Privacybeleid Senior Service
Op grond van de Algemene verordening gegevensbescherming (AVG)
Contactgegevens:
Website: www.seniorservice.nl
Adres: Hofplein 20, 3032 AC Rotterdam
Telefoonnummer: 010 – 433 07 45
Mailadres: info@seniorservice.nl
Functionaris Gegevensbescherming: Janneke van Beuzekom
Mailadres FG: info@seniorservice.nl
Versie: 1 mei 2023
1. Inleiding
Bij Senior Service staat het motto "Fijn voor elkaar" centraal in onze dienstverlening. Als organisatie streven we ernaar om senioren zo lang mogelijk thuis te laten wonen, zelfs als dit vanwege gezondheidsredenen soms een uitdaging is. We bieden zorg en aandacht op maat, afgestemd op de persoonlijke wensen en behoeften van de senior, door middel van ervaren en goed getrainde medewerkers van Senior Service.
Voor de uitvoering van onze diensten verwerken wij persoonsgegevens van onze cliënten, medewerkers en andere betrokkenen. Bij Senior Service hechten we veel waarde aan privacybescherming, en dit privacybeleid draagt bij aan het waarborgen daarvan. We respecteren de privacy van onze cliënten, medewerkers en andere betrokkenen en voldoen aan de geldende privacywetgeving.
Door middel van het privacybeleid wordt inzichtelijk gemaakt op welke manier Senior Service voldoet aan de Algemene verordening gegevensbescherming (AVG). Daarmee wordt invulling gegeven aan de verantwoordingsplicht, zoals deze voor Senior Service geldt.
Het privacybeleid is een integraal onderdeel van ons algemene beleid. Senior Service brengt dit privacybeleid regelmatig onder de aandacht van medewerkers, onder meer doordat het beleid is te raadplegen op de website en doordat deze wordt gedeeld in een nieuwsbrief. Ook zal, indien sprake is van een wijziging, daarover een bericht worden geplaatst op de website. De directie van Senior Service hecht veel waarde aan passende maatregelen en procedures om de privacy van persoonsgegevens te waarborgen. We hebben een Functionaris Gegevensbescherming (FG) aangesteld en aangemeld bij de Autoriteit Persoonsgegevens (AP). Daarnaast voeren we, indien noodzakelijk, gegevensbeschermingseffectbeoordelingen uit (DPIA's).
Onze aanpak bij mogelijke datalekken is vastgelegd in het ‘Protocol meldplicht datalekken’, dat een integraal onderdeel vormt van dit privacybeleid en is aangehecht als bijlage.
1.1 Reikwijdte
Dit privacybeleid is van toepassing op alle onderdelen van Senior Service. Dit privacybeleid is van toepassing op de gehele of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens door Senior Service, evenals de niet geautomatiseerde verwerking van persoonsgegevens (zoals die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen). Tevens heeft dit privacybeleid betrekking op het door ons opgestelde overzicht van genoemde verwerkingen van persoonsgegevens (het verwerkingsregister).
1.2 Doelstellingen
We passen en handhaven de geldende privacywetgeving op een correcte wijze binnen onze organisatie, van beleid tot operationele uitvoering en toezicht.
Onze doelstellingen voor het privacybeleid zijn als volgt:
a) Waarborgen van de privacy van cliënten, medewerkers en andere betrokkenen.
b) Verwerken van persoonsgegevens op een rechtmatige, behoorlijke, zorgvuldige en proportionele wijze.
c) Regelmatig verstrekken van informatie aan betrokkenen en indien nodig aan derden over de verwerkingen.
d) Het uitbesteden van verwerking aan derden gebeurt op basis van een verwerkersovereenkomst.
e) Voorafgaand aan nieuwe verwerkingen wordt beoordeeld of er een DPIA moet worden uitgevoerd en indien nodig wordt dit gedaan.
f) Bij nieuwe verwerkingen wordt expliciet aandacht besteed aan Privacy by Design en Privacy by Default.
g) Adequaat en tijdig handelen bij datalekken.
h) Beperken van schade aan onze reputatie als een betrouwbare organisatie voor gegevensverwerking.
1.3 Verwerkingsverantwoordelijke
Senior Service is de verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens die de organisatie verwerkt. Senior Service stelt immers het doel en de middelen van de verwerking van deze persoonsgegevens vast zodat Senior Service, als verwerkingsverantwoordelijke, de AVG dient na te leven.
De directie van Senior Service is verantwoordelijk voor het opstellen en vaststellen van het privacybeleid voor de gehele organisatie. We hebben een FG aangesteld die advies geeft en toezicht houdt op de uitvoering van het privacybeleid (en meer algemeen de AVG) en rapporteert.
1.4 Basisbeginselen AVG
Senior Service is zich bewust van en werkt in lijn met de basisbeginselen van de AVG, zoals deze voortvloeien uit artikel 5 van de AVG. Wij verwerken persoonsgegevens op een rechtmatige, behoorlijke en transparante wijze. Zo verwerken wij slechts persoonsgegevens indien hier een wettelijke grondslag voor bestaat en zijn wij door middel van onze privacyverklaringen en dit privacybeleid transparant richting betrokkenen ten aanzien van de verwerking van persoonsgegevens.
Daarnaast worden persoonsgegevens slechts verwerkt voor zover zij, gelet op de (welbepaalde, uitdrukkelijke en gerechtvaardigde) doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend, noodzakelijk en niet bovenmatig zijn. Senior Service verwerkt dus alleen persoonsgegevens die noodzakelijk zijn voor de dienst- en zorgverlening en de in hoofdstuk 2 gestelde doeleinden. Wij vragen zodoende niet meer gegevens uit dan noodzakelijk, en wij bewaren de gegevens alleen voor zover noodzakelijk is voor deze doeleinden en op grond van geldende bewaartermijnen. Zo geeft Senior Service onder andere uitwerking aan het beginsel van minimale gegevensverwerking, doelbinding en opslagbeperking. Tevens nemen wij het beginsel van juistheid in acht, door regelmatig na te gaan bij betrokkenen of hun gegevens nog kloppen. Doorgaans worden eventuele wijzigingen in gegevens echter actief door betrokkenen gedeeld, nu deze gegevens van belang zijn voor uitvoering van de zorgverlening (de zorgverleners bezoeken de betrokkenen immers thuis).
De manier waarop Senior Service invulling geeft aan de basisbeginselen, wordt verder uitgewerkt in de volgende hoofdstukken.
