Definitie DocumentatieGegevensverzameling & -verwerking
Definitie Documentatie Gegevensverzameling & -verwerking |
DefDocGeg: Definitie en documentatie van gegevensverzamelingen en gegevensverwerking binnen Logeerboerderij Hippago V.O.F., opgesteld binnen de context van de AVG.
Dit document geeft de definitie van gegevensverzamelingen en documenteert de gegevensverwerking van Logeerboerderij Hippago V.O.F.. Dit document is opgesteld binnen de context van de Algemene Verordening Gegevensbescherming (AVG).
Logeerboerderij Hippago V.O.F. is een kleinschalige onderneming van twee zorgprofessionals. Het is de Vennootschap onder Firma van Xxxxxx Xxxxxxxxxx en Xxxxxx Xxxxxxxxxx-Xxxxxx, KvK nummer 70474060, AGB-code 73-736812, xxx.xxxxxxx.xx. De Algemene Voorwaarden van Logeerboerderij Hippago V.O.F. zijn te vinden op xxxx://xxx.xxxxxxx.xx/xx-xxxxxxx-xxxx/.
Het document “Privacy Impact Assessment” (PIA) van Logeerboerderij Hippago V.O.F., referentie PIA31032018, dd 31 maart 2018, verwijst naar het voorliggende document.
Inhoudsopgave
1. Context
2. Toepasselijkheid
3. Algemene maatregelen
4. Register
5. Toestemming
6. Datalekken
7. Beveiliging gegevensverzamelingen
8. Conclusie
1. Context
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse implementatie van de General Data Protection Regulation (GDPR) en de opvolger van de WBP, de Wet Bescherming Persoonsgegevens. De WBP, xxxx://xxxxxx.xxxxxxxx.xx/XXXX0000000, blijft vooralsnog van toepassing, zie ook xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxxxxxx_xxxxxxxxxxx_xxxxxxxxxxxxxxxxxxx. De Autoriteit Persoonsgegevens (AP), xxx.XxxxxxxxxxXxxxxxxxxxxxxxxx.xx, beschrijft op xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxxxxxxx/xxxxxxxx- verordening-gegevensbescherming de nieuwe wet in het document “verordening_2016_-
_679_definitief.pdf”. Een kopie van dit document is te vinden in de PaletzorgLedenBox, map
"Diverse_bestanden", sub-map "Privacy_informatiebeveiliging".
De AVG eist dat een organisatie die persoonsgegevens verwerkt moet documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. Het voorliggende document doet dit voor Logeerboerderij Hippago V.O.F..
2. Toepasselijkheid
Logeerboerderij Hippago V.O.F. is een V.O.F. met twee vennoten en verwerkt daarom niet op grote schaal gegevens. De AVG verplicht daarom geen Functionaris voor de Gegevensbescherming (FG) en Logeerboerderij Hippago V.O.F. heeft die dan ook niet. Ook verlangt de AVG daarom geen “Privacy
Impact Assessment” (PIA) van Logeerboerderij Hippago V.O.F. Om duidelijk te maken dat Logeerboerderij Hippago V.O.F. privacy zeer serieus neemt is desondanks wel een PIA gemaakt en ondanks dat in de PIA bleek dat de mogelijke privacy-risico’s van de gegevensverwerking door Logeerboerderij Hippago V.O.F. laag zijn, is de PIA wel volledig ingevuld – zie het eerdergenoemde document met referentie PIA31032018.
Volgens één van de “Algemene vragen over de AVG” op xxxxx://xxxxxxxxxxxxxxxxxx- xxxxxxxx.xx/xx/xxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxx- gegevensbescherming geldt de AVG voor alle organisaties die persoonsgegevens verwerken, dus ook voor MKB'ers en ZZP'ers.
In de context van Logeerboerderij Hippago V.O.F. is zowel de ‘verwerker’ als de
‘verwerkingsverantwoordelijke’ één van de vennoten van Logeerboerderij Hippago V.O.F., namelijk Xxxxxx Xxxxxxxxxx-Xxxxxx.
3. Algemene maatregelen
Logeerboerderij Hippago V.O.F. doet zorgdienstverlening op maat voor cliënten. Voor elk van deze cliënten wordt separaat een dossier bijgehouden. Deze dossiers zijn afdoende beveiligd (hierover later meer) en elk dossier is alleen toegankelijk voor de betreffende cliënt en voor Logeerboerderij Hippago V.O.F. zelf.
