Contract
Coöperatie BQR-Zorg u.a. (hierna te noemen BQR) biedt professionele zorg, voornamelijk intensieve zorg, wat past in de situatie; zo lang mogelijk zelfstandig thuis kunnen wonen en regie houden over hun eigen leven. BQR heeft zich als doel gesteld om mensen die wij in zorg hebben op een menswaardige wijze, zo lang mogelijk in hun eigen veilige omgeving te laten wonen. BQR draagt zorg voor een systematische bewaking, beheersing en verbetering van de kwaliteit van zorg teneinde te bewerkstelligen dat vanuit het perspectief van de cliënt goede zorg is verleend. BQR is ISO 9001:2015 gecertificeerd.
Met deze privacyverklaring informeert BQR u over de redenen van gegevensverzameling, hoe uw privacy wordt beschermd, welke rechten u heeft en onder welke voorwaarden gegevens aan u of anderen kunnen worden verstrekt.
1. Inleiding
BQR vindt uw privacy erg belangrijk. Wij werken dagelijks met uw persoonsgegevens. Onze processen zijn zo ingericht dat zij een betrouwbare verwerking van uw gegevens waarborgen. Hierbij is uw privacy ons eerste belang.
Deze privacyverklaring is een praktische uitwerking van de wettelijke bepalingen op het gebied van bescherming van persoonsgegevens. De aanleiding voor deze verklaring is de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
Daarnaast is in deze verklaring rekening gehouden met andere wetten die bepalingen bevatten over hoe om te gaan met persoonsgegevens in de zorg. Dit zijn onder andere:
• Wet op de geneeskundige behandelingsovereenkomst;
• Wet kwaliteit, klachten en geschillen zorg;
• Wet op de beroepen in de individuele gezondheidszorg;
• Wet langdurige zorg;
• Zorgverzekeringswet;
• Wet cliëntenrechten bij elektronische verwerking van gegevens/ Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (indien en voor zover reeds/nog van toepassing);
Als u vragen of opmerkingen heeft over de bescherming van uw persoonsgegevens of over deze verklaring, dan kunt u terecht bij de Functionaris Gegevensbescherming (via mail xxxx@xxx-xxxx.xx en/of telefonisch via
06-10004594).
Als u gebruik wilt maken van uw privacy rechten, waarover u in deze verklaring leest, dan kunt u daarvoor contact opnemen met de Functionaris Gegevensbescherming (via mail xxxx@xxx-xxxx.xx en/of telefonisch via
06-10004594).
2. Verantwoordelijkheden en begripsbepalingen Functionaris Verantwoordelijkheden
Bestuur Beheersen en evalueren wensen en eisen van klanten/kwaliteit van de dienstverlening en eisen derde partijen (niet cliënten).
Zorgverlening Beheersen en evalueren wensen en eisen van klanten/kwaliteit van de dienstverlening
Begripsbepalingen
2.1. Persoonsgegevens
Alle gegevens die direct, ofwel indirect herleidbaar zijn tot een individuele natuurlijke persoon.
2.2. Bijzondere persoonsgegevens
Persoonsgegevens waaruit ras of etnische, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of genetische gegevens, biometrische gegevens, gegevens over gezondheid en ook gegevens over seksuele gedrag of geaardheid.
2.3. Persoonsregistratie
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen of vernietigen van gegevens.
2.4. Verstrekken van gegevens uit de Persoonsregistratie
Het bekend maken of ter beschikking stellen van Persoonsgegevens die in de Persoonsregistratie zijn opgenomen of die door bewerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
2.5. Verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens.
2.6. Gegevens over gezondheid
Alle gegevens die betrekking hebben op fysieke of mentale gezondheid. Waaronder de gegevens over zorg- en/of diensten en/of ondersteuning die een zorgverlener verleent.
2.7. Bestand
Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
2.8. Verantwoordelijke
De natuurlijke persoon, rechtspersoon of ieder ander die het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt.
2.9 Verwerking van persoonsgegevens
Elke bewerking of elk geheel van bewerkingen van persoonsgegevens. Zoals bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen of combineren, en ook het afschermen, wissen of vernietigen van gegevens. Handmatig of geautomatiseerd.
