Uitvoering Algemene Verordening Gegevensbescherming (AVG) De registratie van de persoonsgegevens van cliënten heeft tot doel het verzamelen en vervolgens systematisch verwerken van gegevens ten behoeve van een optimale zorgverlening van de cliënten vanuit ON-Begrepen.

• Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
• Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
• Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
• Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens, die in de persoonsregistratie zijn opgenomen.
• Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
• Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
• Verantwoordelijke / Directie ON-Begrepen: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Verwerker/ ZZP’er: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
• Betrokkene: degene op wie een persoonsgegeven betrekking heeft; indien de betrokkene een wettelijk vertegenwoordiger heeft, kunnen de rechten van de geregistreerde ingevolge dit reglement door de wettelijk vertegenwoordiger worden uitgeoefend.
• Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
• Ontvanger: degene aan wie de persoonsgegevens worden verstrekt, niet zijnde de betrokkene.
• Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
• Autoriteit Persoonsgegevens: de AP heeft tot taak toe te zien op de verwerking van persoonsgegevens.

Indien de betrokkene niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:

1. De persoonlijke gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt.
2. De echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of deze ontbreekt.
3. Een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.

Indien de betrokkene wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen en in diens plaats als vertegenwoordiger te treden.

De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken. De persoon, die in plaats treedt van de betrokkene, betracht de zorg van een goede vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.

Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.

• Persoonsgegevens worden in overeenstemming met dit reglement op zorgvuldige wijze verwerkt.
• Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
• Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
• De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Haar handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement.

De verwerker die wordt gekozen biedt voldoende waarborgen met betrekking tot de technische en organisatorische beveiliging. Met de verwerker wordt een overeenkomst gesloten of een regeling getroffen waardoor afdwingbare verbintenissen ontstaan.

In deze overeenkomst of regeling moet de verantwoordelijke bedingen dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht van de verantwoordelijke. De verantwoordelijke moet bedingen dat de verwerker de beveiligingsverplichtingen nakomt die op de schouders rusten van de verantwoordelijke op grond van de AVG. De verantwoordelijke moet toezien op de naleving van de beveiligingsverplichtingen. Ook het recht hiertoe moet de verantwoordelijke in de overeenkomst of de regeling bedingen. De persoonsgegevens mogen alleen worden verwerkt in opdracht van de verantwoordelijke. De verwerker is naast de verantwoordelijke, verantwoordelijk en aansprakelijk voor haar eigen handelen. De verwerker en degenen die onder diens gezag handelen zijn verplicht om persoonsgegevens waarvan zij kennisnemen geheim te houden.

Persoonsgegevens mogen slechts worden verwerkt indien aan één van de onderstaande voorwaarden is voldaan:

• De betrokkene voor de verwerking, na goed geinformeerd te zijn, zijn volledige toestemming heeft verleend.
• Dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor sluiting van een overeenkomst maatregelen te nemen.
• Dit noodzakelijk is om een wettelijke verplichting na te komen.
• Dit noodzakelijk is voor vitaal belang van de betrokkene.
• Dit noodzakelijk is voor de vervulling van een publiekrechtelijke taak.
• Dit noodzakelijk is met het oog op belang van de verantwoordelijke of van een derde en het belang van degene van wie de gegevens worden verwerkt niet prevaleert.

ON-Begrepen beschikt over een privacyverklaring, waarin betrokkenen in begrijpelijke, toegankelijke vorm, worden geïnformeerd over de gegevens die van hen worden verwerkt. Tevens zullen betrokkenen actief worden geïnformeerd over hun rechten.

Gegevens verkregen bij betrokkene:
Indien bij de betrokkene zelf de persoonsgegevens worden verkregen deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede:

• Zijn identiteit
• De doeleinden en de rechtsgrond van de verwerking waarvoor de gegevens zijn bestemd.
• De betrokken categorieën van persoonsgegevens.
• De ontvangers en/of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.
• De periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of indien dat niet mogelijk is, de criteria om die termijn te bepalen.
• De herkomst van de verwerkte gegevens indien deze niet van betrokkene afkomstig zijn.
• Het bestaan van geautomatiseerde besluitvorming, alsmede het belang en de verwachte gevolgen van die verwerking voor betrokkene.