De gegevens die door Logeerboerderij Hippago V.O.F. in de dossiers worden verzameld en bewaard zijn noodzakelijk voor de verleende zorgdienstverlening. Het gaat om persoonlijke en vertrouwelijke gegevens – de meeste gegevens zijn ‘bijzondere persoonsgegevens’ in termen van de AVG. De cliënt is op de hoogte dat deze gegevens worden verzameld en bewaard. Dit staat o.a. vermeld in de Algemene Voorwaarden van Logeerboerderij Hippago V.O.F. , die de cliënt ontvangt voorafgaand aan de zorgdienstverlening en die de cliënt accepteert als onderdeel van het zorgcontract dat individueel met elke cliënt wordt afgesloten (AVG-grondslagen ‘toestemming van de gebruiker’ en
‘overeenkomst’). Er wordt precies voldoende en niet teveel informatie verzameld, volgens de
principes ‘need to know’ en ‘least privilege’.
De enige bewerker van de persoonsgegevens is de vennoot Xxxxxx Xxxxxxxxxx-Xxxxxx.
Logeerboerderij Hippago V.O.F. zet proactief een aantal maatregelen in die het risico significant verminderen dat persoonsgegevens in verkeerde handen vallen. Dit zijn o.a.:
• verzender en ontvanger van gegevensverzamelingen worden altijd expliciet en handmatig gecontroleerd;
• gegevensdragers zoals papier, apparaten en extern geheugen worden afdoende beveiligd tegen diefstal en afdoende beveiligd bewaard, ook tijdens transport/communicatie;
• afgedankte gegevensdragers worden afdoende vernietigd;
• er wordt geen gebruik gemaakt van publieke en beperkt beveiligde media, zoals WhatsApp, Facebook, LinkedIn en dergelijke;
• bij online communicatie wordt gebruik gemaakt van VECOZO of middelen met een vergelijkbaar beveiligingsniveau, zoals de tool 7-ZIP met 256-bit AES encryptie en een wachtwoord van voldoende kwaliteit, of Xxx.xxx (ISO 27001 gecertificeerd);
• de gebruikte ICT-hulpmiddelen worden altijd en proactief bijgewerkt (denk o.a. aan updates van het operating system, het gebruik van geupdate anti-malware en van beveiligde backups);
• er wordt geen gebruik gemaakt van een eigen klantportaal en als gebruik gemaakt moet worden van een extern klantportaal, dan wordt dit alleen gedaan als dit externe systeem afdoende beveiligd is.
4. Register
Het “Register” in de context van de AVG is de definitie en documentatie van gegevensverzamelingen en van gegevensverwerkingen.
Er zijn de volgende gegevensverzamelingen:
• één dossier per cliënt;
doel hiervan is de ondersteuning van het verlenen van goede zorg;
het eigen dossier is alleen toegankelijk voor de betreffende cliënt en voor Logeerboerderij Hippago V.O.F. en bevat alleen gegevens van die cliënt;
• de bedrijfsdocumentatie;
doel hiervan is het kunnen uitoefenen van de bedrijfsvoering en bedrijfscontinuïteit;
de bedrijfsdocumentatie is alleen toegankelijk voor Logeerboerderij Hippago V.O.F. en bevat geen cliënt-gegevens.
Er zijn de volgende gegevensverwerkingen:
• het bijwerken van dossiers i.h.k.v. zorgdienstverlening;
• het bijwerken van bedrijfsdocumentatie i.h.k.v. bedrijfsvoering;
deze beide activiteit vinden alleen plaats door Logeerboerderij Hippago V.O.F. zelf, ten kantore van Logeerboerderij Hippago V.O.F. , en daarnaast zijn er de volgende gegevensuitwisselingen met externe partijen:
• interactie met financiers
o in het kader van Zorg in Natura (zoals gemeenten en zorgkantoren):
o deze interactie vindt plaats via VECOZO en is daarmee afdoende gedocumenteerd en beveiligd;
• interactie met overheid (zoals de Inspectie, SVB, CAK, CIZ en CBS):
o t.b.v. de verantwoording, verslaglegging en statistiek;
o deze interactie vindt plaats via specifieke overheidsmaatregelen en is daarmee afdoende gedocumenteerd en beveiligd;
• interactie met collega’s:
o Logeerboerderij Hippago V.O.F. is lid van Paletzorg, een samenwerkingsverband van zo’n
50 zelfstandige zorgprofessionals (xxx.Xxxxxxxxx.xxx).
o Er wordt samengewerkt met o.a. deze collega-zorgdienstverleners, maar uitwisseling van persoonsgegevens is zeer beperkt: in electronische gegevensuitwisseling worden alleen de initialen van de cliënt gebruikt en niet de BSN, geboortedatum of andere persoonsgegevens en als wel meer informatie moet worden uitgewisseld, wordt een één op één afspraak gemaakt en worden de benodigde gegevens mondeling uitgewisseld, of wordt gebruik gemaakt van fysieke post.
Er vindt geen datatransfer plaats met non-EU locaties.