2.10. Verwerker van de Persoonsregistratie
Degene, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
2.11. Cliënt
Een natuurlijk persoon die zorg- en/of dienstverlening ontvangt of zal ontvangen.
2.12. Betrokkene
Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen en worden verwerkt. Dat kan de cliënt zijn, maar soms (ook) de wettelijk vertegenwoordiger, schriftelijk gemachtigde of belangenbehartiger van cliënt. Van hen zijn ook persoonsgegevens nodig, contactgegevens bijvoorbeeld.
• Wettelijk vertegenwoordiger: De persoon die als vertegenwoordiger van cliënt optreedt indien de (meerderjarige) cliënt handelings-en/of wilsonbekwaam is. Bijvoorbeeld een curator, een mentor of een bewindvoerder;
• Schriftelijk gemachtigde: De persoon die in schriftelijke opdracht is aangewezen en die de (meerderjarige) cliënt vertegenwoordigt ofwel bijstaat in de behartiging van belangen;
• Belangenbehartiger: Echtgenoot, geregistreerd partner, levensgezel, ouder, kind, broer of zuster in het geval een (meerderjarige) cliënt in de situatie als bedoeld in artikel 7:465 lid 3BW (Wet op geneeskundige behandelingsovereenkomst).
2.13. Cliëntdossier
Het dossier (schriftelijk en/of digitaal) dat wordt ingericht over de cliënt. Daarin staat informatie over de zorg- en/of diensten en/of ondersteuning die wordt verleend.
2.14. Beheerder van de Persoonsregistratie
Degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg van een Persoonsregistratie of een gedeelte daarvan.
2.15. Gebruiker van de Persoonsregistratie
Degene die geautoriseerd is gegevens in de Persoonsregistratie in te voeren en/of te muteren dan wel van enigerlei uitvoer van de Persoonsregistratie kennis te nemen.
2.16. Organisatie Coöperatie BQR-Zorg U.A.
2.17. Derde
Xxxxx, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
2.18. Externe opdrachtgever
De persoon of rechtspersoon die de opdracht tot enige vorm van beroepsmatig handelen heeft gegeven, niet zijnde de betrokkene. De opdracht omvat zowel vraagstelling die aan het beroepsmatig handelen ten grondslag ligt, als afspraken omtrent voortgang, procedurele aspecten en rapportage en de financiële afwikkeling van de opdracht.
2.19. Ontvanger
Degene aan wie de persoonsgegevens worden verstrekt.
2.20. Datalek
Een inbreuk op de beveiliging waarbij persoonsgegevens per ongeluk op onrechtmatige wijze in handen van onbevoegden zijn gekomen, voor onbevoegden toegankelijk waren, of zijn vernietigd of verloren.
2.21. Toestemming van Betrokkene
Elke vrije, specifieke en op informatie berustende ondubbelzinnige verklaring of actieve handeling waarmee de cliënt als betrokkene accepteert dat persoonsgegevens worden verwerkt. De toestemming mag niet voor verschillende interpretaties vatbaar zijn. De toestemming moet aantoonbaar verkregen zijn.
2.22 Functionaris Gegevensbescherming
Een onafhankelijk en deskundig persoon binnen de zorginstelling, die is aangesteld voor het informeren en adviseren over en het toezicht houden op de naleving van de AVG en andere wettelijke bepalingen op het gebied van de bescherming van persoonsgegevens.
2.23. AVG
Algemene Verordening gegevensverwerking.
3. Voor wie is deze verklaring geschreven?
Deze verklaring is opgesteld voor alle personen van wie wij persoonsgegevens verwerken. Waarbij het niet uitmaakt of dit (geheel of gedeeltelijk) geautomatiseerd of handmatig plaatsvindt. Voorbeelden van verwerkingen zijn het opvragen, bewaren en verstrekken van persoonsgegevens. Dit privacy statement is van toepassing op alle klanten en werknemers c.q. leden van BQR. Uitgangspunten daarbij zijn:
• Indien persoonsgegevens verwerkt worden, gebeurt dit rechtmatig, netjes en transparant;
• Er worden enkel persoonsgegevens verwerkt voor van te voren bepaalde uitdrukkelijk omschreven, gerechtvaardigd doelen, zoals omschreven in artikel 6 van deze verklaring;
• De persoonsgegevens worden alleen verwerkt voor het doel waarvoor ze nodig zijn en er worden niet meer gegevens verwerkt dan noodzakelijk is;
• Indien persoonsgegevens op enig moment voor een ander doel nodig zijn, dan mag dat enkel indien het nieuwe doel verenigbaar is met het oorspronkelijke doel. Indien dat niet het geval is en er ook geen andere grondslag voor het verwerken van persoonsgegevens van toepassing is, dan wordt er opnieuw toestemming voor de verwerking gevraagd.
