behoeve van wijkbijeenkomsten
Privacyreglement
Pagina 2 van 4
Recht op aanvulling, correctie of verwijdering 1) Op basis van inzage kan betrokkene Rijnstad verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. 2) Dit kan als de gegevens feitelijk onjuist, onvolledig of niet ter zake dienend zijn. 3) Rijnstad geeft binnen 4 weken aan of en op welke wijze aan het verzoek voldaan wordt. Een weigering moet gemotiveerd zijn. 4) Bij honoreren van het verzoek zal Rijnstad zo spoedig mogelijk de gegevens aanvullen, corrigeren of verwijderen. Indien van toepassing worden daarbij ook derden, aan wie gegevens zijn verstrekt, geïnformeerd over de wijziging. Bewaren van gegevens 1) Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden bewerkt. 2) De verantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven. 3) De bewaartermijn voor hulp- en dienstverleningsgegevens is in beginsel vijf jaar, vanaf het moment waarop het dossier is gesloten. 4) Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 5) Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd. 6) Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat - het bewaren van groot belang is voor een ander dan de betrokkene; - het bewaren op grond van een wettelijk voorschrift vereist is of - indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat. 7) Indien voor vernietiging van gegevens gebruik gemaakt wordt van een externe partij, dan wordt gekozen voor een gewaarborgd of gecertificeerd bedrijf. Klachten Indien betrokkene van mening is dat dit reglement niet wordt nageleefd, kan hij zich wenden tot: 1) De functionaris die belast is met het intern beheer, 2) De leidinggevende van deze functionaris, 3) De directeur als verantwoordelijke, 4) Het College Bescherming Persoonsgegevens: - hij kan het College verzoeken een onderzoek in te stellen; - en hij kan gebruik maken van de in de Wbp neergelegde beroepsmogelijkheden.
4. Slotopmerkingen 1) Degene die vanuit intern beheer gegevensverzamelingen bewerken doen dit conform het privacy reglement. Aan medewerkers van Rijnstad wordt dit privacy reglement ter beschikking gesteld. 2) De gegevensverzamelingen ten behoeve van de hulpverlening door Rijnstad wordt gemeld bij Het College Bescherming Persoonsgegevens.
Privacyreglement
Pagina 3 van 4
3) Dit reglement treedt in werking per 12-04-2010 en geldt tot 12-04-2012. De kwaliteitsadviseur draagt zorg voor het up to date houden van het reglement. 4) In geval van samenwerking met andere instanties kan een ander privacyreglement van kracht zijn. Dit is van toepassing bij deelname door het cluster MW&SR aan Centrale Toegang Arnhem (dak- en thuislozen) en deelname aan Verwijsindex Risicojongeren regio Arnhem (VIRA). 5) In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement. Bij deze regeling horen de volgende documenten: 1 Bijlage I: soorten gegevensverzamelingen 2 Bijlage II: verklaring van geheimhouding voor interne auditoren 3 Folder privacyreglement en klachtenregeling
12-7-10 aangepast, versienummer opgehoogd naar 2.1 Voorheen bij 4: slotopmerkingen: “De gegevensverzamelingen bij Rijnstad hoeven niet gemeld te worden bij de Het College Bescherming Persoonsgegevens. Ze vallen onder het Vrijstellingsbesluit” Versie 2.1 bij 4: slotopmerkingen: “De gegevensverzamelingen ten behoeve van de hulpverlening door Rijnstad wordt gemeld bij Het College Bescherming Persoonsgegevens”
Privacyreglement
Pagina 4 van 4