Xxxx op dat toestemming voor het doorgeven van persoonsgegevens niet vereist is wanneer gegevens worden verstrekt aan
• het advies- en meldpunt huiselijk geweld en kindermishandeling (AMHK), in het kader van een situatie van (vermoede) kindermishandeling en huiselijk geweld;
• de Verwijsindex Risicojongeren (VIR), als de veiligheid of gezondheid van de betrokkene in het geding is.
Alle gegevensverwerkingen worden uitgevoerd door één van de vennoten van Logeerboerderij Hippago V.O.F., namelijk Xxxxxx Xxxxxxxxxx-Xxxxxx.
Deze opzet van gegevensverzamelingen en gegevensverwerkingen en het gebruik ervan binnen de context van individuele, persoonlijke zorgdienstverlening op maat aan cliënten vormt “privacy by design” (privacy is reeds aanwezig in de opzet van het geheel) en levert in de praktische uitvoering “privacy by default” (er wordt standaard rekening gehouden met privacy-aspecten).
5. Toestemming
De toestemming van de cliënt (de “betrokkene” in AVG-termen) is geïmplementeerd via het zorgcontract tussen Logeerboerderij Hippago V.O.F. en cliënt. Dit zorgcontract verwijst naar de Algemene Voorwaarden van Logeerboerderij Hippago V.O.F. en met ondertekening van het zorgcontract onderschrijft de cliënt tevens de Algemene Voorwaarden. In de Algemene Voorwaarden wordt beschreven dat er een dossier wordt bijgehouden, dat dit in te zien is door de cliënt, wordt de bewaartermijn gedefinieerd en worden vertrouwelijkheid, geheimhouding en privacy benoemd. Ook wordt beschreven dat er een Toezichthoudend Orgaan is, dat er o.a. op toeziet dat Logeerboerderij Hippago V.O.F. zich houdt aan de Paletzorg-versie van de Governancecode Zorg.
Specifiek wordt o.a. in artikel 3.7 van de Algemene Voorwaarden gesteld:
Door ondertekening van Zorgovereenkomst geeft de Zorgvrager aan Logeerboerderij Hippago
V.O.F. toestemming om zorg te verlenen aan Cliënt en daarbij alle handelingen te verrichten die Logeerboerderij Hippago V.O.F. nodig acht voor de uitvoering van de Zorgovereenkomst
De zorgdienstverlening is persoonlijk en dus is het vanzelfsprekend dat verwerking van persoonsgegevens noodzakelijk en voorwaardelijk is voor uitvoering van de zorgovereenkomst (AVG- grondslag ‘gerechtvaardig belang’). Zodra dus de zorgovereenkomst door de cliënt wordt ondertekend, is daarmee toestemming verkregen voor het verzamelen en bewerken van persoonsgegevens. Als de cliënt deze toestemming wil intrekken, dan impliceert dit dat de zorgovereenkomst niet meer uit te voeren is door Logeerboerderij Hippago V.O.F.. Dit impliceert dat de zorgovereenkomst wordt opgezegd, zoals beschreven in artikel 12.1 van de Algemene Voorwaarden.
Bij inschakeling van derden wordt een nieuwe zorgovereenkomst opgesteld; zie artikel 6 van de Algemene Voorwaarden, waarbij tevens de continuering van de zorg wordt gewaarborgd. In die nieuwe zorgovereenkomst zorgen vergelijkbare clausules voor het waarborgen van de goede bescherming van de persoonsgegevens van de cliënt. Met dit alles is effectief het recht op dataportabiliteit geïmplementeerd.
6. Datalekken
Logeerboerderij Hippago V.O.F. voldoet aan de 'meldplicht datalekken'. Eventuele datalekken zullen worden geregistreerd en gemeld aan de Autoriteit Persoonsgegevens via datalekken.autoriteit- xxxxxxxxxxxxxxxx.xx.
7. Beveiliging gegevensverzamelingen
Alle gegevens genoemd in het Register worden opgeslagen binnen het domein van Logeerboerderij Hippago V.O.F.. Deels vindt dit plaats fysiek in afsluitbare kasten, die alleen toegankelijk zijn voor de vennoten van Xxxxxxxxxxxxxxx Hippago V.O.F., Xxxxxx Xxxxxxxxxx-Xxxxxx en Xxxxxx Xxxxxxxxxx, en deels online, op beveiligde ICT systemen, die afdoende zijn beveiligd met o.a. toegangsbeveiliging, anti-malware en backup en ook alleen toegankelijk zijn voor Logeerboerderij Hippago V.O.F..
8. Conclusie
De conclusie van dit alles is dat de organisatie Logeerboerderij Hippago V.O.F. handelt in overeenstemming met de AVG en dat Logeerboerderij Hippago V.O.F. de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen en blijven voldoen.
Opgesteld door Xxxxxx Xxxxxxxxxx-Xxxxxx, kwaliteitsfunctionaris van Logeerboerderij Hippago V.O.F. Versie 31 maart 2018.