Voor verwerking van zorggegevens is toestemming van de betrokkene vereist, tenzij verstrekking noodzakelijk is i.v.m. het uitvoeren van een wettelijk voorschrift.

Zonder toestemming van de betrokkene kunnen door de verantwoordelijke persoonsgegevens betreffende gezondheid worden verwerkt door:

• Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat noodzakelijk is.
• Verzekeraars voor zover dat noodzakelijk is en de betrokkene geen bezwaar heeft gemaakt.
• De persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijke voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
• Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de verwerker persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging dan wel beheer noodzakelijk is.

De betrokkene of de (wettelijk) vertegenwoordiger kan de verantwoordelijke verzoeken de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn voor het doel of doeleinden van de verwerking, onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.

De correcties of aanvullingen worden vermeld op een apart blad in het zorgdossier. De zorgverlener is uit hoofde van zijn functie verplicht gegevens vast te leggen.

Betrokkenen hebben het recht op vergetelheid in de volgende situaties:

• De persoonsgegevens zijn niet langer nodig.
• De betrokkene trekt de toestemming waarop de verwerking berust in.
• De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende vormen voor verwerking.
• De gegevens zijn onrechtmatig verwerkt. - Een wettelijke verplichting om de persoonsgegevens te wissen.
• De persoonsgegevens zijn verzameld in verband met een aanbod van diensten van een informatiemaatschappij.

Wanneer de gegevens openbaar zijn gemaakt en verplicht wordt de gegevens te wissen, neemt ON-Begrepen, rekening houdend met de beschikbare technologie en uitvoeringskosten, redelijke maatregelen waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen dat de betrokkene heeft verzocht om iedere koppeling naar of kopie of reproductie van die gegevens te wissen.

De verantwoordelijke bericht de verzoeker binnen maximaal vier weken na ontvangst van het schriftelijke verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.

De verantwoordelijke corrigeert of verwijdert de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene alsmede voor zover bewaring op grond van een (wettelijk) voorschrift vereist is.

Betrokkene heeft het recht de hem betreffende persoonsgegevens die hij zelf aan ON-Begrepen heeft verstrekt, in een gangbare vorm te verkrijgen. Hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen in de gevallen dat persoonsgegevens door hem op basis van verleende toestemming zijn verstrekt of op basis van een overeenkomst, en de verwerking via geautomatiseerde procedures wordt verricht.

Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van het voorgaande, heeft de betrokkene het recht dat de gegevens indien dit technisch mogelijk is, rechtstreeks van de ene naar de andere verwerkingsverantwoordelijke worden doorgezonden.

De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Voor medische en zorggegevens in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd.

Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.

Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.

Verwerkers zijn degenen die op basis van een overeenkomst namens ON-Begrepen gegevens verwerken. De verwerker, verwerkt de gegevens op de wijze zoals overeengekomen in het inwerkformulier.

De verwerker is verantwoordelijk voor het juiste gebruik om de bescherming van de persoonlijke levenssfeer van de personen van wie gegevens in de persoonsregistratie zijn opgenomen, in voldoende mate te waarborgen, zoals aangegeven en besproken tijdens het inwerkformulier (en daarbij horende documenten zoals gedragscode, datalek, inwerkformulier zzp).

Indien zich binnen ON-Begrepen een inbreuk op de beveiliging voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens ontvangen door ON-Begrepen, zal ON-Begrepen handelen en daarvan melding doen bij de Autoriteit Persoonsgegevens, passend het document ‘datalek ON-Begrepen.

Indien de inbreuk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt, stelt ON-Begrepen ook betrokkene direct in kennis van de inbreuk.

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot:

• Directie ON-Begrepen
• De Autoriteit Persoonsgegevens verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de AVG.

Verantwoordelijke kan aansprakelijk worden gesteld voor de schade of het nadeel voortvloeiende uit het niet nakomen van de voorschriften die bij of krachtens de Algemene Verordening Gegevensbescherming zijn gegeven.

Verantwoordelijke voor de verwerking van de persoonsgegevens kan, indien niet wordt voldaan aan de volledige naleving van de AVG, een sanctie worden opgelegd door de Autoriteit Persoonsgegevens.

Te ’s-Hertogenbosch, 29-06-2024
ON-Begrepen
Kvk: 90085450