2. Verwerking persoonsgegevens
In deze paragraaf wordt een algemene toelichting gegeven op de rechtmatigheid van het verwerken van persoonsgegevens (de wettelijke grondslag), welke personen binnen en buiten Senior Service persoonsgegevens verwerken en hoe Senior Service persoonsgegevens aangeleverd krijgt.
Meer algemeen is van belang dat Senior Service zich dient te houden aan het doelbindingsbeginsel op grond van de AVG. Dit beginsel houdt in dat de persoonsgegevens alleen mogen worden verwerkt voor de vastgestelde en beschreven doelen. Deze doelen zijn vooraf kenbaar gemaakt bij betrokkenen door middel van de privacyverklaringen. Senior Service verwerkt de persoonsgegevens slechts voor andere doeleinden, indien deze doeleinden verenigbaar zijn met de oorspronkelijke doeleinden of indien betrokkenen daarvoor toestemming hebben gegeven. De concrete doelen (per categorie betrokkene / persoonsgegevens) zijn nader beschreven in paragraaf 2.4.
2.1 Rechtmatigheid
Het beginsel van ‘rechtmatigheid, behoorlijkheid en transparantie’ vereist onder meer dat
persoonsgegevens enkel worden verwerkt indien sprake is van een wettelijke grondslag. De verwerking van persoonsgegevens kan plaatsvinden op basis van de volgende rechtsgronden (artikel 6 AVG):
a) Toestemming van de betrokkene.
b) De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst of om op verzoek vóór sluiting van de overeenkomst maatregelen te treffen.
c) De gegevensverwerking is noodzakelijk voor het naleven van een wettelijke verplichting.
d) De gegevensververwerking is noodzakelijk voor de bescherming van vitale belang van de betrokkene of een andere natuurlijke persoon;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Voor het verwerken van bijzondere persoonsgegevens, zoals gezondheidsgegevens, gelden strengere regels. Deze mogen in beginsel niet worden verwerkt, tenzij er tevens een AVG-uitzondering van toepassing is (naast een AVG-grondslag). Deze uitzonderingen staan in artikel 9 lid 2 AVG. Voor de verwerkingen door Senior Service kunnen met name de volgende uitzonderingen relevant zijn:
a) de betrokkene heeft voor de verwerking zijn uitdrukkelijke toestemming verleend voor een of meer welbepaalde doeleinden;
b) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
c) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker.
d) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
Senior Service verwerkt enkel persoonsgegevens op basis van de grondslagen in artikel 6 AVG en – in geval van bijzondere persoonsgegevens – de uitzonderingen in artikel 9 lid 2 AVG. Dit is nader uitgewerkt in paragraaf 2.4.
2.2 Toegang tot (inzage in) persoonsgegevens
Algemeen
Senior Service verwerkt als verwerkingsverantwoordelijke de persoonsgegevens van betrokkenen. Binnen Senior Service hebben enkel de daartoe bevoegde personen toegang tot de persoonsgegevens van betrokkenen. Wie bevoegd is, hangt af van het soort betrokkene en de verwerking. In ons autorisatiebeleid is beschreven wie bevoegd is voor de toegang tot (welke) persoonsgegevens. Daarnaast heeft de Directie van Senior Service, de FG en de personen die belast zijn met de uitvoering van technische werkzaamheden toegang tot (een deel van_ de persoonsgegevens, indien dit noodzakelijk is (bv. voor een verzoek van een betrokkene). Senior Service deelt de persoonsgegevens van betrokkenen niet met derden en verstrekt deze uitsluitend indien sprake is van een wettelijke grondslag.
Voor alle personen binnen Senior Service (die toegang kunnen hebben tot persoonsgegevens), geldt dat zij (wettelijk en / of contractueel) verplicht zijn tot geheimhouding.
Hieronder wordt per (grootste) categorie betrokkene stilgestaan bij de personen die toegang hebben tot de persoonsgegevens.
Cliënten
Bij Senior Service zijn uitsluitend medewerkers gerechtigd de gegevens van cliënten in te zien die (rechtstreeks) betrokken zorgverlener zijn. Zij zijn wettelijk bevoegd zijn om de persoonsgegevens in te zien (of de waarnemers daarvan). Daarnaast geldt als hoofdregel dat inzage en verwerking enkel mogelijk is door personen die uit hoofde van ambt, beroep of wettelijke voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
Senior Service verstrekt persoonsgegevens van cliënten alléén aan derden indien dit nodig is om te voldoen aan een wettelijke verplichting of op basis van een andere wettelijke grondslag (en uitzondering) mogelijk/noodzakelijk is. Zo kunnen wij persoonsgegevens delen met de volgende instanties/financiers (niet limitatief):
- Zorgkantoren
- Zorgverzekeraars
- Gemeenten
Andere personen / instanties (zoals het CIZ, CAK en andere zorgorganisaties) mogen de persoonsgegevens enkel inzien indien sprake is van een wettelijke grondslag (en soms ook een uitzondering), zoals toestemming van de betrokkene. De toegang tot het dossier van cliënten wordt gelogd; deze gegevens worden systematisch en consequent bekeken.
Medewerkers
Uitsluitend de medewerkers van Senior Service die daartoe zijn aangewezen door Senior Service en derhalve daartoe in het kader van hun taakuitoefening gerechtigd zijn, hebben toegang tot de persoonsgegevens van medewerkers (o.a. planners en administratieve medewerkers). Senior Service verstrekt de persoonsgegevens alléén aan derden indien daarvoor een wettelijke grondslag geldt. De persoonsgegevens van medewerkers kunnen in dat kader gedeeld worden met (niet limitatief):
- De belastingdienst
- Het pensioenfonds
- De bedrijfsarts en/of arbodienst
- Het UWV
- De verzuimverzekeraar en de SVW-verzekeraar.
Overig: verwerkers
Buiten onze organisatie kunnen verwerkers tevens toegang krijgen tot persoonsgegevens. Met de verwerker wordt een verwerkersovereenkomst gesloten waardoor afdwingbare verbintenissen ontstaan. Zo wordt bij elk nieuw contract met een derde / leverancier, door Senior Service bepaald of sprake is van een verwerker zodat een verwerkersovereenkomst dient te worden gesloten.
In de verwerkersovereenkomst worden afspraken gemaakt over onder andere het treffen van passende technische en organisatorische beveiligingsmaatregelen door de verwerker.
