privacyverklaring

Privacyverklaring AMZO

AMZO biedt gespecialiseerde zorg en ondersteuning aan kinderen tot en met 14 jaar met (ernstige) gedragsproblematiek, een psychiatrische- en/of (licht) verstandelijke handicap. Binnen onze dienstverlening Verwerken wij diverse Persoonsgegevens van cliënten, medewerkers, leveranciers en andere betrokkenen. De bescherming van deze Persoonsgegevens is essentieel, niet alleen vanwege wettelijke verplichtingen, maar ook vanwege de verantwoordelijkheid die wij dragen richting alle betrokkenen.

Dit document beschrijft hoe AMZO Persoonsgegevens verwerkt en beveiligt. Het behandelt doeleinden van de Verwerking, wettelijke grondslagen, bewaartermijnen, rechten van Betrokkenen, klachtenprocedures, beveiligingsmaatregelen en het beleid rondom Datalekken. Hiermee waarborgt AMZO een zorgvuldige en wettelijk conforme verwerking van Persoonsgegevens.

Contactgegevens
Handelsnaam	AMZO B.V.
KvK-nummer	78468736
Hoofdvestiging	Bijdorp-West 13, te (2992 LC) Barendrecht
E-mail	info@amzo.nl

 

1. Begripsbepalingen

• De Autoriteit Persoonsgegevens: de Autoriteit die door de landelijke overheid is ingesteld om erop toe te zien dat de verwerking van Persoonsgegevens conform de wet geschiedt.
• Betrokkene: de persoon van wie de Persoonsgegevens worden verwerkt. Dit kunnen cliënten, medewerkers of andere Betrokkenen zijn.
• Persoonsgegevens: elk gegeven dat herleidbaar is tot een natuurlijke persoon, zoals een naam, geboortedatum en/of adres.
• Verwerker: een externe partij die in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt. Een voorbeeld hiervan is een IT-bedrijf dat het elektronisch patiëntendossier (EPD) beheert. AMZO sluit met elke Verwerker een verwerkersovereenkomst, waarin wordt vastgelegd hoe de Persoonsgegevens worden Verwerkt.
• Verwerking/Verwerken: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
• Verwerkingsverantwoordelijke: de natuurlijke persoon, rechtspersoon of het bestuursorgaan dat, alleen of samen met anderen, doel en middelen voor de Verwerking van Persoonsgegevens vaststelt. In dit geval is AMZO de Verwerkingsverantwoordelijke voor alle gegevens die worden Verwerkt in het kader van de zorgverlening door AMZO.

 

2. Persoonsgegevens

• AMZO Verwerkt de volgende soorten Persoonsgegevens ten aanzien van cliënten:
• Naam, voornamen, voorletters, BSN-nummer, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer, email-adres, bankrekeningnummer;
• Administratienummer;
• De gegevens vermeld onder het eerste punt van uw gezins- of familieleden, voor zover noodzakelijk in het kader van de door AMZO te verlenen zorg;
• De gegevens vermeld onder het eerste punt van anderen die over uw welzijn en gezondheid worden ingelicht, voor zover noodzakelijk;
• Gegevens die betrekking hebben op uw gezondheid;
• Gegevens die betrekking hebben op de gezondheid van uw gezins- en familieleden in geval van erfelijke aandoeningen;
• Andere bijzondere Persoonsgegevens, bijvoorbeeld over uw etniciteit, religie of levensovertuiging of seksuele leven ten dienste van een goede behandeling of verzorging;
• Gegevens over uw gevolgde en te volgen behandeling, waaronder tevens beeld- en lichaamsmateriaal, medicijnen of voorzieningen;
• Gegevens over het berekenen, vastleggen en innen van de vergoeding voor de door AMZO te verlenen zorg;
• Gegevens over uw verzekering;
• Andere gegevens die noodzakelijk zijn voor de uitoefening van de zorg op grond van de Jeugdwet.
• AMZO verwerkt de volgende soorten Persoonsgegevens ten aanzien van medewerkers c.q. opdrachtnemers:
• Naam, voornamen, voorletters, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer, e-mailadres, bankrekeningnummer;
• Salarisgegevens;
• Verklaring omtrent Gedrag;
• Informatie over verlof en verzuim;
• Andere gegevens die noodzakelijk zijn voor de uitoefening van de rol van werkgever c.q. opdrachtgever.
• AMZO verwerkt voorts Persoonsgegevens van derden. Met derden wordt onder meer gedoeld op leveranciers, (vertegenwoordigers van) overheidsinstanties en financiële c.q. juridische dienstverleners. De voorgaande opsomming is niet-limitatief. De Verwerkte Persoonsgegevens zijn de NAW-gegevens en alle andere Persoonsgegevens die noodzakelijk zijn voor de uitoefening van de rol die AMZO binnen de betreffende rechtsverhouding heeft.