• De persoonsgegevens die verwerkt worden moeten juist zijn. Er wordt alles aan gedaan om de gegevens actueel te houden. Gegevens die niet (meer) actueel zijn, worden gecorrigeerd of gewist.
4. Verwerkersovereenkomsten
Met overige partijen die kunnen werken met uw gegevens, zoals de accountant en bijvoorbeeld softwareleveranciers is er een zgn. verwerkersovereenkomst afgesloten om uw privacy te waarborgen. In principe zullen wij geen persoonsinformatie delen met landen buiten de EU.
5. Waarom wij bepaalde informatie verzamelen
Bij de aanvraag van een dienst vragen wij u om persoonsgegevens. De door u verstrekte gegevens gebruiken wij voor het aangaan en uitvoeren van de zorgovereenkomst, het zorgplan en de uitvoering van de verzekeringsovereenkomst. Hiermee wordt o.a. bedoeld: de beoordeling en acceptatie van u als verzekerde (controle BSN-nummer en Check op Verzekering en het gebruik van indien van toepassing een akte van cessie), het beheren van gegevens in onze klantadministratie, het afhandelen van declaraties en correspondentie hierover. Ook kunnen wij uw gegevens gebruiken voor overige (wettelijke) activiteiten ter ondersteuning van de bedrijfsvoering. Denk bijvoorbeeld aan fraudepreventie, statistische analyses, het evalueren en verbeteren van onze diensten en marktonderzoek.
6. Grondslag verwerking persoonsgegevens
BQR verwerkt de hierboven genoemde persoonsgegevens of verstrekt deze persoonsgegevens aan derden uitsluitend op basis van de hierna te noemen gronden als o.a. bedoeld in artikel 6 van de AVG:
• Wettelijke verplichting;
• Uitvoering van de overeenkomst
• Uitdrukkelijk verkregen gespecificeerde toestemming van betrokkene(n);
• Gerechtvaardigd belang;
• Vervulling van een taak van algemeen belang;
• Om vitale belangen van betrokkene(n) of andere natuurlijke personen te beschermen.
Welke gegevens worden er o.a. verwerkt:
• Achternaam en voornaam
• Geboortedatum
• Burgerservicenummer (BSN)
• Mailadres
• Telefoonnummer
• Adresgegevens
• Gegevens ziektekostenverzekering
• Gegevens huisarts
• Gegevens t.a.v. gezondheidsgegevens
• Financiële gegevens
Wie heeft inzage en wie verwerkt welke gegevens:
Crud (create, read, update, delete) | |||||||
Handeling | Verwijzer | Bestuur | Coordinator | HBO5 | Zorgverleners | Client/wett vert./ov.lev. | Zorgverzekeraar |
Aanvraag | CUD | RD | R | R | R | R | R |
Planning | CRD | CRU | R | ||||
Indicatie | RD | CRU | R | R | R | ||
Zorgplan | RD | RU | CR | R | R | R | |
Medische gegevens | CUD | RD | R | R | R | R | R |
Administratie (digitaal) dossier | CRUD | ||||||
Siilogroep | CRUD | RD | RD | RD | |||
Clientendossier (zorgmap) | CRUD | R | R | R | R | R | |
Zorgovereenkomst | CRUD | R | R | R | R | R | |
Toestemming gegevensverwerking cliënt | CRUD | R | |||||
Overeenkomst gegevensverwerking cliënt | CRUD | R | |||||
Tarieven verzekering | R | R | CU | ||||
Overeenkomst van opdracht | CRUD | R | R | ||||
Urenverantwoording | CRUD | R | R | R | |||
Protocollen | RD | CR | CRU | R | |||
Rapportages | CRD | CRU | CRU | R | |||
Inkoopfacturen | RD | CRU | CRU | CRU | CRU | ||
Verkoopfacturen | CRUD | R | |||||
Zorgevaluatie door zorgverleners | CRD | CRU | CRU | ||||
Zorgeveluatie door HBO5 | RD | CR | R | ||||
Privacy reglement | R | CRUD | R | R | R | R | R |
Overzicht clienten (digitaal) | CRUD | CRU | RU | ||||
FOR11b Check Volwaardig All Round Professional | CRUD | ||||||
FOR19 Goedgekeurde leveranciers | CRUD | R | R | R | |||