Voor alle andere ontvangers van persoonsgegevens buiten onze organisatie, geldt dat zij enkel inzage krijgen indien daarvoor een wettelijke grondslag (en soms ook een uitzondering) voor geldt zoals de toestemming van de betrokkene.
2.3 Aanlevering persoonsgegevens
Senior Service ontvangt persoonsgegevens doorgaans van betrokkenen zelf. Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige toestemming van de betrokkene.
2.4 Categorieën persoonsgegevens : doel en wettelijke grondslag
Senior Service verwerkt diverse categorieën persoonsgegevens, zowel ‘gewone’ persoonsgegevens als bijzondere persoonsgegevens. Hieronder wordt per groep betrokkenen omschreven welke categorie persoonsgegevens Senior Service verwerkt, met welk doel en op basis van welke wettelijke grondslag.
2.4.1 Cliënten
Senior Service verwerkt onder andere de volgende persoonsgegevens van cliënten:
- Naam (doel: communicatie en administratie)
- Adresgegevens (doel: communicatie en administratie)
- Telefoonnummer (doel: communicatie en administratie)
- E-mailadres (doel: communicatie en administratie)
- Geboortedatum, geboorteplaats (doel: registratie)
- Nationaliteit (doel: registratie)
- Burgerlijke staat (doel: registratie)
- Geslacht (doel: communicatie en administratie)
- Identiteitsbewijs/paspoort (doel: registratie)
- Burgerservicenummer (BSN) (doel: registratie)
- Bankrekeningnummer (doel: declaratieverwerking)
- Gegevens betreffende een verzekeringsmaatschappij en verzekeringsgegevens (waaronder verzekeringsnummer en polisnummer) (doel: declaratieverwerking)
- Zorginhoudelijke gegevens (medicatiegegevens en overige (gezondheids)gegevens die betrekking hebben op het verlenen van zorg) (doel: zorgverlening)
- Gegevens aangaande zorgverleners, een zorginstelling, een zorgkantoor en/of andere instelling afkomstig van het kennismakingsformulier (doel: zorgverlening)
De persoonsgegevens worden verwerkt ten behoeve van de uitvoering van onze dienstverlening (de zorgverlening). De grondslag voor deze gegevensverwerking verschilt per categorie. In bepaalde gevallen is dit de wettelijke verplichting (zoals BSN, identiteitsbewijs en bepaalde zorggegevens) op grond van bijvoorbeeld de Wet op de geneeskundige behandelingsovereenkomst (WGBO) / Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). In andere gevallen is de toestemming, de (behandelings)overeenkomst en de noodzakelijkheid voor het verstrekken van gezondheidszorg de grondslag/uitzondering (bijvoorbeeld bij de zorginhoudelijke gegevens). Een betrokkene kan de gegeven toestemming te allen tijde intrekken. Dit kan echter gevolgen hebben voor de zorgverlening. Omdat gezondheidsgegevens bijzondere persoonsgegevens zijn, is in ieder geval één van de in artikel 9 lid 2 AVG genoemde uitzonderingen van toepassing voor de verwerking daarvan (zie voor de meest relevante uitzonderingen, paragraaf 2.1).
2.4.2 Medewerkers
Senior Service verwerkt onder andere de volgende persoonsgegevens van medewerkers:
- Naam (doel: communicatie, administratie en personeelsbeheer- en beleid)
- Adresgegevens (doel: communicatie, administratie en personeelsbeheer- en beleid)
- Telefoonnummer (doel: communicatie, administratie en personeelsbeheer- en beleid)
- E-mailadres (doel: communicatie, administratie en personeelsbeheer- en beleid)
- Geboortedatum, geboorteplaats (doel: salarisadministratie en personeelsbeheer- en beleid)
- Nationaliteit (doel: administratie en personeelsbeheer- en beleid)
- Geslacht en burgerlijke staat (doel: communicatie, administratie en personeelsbeheer- en beleid)
- IBAN-nummer (doel: administratie en personeelsbeheer- en beleid)
- Burgerservicenummer (BSN) (doel: communicatie, administratie en personeelsbeheer- en beleid)
- Foto (doel: administratie en personeelsbeheer- en beleid)
- Kopie legitimatiebewijs (doel: communicatie, administratie en personeelsbeheer- en beleid)
- Bankrekeningnummer (doel: salarisadministratie)
- Salarisadministratie (bestaande uit o.a. gegevens met betrekking tot salaris en pensioen), administratieve verzuimgegevens
- Opleidingen & trainingen (doel: administratie en personeelsbeheer- en beleid)
- Gegevens die noodzakelijk zijn (bijvoorbeeld met betrekking tot eerdere uitkeringen) voor het verkrijgen van een mogelijke doelgroepverklaring. (doel: ..);
- VOG (doel: administratie, en personeelsbeheer- en beleid)
Senior Service verwerkt bovenstaande persoonsgegevens van medewerkers van Senior Service. Onze medewerkers van HR- en de salarisadministratie verwerken deze gegevens om het salaris te kunnen betalen, om een VOG aan te vragen, om gegevens aan te leveren aan instanties zoals de Belastingdienst en het Pensioenfonds. Kortom: om uitvoering te geven aan de arbeidsovereenkomst/overeenkomst van opdracht en de wettelijke verplichtingen. Tevens gebruiken we deze gegevens om telefonisch of schriftelijk contact met medewerkers te kunnen opnemen voor met name opdrachten bij cliënten.
Naast deze overeenkomst worden meerdere grondslagen gehanteerd voor deze verwerking. Zoals op verzoek vanuit betrokkene om vóór sluiting van deze overeenkomst al maatregelen te treffen (toestemming), een wettelijke plicht (bijvoorbeeld ten aanzien van salarisgegevens), voor de uitvoering van de (arbeids)overeenkomst/overeenkomst van opdracht en/of een gerechtvaardigd belang. In voorkomende gevallen worden er persoonsgegevens verwerkt worden met toestemming van de medewerker. Deze toestemming kan te allen tijde ingetrokken worden.
Wij vragen ook om een terugkoppeling om zo mede de kwaliteit van onze dienstverlening te bewaken en voor marketingdoeleinden.