 

3. Doel en grondslag

• AMZO verwerkt Persoonsgegevens voor verschillende doeleinden en op basis van diverse rechtsgronden. In het onderstaande schema wordt dit nader toegelicht:

 

Doel van gegevensverwerking	Nadere omschrijving	Rechtsgrond
Verlening van zorg en behandeling	Diagnostiek, behandelplannen, multidisciplinaire samenwerking, medicatiebeheer en dossiervorming.	Artikel 6(1)(b) jo. 9(2)(h) AVG - uitvoering behandelovereenkomst en medische noodzaak
Communicatie met cliënten en wettelijk vertegenwoordigers	Afsprakenbevestigingen, zorginformatie verstrekken en contact met wettelijk vertegenwoordigers.	Artikel 6(1)(b) jo. 9(2)(h) jo. 9(2)(a) AVG - uitvoering behandelovereenkomst, medische noodzaak en toestemming
Declaraties en financiële administratie	Declaraties, facturatie, betalingen en rapportages onder meer aan de Belastingdienst.	Artikel 6(1)(b) jo. 6(1)(c) AVG - contract en wettelijke verplichting
Wettelijke rapportages en verantwoording	Verplichte gegevensverstrekking aan IGJ, gemeenten en CBS voor toezicht en statistiek.	Artikel 6(1)(c) AVG - wettelijke verplichting
Kwaliteitsbewaking en interne beleidsontwikkeling	Analyse van behandeluitkomsten, audits en evaluatie van behandelmethodes.	Artikel 30(3)(a) UAVG jo. 6(1)(a) AVG jo. 9(2)(a) AVG – beheer van de zorginstelling,  gerechtvaardigd belang en toestemming
Opleiding en supervisie van zorgverleners	Training van medewerkers, supervisie en accreditatieprocessen.	Artikel 6(1)(f) jo. 6(1)(a) jo. 9(2)(a) AVG - gerechtvaardigd belang en toestemming
Beveiliging en fraudepreventie	Toegangscontrole, logging, identificatie van medewerkers en fraudebestrijding.	Artikel 6(1)(f) jo. 6(1)(c) AVG - gerechtvaardigd belang en wettelijke verplichting
Personeels- en salarisadministratie	Arbeidsovereenkomsten, salarisverwerking, pensioen en verzuimregistratie.	Artikel 6(1)(b) jo. 6(1)(c) AVG - arbeidsovereenkomst en wettelijke verplichting
Behandeling van klachten en juridische verplichtingen	Registratie en afhandeling van klachten en juridische verplichtingen.	Artikel 6(1)(c) jo. 6(1)(f) AVG - wettelijke verplichting en gerechtvaardigd belang
Informatieverstrekking via digitale platforms en websites	Gebruik van patiëntenportalen, webformulieren en beveiligde e-mailcommunicatie.	Artikel 6(1)(a) jo. 6(1)(b) AVG - toestemming en overeenkomst

 

• AMZO verwerkt alleen Persoonsgegevens voor zover de Verwerking noodzakelijk is om het doel te bereiken.

 

• Voor uitwisseling van Persoonsgegevens tussen medewerkers en opdrachtnemers van AMZO is geen expliciete toestemming van de Betrokkene vereist, voor zover deze uitwisseling van belang is voor de uitvoering van de overeenkomst tussen de Betrokkene en AMZO.

 

• De Persoonsgegevens van de Betrokkene worden slechts met derden gedeeld, indien AMZO tot verstrekking van de Persoonsgegevens is verplicht op grond van een wettelijk voorschrift. Indien en voor zover geen sprake is van een wettelijk voorschrift op grond waarvan de Persoonsgegevens met een derde mogen worden gedeeld, worden deze slechts gedeeld indien de Betrokkene daartoe toestemming heeft gegeven.

 

4. Bewaartermijnen

• In het onderstaande overzicht worden de bewaartermijnen van diverse categorieën van Persoonsgegevens opgenomen:

 

Categorie gegevens	Bewaartermijn
Patiëntendossiers	20 jaar na de laatste behandeling
Financiële administratie	7 jaar
Sollicitatiegegevens	4 weken na afwijzing
Personeelsdossiers	2 jaar na uitdiensttreding

 

• Om de administratieve lasten te beperken, hanteert AMZO een geplande vernietigingsprocedure die twee keer per jaar plaatsvindt, te weten in de maand januari en juli. Dit betekent dat Persoonsgegevens die hun bewaartermijn hebben bereikt, op de eerstvolgende vernietigingsdatum zullen worden vernietigd. Hierdoor kan de daadwerkelijke vernietigingsdatum enigszins afwijken van de termijnen zoals genoemd onder artikel 4.1 van dit privacybeleid.

 

5. Rechten van Betrokkenen
   • Betrokkenen hebben op grond van de AVG diverse rechten. Deze worden in het onderstaande schema weergegeven.