Inschrijfcritiria | RUD | CR | |||||
Leden (digitaal) dossier | CRUD | R | R | ||||
Statuten | CRUD | R | R | R | |||
Overeenkomst coöperatie | CRUD | R | R | R | |||
DBA overeenkomst | CRUD | R | R | R | |||
Toestemming gegevensverwerking zorgverlener | CRUD | R | |||||
Overeenkomst gegevensverwerking zorgverlener | CRUD | ||||||
overeenkomst overige leveranciers | R | CRUD | |||||
Toestemming AVG client | CRUD | R | |||||
Toestemming AVG lid/leverancier | CRUD | R | |||||
Verwerkingsovereenkomst | R | CRUD | R | R | R | R | R |
7. Marketingdoeleinden
De persoonsgegevens, niet zijnde bijzondere persoonsgegevens, welke u bij de totstandkoming van de verzekeringsovereenkomst heeft verstrekt aan BQR, kunnen worden gebruikt om u op de hoogte te houden van onze nieuwe voorwaarden, diensten, producten en productverbeteringen, indien er toestemming is verkregen.
8. Informatieverstrekking
BQR gebruikt uw gegevens om u service gerelateerde informatie aangaande uw overeenkomst toe te zenden.
9. Onderzoeken
BQR maakt gebruik van combinaties van klant-, factuur- en dossiergegevens om statistische klantanalyses te doen. Hiermee beoogt zij de kwaliteit van haar diensten en die van aan BQR verbonden zorgaanbieders te onderzoeken en te verbeteren en eveneens voor het onderhouden, beveiligen en optimaliseren van de website van BQR.
BQR borgt dat de gegevens die verstrekt en/of gepubliceerd worden niet tot een persoon herleidbaar zijn, zodat de privacy niet wordt geschaad. Indien er ter zake geen uitdrukkelijk bezwaar is gemaakt en indien en voor zover toestemming is vereist, zal toestemming worden gevraagd.
BQR verzamelt verplichte gegevens waarover beschikt moet worden om de zorgverzekering uit te voeren zoals het Burgerservicenummer (BSN). Het BSN wordt uitsluitend gebruikt voor het uitvoeren van de wettelijke taken.
10. Beveiliging persoonsgegevens
De bescherming van uw privacy is belangrijk voor u en voor BQR. Daarom treft BQR technische en organisatorische maatregelen om uw gegevens te beschermen. Denk hierbij onder andere aan de beveiliging van de toegang tot gebouwen, systemen, computer(netwerken) en servers. De verzamelde gegevens worden niet langer bewaard dan voor het doel wettelijk noodzakelijk is. De bewaartermijn bedraagt in voorkomend geval maximaal 15 jaar. Onze leden zijn tot geheimhouding verplicht. Onze leden wordt gevraagd een VOG verklaring aan te vragen bij de gemeente. Wij verstrekken persoonsgegevens niet aan derden tenzij er door cliënt (of wettelijk vertegenwoordiger, schriftelijk gemachtigde of belangenbehartiger namens cliënt) uitdrukkelijk gespecificeerde toestemming is gegeven voor het verstrekken van persoonsgegevens en het (medisch) beroepsgeheim niet in de weg staat. Uitdrukkelijke toestemming betekent dat er expliciet, duidelijk en zonder
twijfel is aangegeven dat persoonsgegevens mogen worden verstrekt. U mag van BQR verwachten dat wij alles doen, wat in redelijkheid van ons verwacht mag worden, om uw privacy te waarborgen. Uw persoonsgegevens zijn intern alleen voor in te zien die leden die uw gegevens nodig hebben om op juiste wijze uitvoering te kunnen geven aan de overeenkomst. BQR houdt een register bij van verwerkingsactiviteiten. Dit register bevat geen persoonsgegevens. U kunt een reden hebben om BQR te vragen uw persoonsgegevens, bijvoorbeeld uw adres, geheim te houden. Aan zo’n verzoek voldoet BQR natuurlijk, binnen de eisen die wettelijk aan ons gesteld worden, altijd.