2.4.3 Sollicitanten
Senior Service verwerkt onder andere de volgende (persoons)gegevens van sollicitanten:
- Naam (doel: communicatie en administratie)
- Adresgegevens: straat, huisnummer, postcode (doel: communicatie en administratie)
- Telefoonnummer (doel: communicatie en administratie)
- E-mailadres (doel: communicatie en administratie)
- Overige gegevens zoals vermeld in een motivatiebrief (doel: communicatie en administratie, en werving)
- Overige gegevens zoals vermeld in een CV (doel: communicatie en administratie, en werving)
- Gegevens die worden opgevraagd ten behoeve van een persoonlijkheidstest (doel: werving)
De grondslag voor de verwerking van deze persoonsgegevens is doorgaans de toestemming van de betrokkene (een betrokkene kan de gegeven toestemming te allen tijde intrekken) of het gerechtvaardigd belang van Senior Service.
2.4.4 Websitebezoekers
Senior Service verwerkt onder andere de volgende (persoons)gegevens van websitebezoekers:
- Naam (doel: communicatie en afhandeling verzoeken)
- Adresgegevens (doel: communicatie en afhandelingen verzoeken)
- E-mailadres (doel: communicatie, afhandeling verzoeken en in contact brengen met regio)
- IP-adres, tijdstip van opvragen en de door de browser meegestuurde gegevens (doel: optimalisatie website en monitoring / optimalisering gebruik website)
- Cookies (doel: optimalisatie website en monitoring / optimalisering gebruik website)
- Gegevens die noodzakelijk zijn voor de inzet van onze medewerkers, zoals met betrekking tot de zorgvraag (doel: communicatie, afhandeling verzoeken en in contact brengen met regio)
Senior Service verwerkt deze persoonsgegevens met name om in reactie op het door bezoekers / betrokkenen ingevulde formulier of de door hen verstuurde e-mail, telefonisch contact te kunnen opnemen en/of om schriftelijk (per e-mail) te kunnen benaderen indien bezoekers onverhoopt telefonisch niet bereikbaar zijn. De grondslag voor de verwerking van deze persoonsgegevens is het gerechtvaardigd belang van Senior Service of de toestemming van betrokkene(n).
Daarnaast houdt Senior Service algemene bezoekgegevens bij over het gebruik van de website. Deze informatie wordt gebruikt om de werking van de website te verbeteren. De gegevens worden zo veel mogelijk geanonimiseerd en worden niet aan derden verstrekt. De grondslag is het gerechtvaardigd belang van Senior Service of de toestemming van betrokkene(n) (voor cookies). Een betrokkene kan de gegeven toestemming te allen tijde intrekken. Dit kan echter tot gevolg hebben dat de website niet optimaal functioneert.
2.4.5 Klagers
Senior Service verwerkt onder andere de volgende (persoons)gegevens van klagers (bv. in geval van een klacht o.g.v. de Wet, kwaliteit klachten en geschillen zorg (Wkkgz)):
- Naam (doel: communicatie en afwikkeling klacht)
- Geslacht (doel: communicatie en afwikkeling klacht)
- Adresgegevens (doel: communicatie en afwikkeling klacht)
- Telefoonnummer (doel: communicatie en afwikkeling klacht)
- E-mailadres (doel: communicatie en afwikkeling klacht)
De grondslag voor de verwerking van deze persoonsgegevens is doorgaans de toestemming van betrokkene. Een betrokkene kan de gegeven toestemming te allen tijde intrekken. Dit kan echter tot gevolg hebben dat Senior Service de klacht niet (verder) in behandeling kan nemen.
2.4.6 Ontvangers nieuwsbrief
Senior Service verwerkt onder andere de volgende (persoons)gegevens van ontvangers van de nieuwsbrief:
- Naam (doel: communicatie in het kader van vraag/opmerking)
- E-mailadres (doel: communicatie in het kader van vraag/opmerking)
De grondslag voor de verwerking van deze persoonsgegevens is de toestemming van betrokkene(n). Een betrokkene kan de gegeven toestemming te allen tijde intrekken.
2.4.7 Deelnemers cliënt- en medewerkerstevredenheidsonderzoeken (enquêtes)
Senior Service verwerkt onder andere de volgende (persoons)gegevens van deelnemers:
- Naam (doel: communicatie ter zake uitvoering klanttevredenheidsonderzoek)
- Geslacht (doel: communicatie ter zake uitvoering klanttevredenheidsonderzoek)
- Adres: straat, huisnummer, postcode (doel: communicatie ter zake uitvoering klanttevredenheidsonderzoek)
- Woonplaats (doel: communicatie ter zake uitvoering klanttevredenheidsonderzoek)
- Telefoonnummer (doel: communicatie ter zake uitvoering klanttevredenheidsonderzoek)
De grondslag voor de verwerking van deze persoonsgegevens is het gerechtvaardigd belang van Senior Service.
2.5 Bewaartermijnen
Onderstaand wordt ingegaan op de bewaartermijnen die Senior Service hanteert.
2.5.1 Algemeen
Voor het bewaren van persoonsgegevens geldt dat het uitgangspunt is dat Senior Service persoonsgegevens niet langer bewaart dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Wat noodzakelijk is, hangt steeds af van de situatie. Doorgaans worden gegevens niet langer dan 2 jaar bewaard. Indien de persoonsgegevens niet langer noodzakelijk zijn, worden deze gegevens vernietigd of volledig geanonimiseerd bewaard. Op deze manier geeft Senior Service uitwerking aan het beginsel van opslagbeperking en minimale gegevensverwerking.
Voor een aantal categorieën persoonsgegevens gelden specifieke (wettelijke) bewaartermijnen. Onderstaand wordt daarop ingegaan.
2.5.2 Specifieke bewaartermijnen
Cliënten
De medische dossiers worden 20 jaar bewaard, gerekend vanaf het moment waarop de laatste wijziging in het dossier is aangebracht (conform de WGBO). Indien deze bewaartermijn is verstreken of indien een verwijderingsverzoek wordt gedaan vóór het verstrijken van deze termijn (zie paragraaf 3.1) worden de gegevens zo snel mogelijk, maar in ieder geval binnen de wettelijke termijn voor verwijderingsverzoeken (zie paragraaf 3.2) op een verantwoorde manier verwijderd of vernietigd.
Verwijdering van het medisch dossier blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is. Ook financiële gegevens worden in principe niet verwijderd, die op andere gronden bewaard moeten blijven.
