Privacybeleid met verwerkingsregister

Om te voldoen aan de Europese wetgeving met betrekking tot privacymanagement verantwoorden we ons over het privacybeleid door onderstaande kenmerken in kaart. We onderscheiden elf processtappen. Daarnaast verwijzen we naar separate documenten. Met dit uitgewerkte privacybeleid samen met de genoemde separate documenten voldoen we aan de “accountability conform AVG”.

  1. Verwerkingsregister
    Hiermee inventariseren we de verwerking van persoonsgegevens van zowel cliënten als medewerkers, alsmede verantwoorden we ons voor de wijze waarop we de privacy conform wetgeving beschermen.

/table

  1. Categorisering van persoonsgegevens
    Hiermee geven we aan wat de gevoeligheid van de verwerkte persoonsgegevens zijn en welke risico’s hiermee zijn gemoeid voor de betrokkenen.
  2. Documentatie beveiligingsmaatregelen
    In processtap 1 is een verwijzing naar de beschrijving van de technische en organisatorische maatregelen opgenomen. Voor gegevensuitwisseling naar stakeholders is een risicoanalyse gemaakt.
  3. Privacy Impact Assessment (WP par 2.2, blad 8 / Artikel 35 AVG)
    Jaarlijks (conform revisiedatum in voettekst) toetsen we of de getroffen maatregelen nog in lijn zijn met de AVG en met privacy principes en risico’s. Indien we de doelen van de verwerkingen met minder persoonsgegevens kunnen behalen, dan passen we de betreffende verwerkingen aan. Bij gewijzigde omstandigheden of wijzigingen in systemen voeren we, indien het een ingrijpende wijziging betreft, een privacy Impact assessment uit.
  4. Privacy by Design
    Bij invoering van nieuwe verwerkingen van persoonsgegevens of bij wijzigingen zorgen we ervoor dat vanaf het begin ontwerpcriteria worden gehanteerd waarmee we invulling geven aan het principe van “privacy by design”. Dat betekent dat we nieuwe systemen naar de laatste stand van de techniek (laten) beveiligen, voordat we deze in gebruik nemen.
  5. Monitoring, periodieke toetsing en evaluatie
    Dit proces is onderdeel van onze management cyclus en waarborgt dat noodzakelijke en wenselijke optimalisaties worden doorgevoerd.
  6. Transparantie
    Wij zijn transparant over onze beveiliging van persoonsgegevens. Dit hebben we op onze website vermeld en daarbij hebben we aangegeven dat cliënten, medewerkers en stakeholders ter informatie nadere toelichting kunnen opvragen.
  7. Functionaris voor de gegevensbescherming
    Wij hebben onze functionaris gegevensbescherming aangemeld bij de Autoriteit Persoonsgegevens.
  8. Beveiligingsincidenten
    In ons kwaliteitsmanagementsysteem hebben we een procedure datalek opgenomen. Hiermee treffen we maatregelen om beveiligingsincidenten, die zijn aan te duiden als datalek, te detecteren en de gevolgen daarvan te beperken. Tevens is in deze procedure de werkwijze bij datalekken beschreven.
  9. Verantwoording en informatieverschaffing
    We hebben ons privacyreglement aangepast op de AVG, hierin staan tevens de rechten en plichten van betrokkenen. Dit privacyreglement hebben we via onze website openbaar gemaakt. We hebben onze bewoners, familie en medewerkers op de hoogte gesteld van de aanwezigheid en bescherming van privacygevoelige informatie. We hebben onze medewerkers geïnstrueerd en getraind ten aanzien van het juiste gebruik van privacygevoelige informatie.
  10. Verwerkersovereenkomsten
    We hebben hanteren een beslisboom om te bepalen met wie we een verwerkersovereenkomst afsluiten. Deze verwerkersovereenkomsten zijn separaat opgeslagen.