11. Bijzondere gegevens
Bijzondere persoonsgegevens, bijvoorbeeld gegevens betreffende uw gezondheid of strafrechtelijke gegevens, worden, vanwege het bijzondere karakter, op extra zorgvuldige wijze verwerkt. De verwerking ervan vindt enkel plaats indien:
• dit noodzakelijk is voor de behandeling of verzorging of als de verwerking noodzakelijk is voor het beheer van onze zorginstelling of de beroepspraktijk;
• voor verzekeraars de verwerking noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst; uiteraard voor zover dit binnen de laatst geldende wet- en regelgeving tot de mogelijkheden behoort.
• verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
Strafrechtelijke gegevens verwerken wij conform de Algemene Verordening Gegevensbescherming. In het kader van de opsporing van fraude, misbruik en oneigenlijk gebruik worden ook gegevens vastgelegd.
12. Bescherming van privacy en internet
In geval van persoonsgegevensverwerking bijvoorbeeld op internet en de bescherming van uw privacy in het algemeen gelden de volgende rechten en mogelijkheden heeft u recht op:
• (elektronische) inzage, (elektronisch) afschrift in de door BQR over u verwerkte gegevens dit betreft eveneens gegevens omtrent verwijsindex en logging;
• het indienen van een verzoek tot correctie (dan wel toevoeging) van uw gegevens, zoals het wijzigen of verwijderen van gegevens/verwijsindex;
• verzet aan te tekenen tegen bepaalde wijzen van gebruik van uw gegevens. Niet in alle gevallen kan of mag BQR een wijziging of verwijdering doorvoeren, bijvoorbeeld wanneer dit in strijd met de wet is. Een verzoek tot inzage of correctie kunt u indienen bij de desbetreffende Functionaris. Binnen vier weken ontvangt u dan een reactie.
• het beperken van gebruik van de persoonsgegevens.
13. Voorwaarden verstrekking informatie
Wanneer u om (elektronische) inzage in uw gegevens of om een (elektronisch) afschrift van uw gegevens verzoekt, worden deze pas aan u verstrekt als u zich afdoende gelegitimeerd heeft. U heeft geen recht op informatie over anderen. Wij verlenen geen (elektronische) inzage en/of verstrekken geen (elektronisch) afschrift als de persoonlijke levenssfeer van een ander daardoor wordt geschaad en er is geen recht op (elektronische) inzage in de persoonlijke werkaantekeningen van de zorgverlener. BQR verstrekt geen gegevens betreffende factuur- of schadegegevens per onbeveiligde e-mail. Dit doet BQR om uw privacy te beschermen. Wilt u anderen toestemming geven uw verzekeringszaken af te handelen, dan vraagt BQR u dit per machtiging te regelen. Alleen op deze manier kan BQR misbruik of onjuist gebruik van uw gegevens voorkomen. Voor een (elektronisch) afschrift van persoonsgegevens worden geen kosten in rekening gebracht. Indien u meerdere kopieën van dezelfde persoonsgegevens wenst, dan kan BQR daar een redelijke vergoeding voor vragen.
Recht van verzet:
U kunt gebruik maken van uw recht om verzet aan te tekenen tegen bepaalde vormen van gebruik van uw gegevens, zoals:
• het ontvangen van commerciële aanbiedingen van uw eigen zorgkostenverzekeraar;
• via het ´Bel me niet register´ aangeven niet door ons (en andere commerciële bedrijven) gebeld te willen worden;
• het aangeven niet benaderd te willen worden voor deelname aan klanttevredenheidsonderzoeken U heeft daarnaast recht op:
• dataportabiliteit;
• vergetelheid;
• beperking van de verwerking van de persoonsgegevens;
• eerder gegeven toestemming in te trekken.