Medewerkers
Senior Service bewaart de meeste persoonsgegevens van medewerkers in haar bestand tot twee jaar na uitdiensttreding. Het identiteitsbewijs (Paspoort, Europese Identiteitskaart of rijbewijs) en de loonbelastingverklaring worden 5 jaar bewaard met inachtneming van de verplichting daartoe vanuit de Belastingdienst. Verder wordt bepaalde (basis)administratie 7 jaar bewaard (na uitdiensttreding) op grond van de belastingwetgeving. Dit betreft de salarisadministratie die fiscaal van belang is (zoals NAW-gegevens en contract-/salarisgegevens). De gegevens worden niet langer gebruikt dan strikt nodig is om de doelen te realiseren, waarvoor de gegevens worden verzameld. Daarna worden de gegevens vernietigd.
Websitebezoekers
Senior Service bewaart de persoonsgegevens van websitebezoekers niet langer dan strikt nodig is om de doeleinden te realiseren, waarvoor de gegevens zijn afgegeven. Nadat de inhoud van het formulier of de e-mail volledig is beantwoord en is afgehandeld, worden de gegevens uiterlijk binnen twee weken verwijderd. Voor de overige gegevens geldt de algemene bewaartermijn.
3. Rechten van betrokkenen
Op grond van de AVG komen betrokkenen bepaalde rechten toe. Onderstaand gaan wij in op deze rechten en wat Senior Service doet indien een betrokkene zich beroept op een of meer van deze rechten met betrekking tot de verwerking van hun persoonsgegevens.
3.1 Rechten betrokkenen
De volgende rechten kunnen worden uitgeoefend:
3.1. Recht op informatie (artikel 13 en 14 AVG)
Senior Service heeft een informatieplicht. Dit recht wordt afgedicht door middel van een privacyverklaring die beschikbaar wordt gesteld op de website. Daarin wordt uitgelegd hoe Senior Service omgaat met (gevoelige) persoonsgegevens, door middel van onder andere de verstrekking van volgende informatie:
- De contactgegevens van Senior Service;
- Welke (categorieën) persoonsgegevens Senior Service verwerkt;
- De verwerkingsdoeleinden en de wettelijke grondslag voor de verwerking;
- Eventuele ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- De periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
- De rechten van betrokkenen;
- De herkomst van de verwerkte gegevens indien deze niet van betrokkene afkomstig zijn.
Senior Service verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen en daarover te informeren. Dit geldt niet indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost.
3.2. Recht op inzage (artikel 15 AVG)
Betrokkenen hebben het recht om een inzageverzoek te doen m.b.t. hun persoonsgegevens, die zijn verzameld en verwerkt door Senior Service. Dit geldt voor het medisch dossier van cliënten tevens op grond van de WGBO en de Wabvpz (inclusief het recht op digitale inzage en afschrift). Dit betekent dat Senior Service bij een dergelijk verzoek alle persoonsgegevens die zij van de betrokkene heeft, beschikbaar moet stellen (al dan niet in een overzicht) aan de betrokkene of diens wettelijke vertegenwoordiger (curator, mentor, bewindvoerder etc.). Daarnaast moet de betrokkene ook worden geïnformeerd over onder andere het doel van de verwerking van die gegevens, hoe lang die gegevens worden bewaard en eventueel aan wie diens gegevens zijn doorgegeven. Inzage kan worden gegeven door middel van het overleggen van een afschrift / kopie van de verwerkte persoonsgegevens.
Voor inzage door nabestaanden in het medisch dossier van een cliënt geldt dat dit enkel mogelijk is indien (i) de cliënt bij leven toestemming heeft gegeven, (ii) wanneer er op grond van de Wkkgz een mededeling is gedaan van een incident, (iii) wanneer sprake is van een zwaarwegend belang (op grond van artikel 458a WGBO). De bepalingen ten aanzien van (wettelijk) vertegenwoordiger uit de WGBO (artikel 465) zijn hierbij ook van belang (dit geldt ook voor het recht op verwijdering, voor zover het gaat om het medisch dossier).
3.3 Recht op rectificatie en aanvulling (artikel 16 AVG)
Senior Service acht het van belang dat de persoonsgegevens die worden verwerkt accuraat zijn. Een betrokkene heeft recht op correctie / rectificatie en aanvulling van zijn of haar persoonsgegevens. Dit betreft alleen de persoonsgegevens die (kennelijk) onjuist of onvolledig zijn. Dit zijn dus niet persoonsgegevens waar de betrokkene het bijvoorbeeld niet mee eens is. Als persoonsgegevens zijn gedeeld met derde partijen, moet de correctie / aanvulling ook worden gedeeld met deze partijen. De correcties of aanvullingen worden vermeld op een apart blad in het medisch dossier.
3.4 Recht op vergetelheid /gegevenswissing (artikel 17 AVG)
Betrokkenen hebben het recht om hun persoonsgegevens te laten verwijderen, tenzij er een wettelijke verplichting is die Senior Service ervan weerhoudt van het voldoen aan dit verzoek. Senior Service hoeft dit recht alleen te honoreren indien:
a) Senior Service de persoonsgegevens niet langer nodig heeft voor het doel waarvoor deze
persoonsgegevens oorspronkelijk zijn verzameld;
b) de betrokkene trekt de toestemming waarop de verwerking van diens persoonsgegevens
berust in en er is geen andere rechtsgrond voor die verwerking;
c) de betrokkene maakt bezwaar tegen de verwerking van diens persoonsgegevens;
d) de persoonsgegevens van de betrokkene zijn onrechtmatig verwerkt;
e) er is een wettelijke verplichting om de persoonsgegevens te wissen;
f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van een
informatiemaatschappij.
Als de persoonsgegevens zijn gedeeld met derde partijen of openbaar zijn gemaakt, neemt Senior Service de redelijke maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen dat de betrokkene heeft verzocht om iedere koppeling naar of kopie of reproductie van die gegevens te wissen.