Recht	Omschrijving
Recht op inzage	De Betrokkene heeft het recht om te weten welke Persoonsgegevens van hem/haar worden Verwerkt en om hiervan een kopie te ontvangen.
Recht op rectificatie	De Betrokkene heeft het recht om onjuiste of onvolledige Persoonsgegevens te laten corrigeren of aanvullen.
Recht op gegevenswissing	De Betrokkene kan verzoeken om Persoonsgegevens te laten verwijderen, tenzij er een wettelijke verplichting bestaat om deze te bewaren.
Recht op beperking van Verwerking	De Betrokkene kan vragen om de Verwerking van Persoonsgegevens tijdelijk stop te zetten, bijvoorbeeld bij een geschil over de juistheid van de gegevens.
Recht op overdraagbaarheid van gegevens	De Betrokkene heeft het recht om Persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en deze aan een andere Verwerkingsverantwoordelijke over te dragen.
Recht op bezwaar	De Betrokkene kan bezwaar maken tegen de Verwerking van Persoonsgegevens op basis van een gerechtvaardigd belang, tenzij de Verwerkingsverantwoordelijke dwingende gerechtvaardigde gronden heeft.
Recht op menselijke tussenkomst bij geautomatiseerde besluitvorming	De Betrokkene heeft het recht om niet uitsluitend op basis van geautomatiseerde Verwerking aan een besluit te worden onderworpen als dit een juridisch of ingrijpend gevolg heeft, en kan vragen om menselijke tussenkomst.

 

 

• De Betrokkene kan – op grond van de rechten zoals vermeld onder 5.1 van dit privacybeleid – uitoefenen door een schriftelijk verzoek daartoe bij AMZO in te dienen. Dit kan per e-mail naar info@amzo.nl. AMZO is verplicht de identiteit van de verzoeker te controleren voordat het verzoek wordt behandeld.
• AMZO reageert schriftelijk en binnen vier weken op het verzoek van de Betrokkene. Niet-gehonoreerde verzoeken worden altijd door AMZO gemotiveerd.

 

6. Beveiliging

• De AVG verplicht de Verwerkingsverantwoordelijke technische- en organisatorische maatregelen te nemen om te waarborgen en te kunnen aantonen dat Persoonsgegevens in overeenstemming met de AVG worden Verwerkt.

 

• De volgende bepalingen gelden in het kader van de beveiliging van Persoonsgegevens:
• Er worden niet meer Persoonsgegevens verzameld dan nodig zijn voor het doel van de verzameling;
• Alleen direct betrokken medewerkers hebben inzage in Persoonsgegevens van cliënten;
• Alle Persoonsgegevens zijn opgeborgen in afsluitbare kasten, laden, ruimten;
• Elektronisch opgeslagen Persoonsgegevens zijn alleen na ingeven van een persoonlijk wachtwoord – waarbij tevens een twee factor authenticatie wordt gehanteerd – in te zien;
• Elektronisch opgeslagen Persoonsgegevens worden versleuteld verzonden;
• Medewerkers en opdrachtnemers hebben een geheimhoudingsplicht betreffende Persoonsgegevens.
• In dit kader wordt onder de term ‘medewerkers’ en ‘opdrachtnemers’ eveneens begrepen: invalkrachten en stagiaires.

 

7. Datalekken

 Er is sprake van een datalek als een inbreuk in verband met Persoonsgegevens heeft plaatsgevonden, zoals wanneer Persoonsgegevens zijn vernietigd, verloren, gewijzigd, verstrekt of toegankelijk zijn gemaakt, terwijl dat niet de bedoeling was.

 

• AMZO meldt datalekken bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van Betrokkenen. AMZO informeert Betrokkenen omtrent het datalek, indien het datalek waarschijnlijk een hoog risico voor Betrokkenen oplevert.

 

• Bij de beoordeling van het risiconiveau van het datalek houdt AMZO rekening met de onderstaande facturen;

 

• de aard van de inbreuk;
• de aard en gevoeligheid van de Persoonsgegevens en de hoeveelheid;
• het gemak waarmee personen kunnen worden geïdentificeerd;
• de ernst van de gevolgen voor de Betrokkenen;
• kenmerken van de onbevoegde ontvanger(s);
• bijzondere kenmerken van de persoon van wie Persoonsgegevens zijn gelekt;
• bijzondere kenmerken van uw organisatie;
• aantal Betrokkenen van wie Persoonsgegevens zijn gelekt.

 

8. Klachten

• Indien een Betrokkene van mening is dat zijn of haar Persoonsgegevens onrechtmatig worden Verwerkt, heeft hij of zij het recht om een klacht in te dienen bij AMZO, de externe klachtencommissie van “Er is iets misgegaan” en/of de Autoriteit Persoonsgegevens.

 

• Relevante informatie omtrent het indienen van een klacht bij AMZO en/of “Er is iets misgegaan” kan worden gevonden via https://www.amzo.nl/klachtenregeling. Relevante informatie omtrent het indienen van een klacht bij de Autoriteit Persoonsgegevens kan worden gevonden via: https://klachten.autoriteitpersoonsgegevens.nl/.