Een verzoek tot inzage, correctie, beperking, verzet, overdraagbaarheid van gegevens, verwijdering van uw persoonsgegevens of intrekking van eerder gegeven toestemming of bezwaar, kunt u sturen via onderstaande contactgegevens. U ontvangt binnen 4 weken na ontvangst nader bericht. Deze termijn mag BQR met twee maanden verlengen, afhankelijk van de complexiteit van het onderzoek. We informeren u schriftelijk hierover, binnen een maand na ontvangst van uw verzoek.
14. Bewaartermijn
De verzamelde gegevens worden niet langer bewaard dan voor het doel wettelijk noodzakelijk is. De bewaartermijn bedraagt in voorkomend geval maximaal 15 jaar.
15. Toezicht
BQR heeft een Functionaris voor interne audits en gegevensbescherming aangesteld.
• Het houden van onafhankelijk toezicht op de naleving van de Algemene Verordening Gegevensbescherming, alsmede andere wetten die bepalingen bevatten over het omgaan met persoonsgevens binnen BQR.
• Het (bij)houden van een register van alle verwerkingen van persoonsgegevens die op grond van de Algemene Verordening Gegevensbescherming bij de Functionaris Gegevensbescherming moeten worden gemeld.
16. Datalekken/klachten
Een melding met betrekking tot een datalek (zie aangehecht protocol datalekken) ofwel klachten
over de omgang met uw persoonsgegevens (zie xxxxx://xxx-xxxx.xx/xxx-xxxxxx/xxxxxxxx-xx-xxxxxxxxxx/) richt u aan:
- Datalek: de Functionaris voor de Gegevensbescherming, 06-10004594, xxxx@xxx-xxxx.xx.
- Klacht: onafhankelijke klachtenfunctionaris bij Stichting Klachtenregeling, 085-4858560, xxxx@xxxxxxxxxxxxxxxx.xx.
Mocht uw datalek/klacht niet naar uw tevredenheid zijn afgehandeld, dan kunt u uw datalek/klacht daarna voorleggen aan:
De Autoriteit Persoonsgegevens, xxxxxxx 00000, 0000 XX Xxx Xxxx.
In de brief behorende bij onze reactie op uw klacht vertellen wij u daar meer over.
17. Wijzigingen
Deze privacyverklaring wordt regelmatig getoetst aan ontwikkelingen in de wet- en regelgeving en bedrijfsmatige veranderingen. Dit privacy statement is voor het laatst aangepast op 15-04-2021. De tekst van deze privacy verklaring kan door ons worden aangepast wanneer nieuwe ontwikkelingen daar aanleiding toe geven, bijvoorbeeld wanneer de privacywetgeving verandert of in het kader een aanpassing van onze bedrijfsactiviteiten. Het verdient daarom aanbeveling deze tekst met enige regelmaat te raadplegen.
18. Netwerk veiligheid
BQR maakt met betrekking tot de verwerking van klantgegevens gebruik van Office 365 (in the cloud) en Nedap (ONS) en Caren Zorgt (xxx.xxxxxxxxxx.xx). Met Xxxxx Xxxxx heeft de cliënt regie over zijn/haar gezondheid.
Xxxxx Xxxxx helpt met het organiseren van zorg, informatie te delen en het plannen van taken plannen waarbij de cliënt wordt ondersteunt in zijn/haar zorgsituatie.
19. Internet Veiligheid
Een kwetsbaarheid ontdekt in onze internetdiensten? Laat het ons weten! Veiligheid van onze klantgegevens is voor ons heel belangrijk. Daarom werken wij voortdurend aan het veilig houden van onze internetdiensten. Soms is dit niet voldoende, en gaat er toch iets mis. Het is fijn als u ons dit laat weten. Dan kunnen we maatregelen treffen, en werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.
20. Melden van incidenten internetveiligheid
Wat kunt u melden? U kunt kwetsbaarheden in onze internetdiensten melden. Voorbeelden zijn:
• Cross-Site Scripting (XSS) kwetsbaarheden.
• SQL injectie kwetsbaarheden.
• Zwakheden in inrichting beveiligde verbinding.