3.5 Recht op beperking van de verwerking (artikel 18 AVG)
Betrokkenen kunnen zich beroepen op het recht op een beperking van de verwerking van de persoonsgegevens. Indien een betrokkene zich terecht beroept op dit recht, dient Senior Service (tijdelijk) te stoppen met het verwerken van de persoonsgegevens van de betrokkene. Binnen die tijd dient Senior Service na te gaan of sprake is van één van de onderstaande situaties. Ook dient Senior Service na te gaan bij welke partijen desbetreffende persoonsgegevens zich nog meer bevinden en aan die partijen kenbaar te maken dat de verwerking van de persoonsgegevens moet worden beperkt. De betrokkene kan zich op dit recht beroepen in een aantal situaties:
- Indien de persoonsgegevens die worden verwerkt mogelijk onjuist zijn;
- Indien de verwerking van de persoonsgegevens onrechtmatig is en de betrokkene zich verzet tegen het wissen van de persoonsgegevens maar verzoekt om een beperking;
- Indien de persoonsgegevens zouden moeten worden vernietigd (omdat deze niet meer nodig zijn voor de verwerkingsdoeleinden), maar de betrokkene een belang heeft bij het bewaren van de persoonsgegevens voor een rechtsvordering;
- Indien de betrokkene op grond van artikel 21 AVG bezwaar heeft gemaakt tegen de verwerking van zijn of haar persoonsgegevens, tenzij Senior Service een zwaarwegend belang heeft om de persoonsgegevens te verwerken.
Tijdens de beperking, mogen persoonsgegevens slechts worden verwerkt indien (i) de betrokkene toestemming heeft gegeven, (ii) indien Senior Service de persoonsgegevens nodig heeft ter onderbouwing van een rechtsvordering of (iii) indien er andere algemene belangen zijn.
3.6 Recht op dataportabiliteit (artikel 20 AVG)
Betrokkenen hebben het recht om een kopie te ontvangen van de persoonsgegevens die zij aan Senior Service hebben verstrekt in een gestructureerde, gangbare en machinaal leesbare vorm. Dit betreft de persoonsgegevens (i) waarbij de betrokkene toestemming heeft gegeven voor de verwerking daarvan en (ii) persoonsgegevens die zijn verwerkt op basis van een overeenkomst (en de verwerking via geautomatiseerde procedures wordt verricht). Hiervoor dienen de schema’s en bijbehorende grondslagen in paragraaf 2.4 te worden geraadpleegd. Het staat betrokkene vrij deze gegevens vervolgens te delen met andere organisaties.
3.7 Recht van bezwaar (artikel 21 AVG)
De betrokkene kan bezwaar maken tegen de verwerking van de persoonsgegevens. Dit kan slechts in uitzonderlijke gevallen: (i) indien Senior Service de persoonsgegevens gebruikt voor direct marketing (reclame), (ii) indien sprake is van specifieke (persoonlijke) omstandigheden van de betrokkene waardoor verwerking niet meer op zijn plaats is (tenzij sprake is van dwingende gerechtvaardigde gronden voor de verwerking die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering) of (iii) indien sprake is van wetenschappelijk / historisch onderzoek of statistische doeleinden (tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang). Senior Service staakt dan de verwerking.
3.8 Recht op een menselijke blik bij besluiten (artikel 22 AVG)
Betrokkenen hebben het recht om niet onderworpen te zijn aan geautomatiseerde besluitvorming.
Dit houdt in dat er menselijke tussenkomst moet zijn voor de besluitvorming. Dit kan bijvoorbeeld van belang zijn in het kader van (de beoordeling van) sollicitaties. Senior Service maakt geen gebruik van geautomatiseerde besluitvorming en profilering om personen op basis van hun persoonsgegevens in te delen in categorieën.
3.9 Klachten / bezwaren
De betrokkene heeft de mogelijkheid om een klacht in te dienen bij Senior Service en / of de AP, ten aanzien van de wijze waarop Senior Service (diens) persoonsgegevens verwerkt. Indien de betrokkene van mening is dat de bepalingen van dit privacybeleid niet worden nageleefd of andere reden heeft tot klagen met betrekking tot de AVG, kan hij zich zodoende wenden tot:
a) Senior Service (per e-mail, brief of telefoon. Voor de contactgegevens wordt verwezen naar de
eerste pagina van dit privacybeleid en in onze privacyverklaring);
b) de FG van Senior Service (mailadres: info@seniorservice.nl)
c) AP: de betrokkene kan een telefonische klacht indienen bij de AP via het Informatie- en Meldpunt
Privacy of schriftelijk via het meldformulier op de website van de AP (zie deze websitepagina voor
meer informatie). Zie hier het meldformulier: https://klachten.autoriteitpersoonsgegevens.nl/.
Betrokkenen worden middels de privacyverklaring gewezen op deze mogelijkheid.
Daarbij worden betrokkenen erop gewezen dat bij twijfel over een klacht, eerst contact
opgenomen kan worden met de AP via het gratis telefoonnummer 088 - 1805 250. Betrokkenen worden verwezen naar de website van de AP voor meer informatie met betrekking tot
(de behandeling van) klachten. Daarnaast bestaat er de mogelijkheid een tip in te dienen bij de AP.
Dit om de AP te informeren over een mogelijke privacyschending.
3.10 Indienen verzoek
Wijze indiening en procedure voorafgaand aan beoordeling
Om een verzoek met betrekking tot deze rechten in te dienen, kan een betrokkene contact opnemen met de betreffende vestiging van Senior Service via e-mail of per brief, ter attentie van de FG van Senior Service.
Identificatie
Voordat een verzoek kan worden ingewilligd, wordt allereerst nagegaan of het verzoek daadwerkelijk is ingediend door de desbetreffende betrokkene, om te voorkomen dat gegevens worden verdeeld met een verkeerde partij. Dit kan bijvoorbeeld door na te gaan of de gegevens van de indiener overeenkomen met de gegevens van de betrokkene zoals bekend bij Senior Service. Indien Senior Service twijfelt aan de identiteit van de verzoeker, vraagt Senior Service zo spoedig mogelijk aan de betrokkene schriftelijk nadere informatie te verstrekken ter bevestiging van diens identiteit. Waar mogelijk (en noodzakelijk) wordt de betrokkene uitgenodigd op kantoor. Vervolgens wordt overgegaan op een inhoudelijk beoordeling van het verzoek. Dit zorgt ervoor dat persoonsgegevens niet aan de verkeerde partij worden verstrekt of onjuist worden gewijzigd.
In behandeling nemen verzoek
Aan een verzoek en / of de uitvoering zijn geen kosten verbonden; wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, bijvoorbeeld vanwege een repetitief karakter, kan Senior Service een redelijke vergoeding doorberekenen in het licht van de administratieve kosten waarmee het verzoek gepaard gaat, ofwel weigeren vervolg te geven aan het verzoek. In het laatste geval informeert Senior Service de betrokkene over de mogelijkheid om een klacht in te dienen bij de AP of beroep bij de rechter in te stellen en de reden van weigering (Senior Service informeert de betrokkene hierover onverwijld maar in ieder geval binnen één maand na ontvangst van het verzoek). Betrokkene kan zich tevens richten tot de FG bij klachten.