Wilt u het gevonden probleem zo duidelijk en compleet mogelijk toelichten? Hoe kunt u melden?
Een ontdekte kwetsbaarheid in onze internetdiensten kunt u melden via xxxx@xxx-xxxx.xx.
Spelregels
Wij vragen u het probleem alleen met de experts van BQR te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen. Bij uw onderzoek van de gevonden kwetsbaarheid mag u de programma’s niet beschadigen. U mag geen gegevens delen met anderen dan BQR. Verder mag de dienstverlening nooit onderbroken worden door uw onderzoek. Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte.
Wij vragen u:
• Geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
• Geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
• Alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
• Geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
• Pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
• Geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.
Wat doen wij met uw melding?
• Na ontvangst van uw email krijgt u van ons een ontvangstbevestiging. U hoort binnen 2 werkdagen wat wij met uw melding doen.
• Wij gebruiken uw contactgegevens alleen om met u over de melding te communiceren. Wij delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij uw actie zien als een strafbaar feit (u dus niet te goeder trouw handelt) en wij aangifte doen bij de politie. Als u anoniem hebt gemeld, kunnen wij u niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.
Nationaal Cyber Security Centrum NCSC.
Zie ook de website van het NCSC: xxx.xxxx.xx.
Autoriteit Persoonsgegevens
Zie ook de website van Autoriteit Persoonsgegevens:
xxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx
Statistieken en cookies
BQR maakt geen gebruik van zogenaamde ‘cookies’ en BQR houdt geen gebruiksgegevens bij voor statistische doeleinden.
Wat kunt u niet melden?
Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:
• Het melden dat de website niet beschikbaar is.
• Het melden van fraude.
• Het melden van nep e-mails (phishing e-mails).
• Het melden van virussen.
Neemt u hiervoor s.v.p. direct contact met ons op. Coöperatie BQR-Zorg u.a.
Xxxxxxxxxxxx 0
0000 XX Xxxxxxxxxx
T 06-10004594
PROTOCOL MELDPLICHT DATALEKKEN
Overwegingen:
• Coöperatie BQR Zorg u.a. hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt
• het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden
• Coöperatie BQR Zorg u.a. is op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen
• Coöperatie BQR Zorg u.a. wenst aan haar wettelijke verplichtingen te voldoen
• Coöperatie BQR Zorg u.a. heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt toch een datalek plaatsvindt
1 - Definitie datalek
Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
2 - Interne verantwoordelijke melding datalekken
1. Coöperatie BQR Zorg u.a. heeft een interne verantwoordelijke voor de verwerking van datalekken aangesteld die verantwoordelijk is voor de melding van een datalek.
2. Deze verantwoordelijke is de afdeling Kwaliteitsmanagement, met als 1e aanspreekpunt: Bestuur , telefoonnummer: 06- 10004594; e-mailadres: xxxx@xxx-xxxx.xx , hierna te noemen: ‘interne verantwoordelijke’.
3 - Interne melding bij ontdekking van een datalek
1. Degene die een datalek bij Coöperatie BQR Zorg u.a. ontdekt, meldt dit per omgaande aan de interne verantwoordelijke.
2. Indien mogelijk, zorgt degene die het datalek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk gemaakt.
4 - Onderzoek door de interne verantwoordelijke
De interne verantwoordelijke onderzoekt onder meer:
• of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden
• wie of welke afdelingen binnen de organisatie betrokken zijn bij het datalek
• of er een verwerker betrokken is bij het incident
5 - Bestrijding datalek
De interne verantwoordelijke stopt het datalek indien dat nog kan en neemt voorts de noodzakelijke maatregelen om het datalek zo goed mogelijk te bestrijden.
6 - Vaststelling van de gevolgen van een datalek
De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het datalek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kan zijn.
7 - Medewerking verstrekking gegevens omtrent het datalek
De ontdekker/melder van het datalek biedt alle medewerking aan de interne verantwoordelijk door zo snel en zo goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:
• wat is er gebeurd? (omschrijving van het incident)
• ging het per ongeluk of is het veroorzaakt door kwade opzet (denk aan gehackte gegevens)?
• wanneer is het gebeurd? (datum en tijdstip)
• wanneer is het ontdekt?