Behandeling en termijnen
Senior Service zal binnen vijf werkdagen na ontvangst van het verzoek een ontvangstbevestiging sturen. Binnen één maand na ontvangst van het verzoek zal Senior Service reageren op het verzoek. In complexere gevallen kan deze termijn met maximaal twee maanden worden verlengd. Dat kan indien (i) de betrokkene een aantal verzoeken tegelijk indient en/of (ii) het complexe verzoeken zijn. Betrokkenen worden hierover geïnformeerd binnen één maand na ontvangst van het verzoek, inclusief de redenen voor de verlenging.
Wanneer betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
Beoordeling van het verzoek
Elk verzoek wordt afzonderlijk beoordeeld op basis van de specifieke feiten en omstandigheden. De reactie op het verzoek betreft één van onderstaande mogelijkheden:
1. Het verzoek wordt gehonoreerd. Deze communicatie jegens de betrokkene dient op een
begrijpelijke wijze plaats te vinden;
2. Het verzoek wordt afgewezen (omdat het verzoek kennelijk ongegrond/buitensporig is of
omdat de AVG dit voorschrijft): indien naar inzien van Senior Service niet aan het verzoek kan
worden voldaan, motiveert Senior Service schriftelijk jegens de betrokkene waarom niet aan
het verzoek kan worden voldaan. In dat geval informeert Senior Service de betrokkene over
de mogelijkheid om een klacht in te dienen bij de AP en beroep in te stellen bij de rechter (Senior Service informeert de betrokkene hierover onverwijld maar in ieder geval binnen één maand na ontvangst van het verzoek). Betrokkene kan zich tevens richten tot de FG bij klachten. Zie hiervoor ook bovenstaand onder ‘in behandeling nemen verzoek’.
4. Beveiliging
Senior Service neemt de bescherming van persoonsgegevens serieus en neemt passende technische en organisatorische maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Senior Service voldoet in dit kader onder andere aan de NEN 7510, NEN 7512 en NEN 7513 (relevant voor de gezondheidsgegevens van cliënten).
Verder heeft Senior Service onder meer de volgende beveiligingsmaatregelen getroffen:
- De website van Senior Service maakt gebruik van een betrouwbaar SSL Certificaat om te borgen dat de persoonsgegevens niet in verkeerde handen vallen;
- Alle medewerkers van Senior Service beschikken over een VOG en zijn contractueel verplicht tot geheimhouding. Ook hebben alle medewerkers die vanaf huis of kantoor inloggen een tweefactorauthenticatie. Daarnaast is er alleen toegang tot persoonsgegevens voor de medewerkers, die voor de uitvoering van hun functie, deze toegang behoeven. Mochten medewerkers niet te goeder trouw zijn, en misbruik maken van persoonsgegevens van klanten, dan schenden ze hiermee het beroepsgeheim / de geheimhoudingsclausule in het contract en zal intern overlegd worden welke (arbeidsrechtelijke) gevolgen dat heeft. Senior Service voert gegevensbeschermingseffectbeoordelingen (DPIA's) uit op de verwerkingen. Op basis van deze DPIA's worden technische en organisatorische maatregelen genomen om de persoonsgegevens te beschermen. Dit omvat onder andere beveiliging van systemen, computers(netwerken) en servers;Senior Service hanteert een strikt autorisatiesysteem voor toegang tot persoonsgegevens zodat enkel de personen die bevoegd zijn, persoonsgegevens kunnen inzien;Wij geven in beginsel geen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER), tenzij anders vermeld in de privacyverklaring. Doorgifte naar een land buiten de EER is bovendien enkel mogelijk indien dit land een passend beschermingsniveau waarborgt;
- Bij elke nieuwe verwerking is expliciet aandacht voor Privacy by Design en Privacy bij Default en wordt dit toegepast;
- Bedrijfsruimten zijn beveiligd en beperkt toegankelijk;
De (technische en organisatorische) maatregelen garanderen een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht om onnodige verzameling of verdere verwerking te voorkomen.
Indien betrokkene de indruk heeft dat persoonsgegevens niet goed beveiligd zijn, er aanwijzingen zijn van misbruik of indien je meer informatie wenst over de beveiliging van door ons verzamelde persoonsgegevens, dan kun je contact opnemen via info@seniorservice.nl.
5. Datalekken
Senior Service ziet nauwlettend toe op inbreuken in verband met persoonsgegevens (datalekken). Bij een datalek kan het gaan om een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook om een inbraak in een datasysteem of per ongeluk verstrekte toegang tot gegevens aan personen of instanties die daartoe geen toegang zouden mogen hebben. Het verzenden van een e-mail aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn is ook voorbeeld van een datalek. In het ‘Protocol meldplicht datalekken’ van Senior Service wordt ingegaan op de werkwijze bij een datalek (bijlage). In dit privacybeleid wordt kort stilgestaan bij de belangrijkste zaken.
5.1 Melding aan de Autoriteit Persoonsgegevens (AP)
Indien zich binnen de organisatie van Senior Service of bij een door Senior Service ingeschakelde verwerker een datalek voordoet, handelt Senior Service als volgt. Elk (vermoeden) van een datalek wordt door de medewerkers gemeld bij de Directie en de FG van Senior Service. Alle medewerkers dienen hierop alert te zijn. Vervolgens beslist de Directie (samen met de FG) hoe het datalek wordt afgehandeld. Het datalek wordt in beginsel (binnen 72 uur na ontdekking daarvan) gemeld bij de AP (via het Meldloket), tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Daarbij wordt de volgende informatie gedeeld:
-
- Contactgegevens van Senior Service, de melder, de contactpersoon en de FG;
- Gegevens over het datalek, waaronder een tijdlijn en de aard van de inbreuk;
- De persoonsgegevens die betrokken zijn bij het datalek;
- De betrokkenen;
- De genomen maatregelen voorafgaand aan het datalek;
- De gevolgen van het datalek;
- De vervolgacties die zijn ondernomen naar aanleiding van het datalek.
5.2 Melding aan de betrokkene(n)
-
- Een beschrijving van de aard van de inbreuk;
- De naam en contactgegevens van de contactpersoon en/of FG;
- Een beschrijving van de waarschijnlijke gevolgen;
- Een beschrijving van de maatregelen die Senior Service heeft voorgesteld of genomen heeft om het datalek aan te pakken, inclusief eventuele maatregelen om de mogelijke nadelige gevolgen te beperken.