• wat voor gegevens(registers) zijn gelekt?
• zijn de gegevens versleuteld, en zo ja hoe?
• konden de gegevens op afstand worden gewist of ontoegankelijk gemaakt, en zo ja, is dat gebeurd?
• wat zijn de mogelijke gevolgen voor de betrokkenen?
• welke groep(en) personen is/zijn hierdoor getroffen? (bijvoorbeeld: cliënten, leden)
• hoeveel personen zijn hierdoor (bij benadering) getroffen?
• zijn er ook gegevens van personen in andere EU-landen getroffen door het datalek?
• konden er al technische en/of organisatorische maatregelen worden getroffen naar aanleiding van het incident?
8 - Beschikbaarheid na ontdekking datalek
De verantwoordelijke van de afdeling vanuit waar het datalek heeft plaatsgevonden alsook de ontdekker van het datalek en iedereen die vanuit hun functie of kennis in staat is om organisatorische en/of technische maatregelen te treffen om de gevolgen van het datalek te beperken, houden zich de 1e 24 uur na ontdekking van het datalek beschikbaar voor overleg met de interne verantwoordelijke c.q. eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het datalek.
9 - Beslissing melding datalekken
1. De interne verantwoordelijke beslist zo spoedig mogelijk doch in elk geval binnen 60 uur na ontdekking van het datalek - al dan niet in overleg met de verantwoordelijke van de afdeling vanuit waar het datalek is ontdekt en/of door hem aangewezen experts - of het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
2. Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.
3. De melding van het datalek gaat gepaard met beantwoording van de vragen zoals omschreven in onderdeel 7.
4. Een datalek dat gemeld is aan de Autoriteit Persoonsgegeven wordt eveneens gemeld aan de betrokkenen indien het een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.
10 - Melding datalekken aan de Autoriteit Persoonsgegeven en/of betrokkenen
1. De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).
2. Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen 72 uur na ontdekking van het datalek.
3. Het is enige andere dan de interne verantwoordelijke niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) te melden.
4. Als een persoonr het niet eens is met de beslissing van de interne verantwoordelijke omtrent het al dan niet melden van het datalek aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan kan hij zijn grieven kenbaar maken aan de directie.
5. Indien daartoe verzocht, verleent een persoon alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.
11 - Gevolgen melding datalekken
1. Indien het datalek negatieve gevolgen heeft voor betrokkenen, dan doet de interne verantwoordelijke er alles aan om deze gevolgen zoveel mogelijk te beperken.
2. Afhankelijk van de aard en de omvang van het datalek voor betrokkenen bepaalt de interne verantwoordelijke:
• op welke wijze betrokkenen worden geïnformeerd (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen Coöperatie BQR Zorg
u.a. neemt en op welke wijze betrokkenen zelf de schade kunnen voorkomen of beperken)
• welke nazorg betrokkenen krijgen
• welke acties in het belang van de organisatie noodzakelijk zijn
3. Indien een datalek heeft plaatsgevonden - ongeacht of deze is gemeld of niet - worden zo spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om toekomstige gelijksoortige datalekken te voorkomen.
12 - Bijhouden register datalekken
De interne verantwoordelijke houdt een register bij van alle datalekken, waarin alle gegevens rondom het datalek worden geregistreerd, zoals:
• een omschrijving van het incident
• datum en tijdstip van het datalek
• datum en tijdstip ontdekking van het datalek?
• omschrijving van de soort gelekte persoonsgegevens
• omschrijving van de categorie(en) van betrokkenen die zijn getroffen
• omschrijving aantal betrokkenen (bij benadering)
• of ook gegevens van personen in andere EU-landen zijn gelekt
• of het incident is gemeld aan de Autoriteit Persoonsgegevens en zo ja datum en tijdstip melding
• of het incident is gemeld aan de betrokkenen en zo ja, datum en tijdstip melding
• op welke wijze betrokkenen zijn geïnformeerd
• de gevolgen van het datalek, met indien mogelijk vermelding van datum en tijdstip
• welke technische en/of organisatorische maatregelen zijn getroffen na het datalek, met vermelding van datum en tijdstip
Dit protocol meldplicht datalekken is opgemaakt op 10 juni 2020.