De mededeling aan betrokkene kan enkel achterwege blijven als
- Senior Service passende technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beschermen vóór de inbreuk, met name maatregelen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- Senior Service onmiddellijk na de inbreuk maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkene(n) zich waarschijnlijk niet meer zal voordoen;
- het contact opnemen met de betrokkene(n) onevenredige inspanningen zou vergen. In dat geval wordt er in plaats daarvan een openbare mededeling of een soortgelijke maatregel genomen waarbij de betrokkene(n) op een doeltreffende manier worden geïnformeerd.
Overige maatregelen/stappen
De mededeling wordt gedocumenteerd in het eigen datalekregister, ongeacht of deze is gemeld aan de AP en betrokkenen.
Bij het vaststellen of er sprake is van een inbreuk op de beveiliging en of melding daarvan moet worden gedaan bij de AP, hanteert de verantwoordelijke de guideline meldplicht datalekken van de Groep gegevensbescherming artikel 29 en het interne ‘Protocol meldplicht datalekken’.
N.B. Niet ieder beveiligingsincident is per definitie een datalek. Er moet sprake zijn van een daadwerkelijk beveiligingsincident, waarbij de genomen preventieve maatregelen niet voldoende waren om het te voorkomen. Wanneer er alleen sprake is van een dreiging of een beveiligingslek dat zou kunnen leiden tot een datalek, is er dus nog geen sprake van een datalek.
6. AVG-documenten
In deze paragraaf wordt stilgestaan bij de AVG-documenten waarover Senior Service beschikt.
6.1 Documenten
Verwerkingsregister
Om te voldoen aan de verantwoordingsplicht houdt Senior Service een verwerkingsregister bij. Bij elke nieuwe verwerking moet het verwerkingsregister aangepast worden. Alle medewerkers moeten hier alert op zijn en een nieuwe verwerking melden bij de Directie van Senior Service.
Verwerker(sovereenkomst)
In bepaalde gevallen is het noodzakelijk om gegevens te delen met derden. Hiervoor wordt verwezen naar de eerdere bepalingen op dit punt. Persoonsgegevens worden niet met derden gedeeld voor commerciële doeleinden. Indien deze derde kwalificeert als een verwerker, dan sluiten wij een verwerkersovereenkomst af met deze partij.
Een verwerker verwerkt in opdracht van Senior Service persoonsgegevens, en mag enkel verwerken zoals overeengekomen in de verwerkersovereenkomst. Met de verwerker wordt een verwerkersovereenkomst gesloten waardoor afdwingbare verbintenissen ontstaan. Zo wordt daarin vastgelegd dat de verwerker verwerkt in opdracht van Senior Service, en dus niet zelfstandig de persoonsgegevens (die Senior Service heeft verstrekt) mag verwerken. Tevens dient de verwerker een gelijk beveiligingsniveau (aan Senior Service) te hanteren. Hier ziet Senior Service op toe. Daarnaast wordt geheimhouding overeengekomen met de verwerker. Tevens worden in de verwerkersovereenkomst afspraken gemaakt over de aansprakelijkheid, subverwerkers, teruggifte/verwijdering van persoonsgegevens na afloop van de overeenkomst, aard en doel van de verwerking, rechten en plichten van de verwerker, procedure datalekken, aard en doel van de verwerking etc.
Datalekregister
Om te voldoen aan de verantwoordingsplicht houdt Senior Service tevens een datalekregister bij. Elk (vermoeden) van een datalek dient te worden gemeld bij de Directie en FG van Senior Service. Alle medewerkers dienen hier alert op te zijn. Vervolgens beslist de Directie hoe het datalek wordt afgehandeld. Het datalek wordt in ieder geval opgenomen in het datalekregister en zo nodig gemeld bij de Autoriteit Persoonsgegevens en eventueel ook de betrokkenen. Het proces is bovenstaand in paragraaf 5 beschreven.
Privacyverklaringen
Senior Service beschikt over privacyverklaringen (gepubliceerd op de website) waarin betrokkenen in duidelijke, begrijpelijke en gemakkelijk toegankelijke vorm worden geïnformeerd over de gegevens die van hem worden verwerkt, de wijze waarop, en de redenen waarom dit gebeurt en ze worden gewezen op hun rechten. Daarmee wordt voldaan aan de informatieplicht.
6.2 Aansprakelijkheid en sancties
Senior Service kan aansprakelijk worden gesteld voor de schade of het nadeel voortvloeiende uit het niet nakomen van de voorschriften die bij of krachtens de AVG zijn gegeven.
Senior Service kan, indien niet wordt voldaan aan de volledige naleving van de AVG, een sanctie worden opgelegd door de AP zoals een boete.
6.3 Scholing
Senior Service draagt zorg voor een regelmatige scholing van de medewerkers en anderen die toegang hebben tot persoonsgegevens (binnen Senior Service) om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.
6.4 DPIA
Senior Service verricht, naast de verplichte DPIA’s, een DPIA voor gegevensverwerkingen die (waarschijnlijk) een hoog privacyrisico opleveren voor betrokkenen. Met een DPIA worden de privacyrisico’s in kaart gebracht en bepaald welke maatregelen genomen kunnen worden om die risico’s te verkleinen. Daarnaast voert Senior Service periodieke DPIA’s uit.
6.5 Onvoorziene omstandigheden
In gevallen waarin dit privacybeleid niet voorziet, beslist Senior Service met inachtneming van de bepalingen uit de AVG.
7. Slotbepalingen
Dit privacybeleid is vastgesteld door de Directie van Senior Service op 01-05-2023. Dit privacybeleid treedt per direct in werking.
Dit privacybeleid kan worden aangehaald als Privacybeleid Senior Service. Wijzigingen van dit privacybeleid worden aangebracht door de Directie en/of de FG. Wijzigingen in doel van enige verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens, alsook de wijziging van een nieuw medewerkersvolgsysteem leiden in ieder geval tot wijziging / aanvulling van dit privacybeleid. Wijzigingen van dit privacybeleid worden direct bekend gemaakt aan betrokkenen, met een toelichting. Daarnaast zullen wijzigingen / aanvullingen van het privacybeleid worden besproken met een delegatie van medewerkers, voor zover een en ander betrekking heeft op medewerkers.
Dit privacybeleid wordt gepubliceerd op de website van Senior Service.