Verwerkers-
overeenkomst
In onze verwerkersovereenkomst beschrijven we hoe wij je gegevens verwerken, welke maatregelen wij nemen om je privacy te waarborgen, en wat onze verantwoordelijkheden zijn als verwerker. Deze overeenkomst zorgt ervoor dat je gegevens veilig en in overeenstemming met de wet worden behandeld
Reglement AVG
Op 25 mei 2018 trad de nieuwe privacywetgeving in werking. Dit omvatte de Privacy Richtlijn (95/46/EG), de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten die deze richtlijnen implementeerden, en/of de verordening (EU) 2016/679 (de “Algemene Verordening Gegevensbescherming”). Deze wetgeving verving de Wet Bescherming Persoonsgegevens. De AVG verwacht een meer proactieve rol van iedere organisatie die persoonsgegevens verwerkt.
De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:
– Versterking en uitbreiding van privacyrechten;
– Meer verantwoordelijkheden voor organisaties;
– Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden. Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld. Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan moest ervoor zorgen dat OsteoPlaza zich zoveel mogelijk aan de nieuwe wetgeving AVG kon houden. Hieronder worden de verschillende stappen besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen OsteoPlaza van toepassing zijn, waar OsteoPlaza tegenaan loopt en op welke wijze OsteoPlaza op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen.
Het AVG-10 stappenplan
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Ten einde Data protection impact assessment (DPIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
11. Slotwoord
1. Bewustwording
1.1 OsteoPlaza is een praktijk waarbinnen Vincent Komen D.O. MRO; Bsc. en eventuele freelancemedewerkers (D.O. MRO) osteopathie als dienstverlening aanbieden. Om dat doel te bereiken, moet OsteoPlaza persoonsgegevens van cliënt en verwerken en gebruiken binnen de dagelijkse bedrijfsvoering. Deze gegevens zijn privacygevoelig omdat ze zowel direct als indirect identificerend kunnen zijn. Om te waarborgen dat de gegevens op een verantwoorde wijze werden verwerkt en aan de nieuwe privacywetgeving voldeden, koos OsteoPlaza ervoor om met dit protocol een plan op te stellen op basis van het AVG-stappenplan. Het betrof de registratie van persoonsgegevens met een gerechtvaardigd belang, aangezien cliënt en zichzelf aanmelden bij OsteoPlaza om geholpen te worden door de osteopaat voor hun klachten.
2. Rechten van betrokkenen
2.1 Om een eerlijke verwerking van persoonsgegevens te waarborgen, geeft de verordening diverse rechten aan de betrokkene. Deze rechten kunnen tegen de verwerkingsverantwoordelijke worden uitgeoefend. De betrokkene heeft:
– Het recht op informatie over de verwerkingen.
– Het recht op inzage in zijn gegevens.
– Het recht op correctie van gegevens als deze niet kloppen.
– Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’.
– Het recht op beperking van de gegevensverwerking.
– Het recht op verzet tegen de gegevensverwerking.
– Het recht op overdracht van zijn gegevens (dataportabiliteit).
– Het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.
2.2 Een cliënt of voormalig cliënt (de betrokkene) kan om bovenstaande gegevens verzoeken. Het verzoek kan per mail worden ingediend via info@osteoplaza.nl. De betrokkene moet zich daarbij legitimeren, zodat OsteoPlaza voldoende zekerheid heeft dat degene die het verzoek doet daadwerkelijk de betrokkene is. OsteoPlaza zal binnen één maand na ontvangst van het verzoek de betrokkene informeren over de uitvoering van het verzoek. In geval van complexe of veelvuldige verzoeken kan deze termijn met maximaal twee maanden worden verlengd. In dat geval wordt de betrokkene geïnformeerd over de verlenging. De informatie wordt in principe schriftelijk verstrekt.
2.3 OsteoPlaza mag in sommige gevallen weigeren het verzoek om gegevensverstrekking uit te voeren of kosten in rekening brengen. Dit geldt als de betrokkene buitensporige of ongegronde verzoeken doet, zoals meerdere verzoeken achter elkaar om dezelfde gegevens, of als sprake is van beschermende noodzakelijkheidscriteria uit de AVG, bijvoorbeeld in het kader van een strafrechtelijk onderzoek naar de betrokkene. Als OsteoPlaza weigert aan het verzoek te voldoen, zal het dit motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.
2.4 OsteoPlaza realiseert zich dat als het een schriftelijke beslissing neemt over de rechten van de betrokkene, dit geldt als een besluit in de zin van de Algemene wet bestuursrecht. In sommige gevallen moet OsteoPlaza de betrokkene uit zichzelf informeren. Dit is het geval als gegevens buiten de betrokkene om worden verkregen, of als gegevens voor een ander doel worden gebruikt dan oorspronkelijk bedoeld. In deze gevallen informeert OsteoPlaza de betrokkene binnen één maand.
2.5 Als de behandeling van de cliënt eindigt, bewaart OsteoPlaza de persoonsgegevens in haar systeem. Volgens de wet Wgbo moeten medische dossiers 20 jaar bewaard worden. OsteoPlaza houdt zich aan die bewaartermijn en vernietigt de dossiers na 20 jaar. Ook niet-medische gegevens bevinden zich in het dossier. Om zeker te zijn dat de betrokkene een volledig beeld heeft van hoe met persoonsgegevens wordt omgegaan en met welk doel en op welke grondslag (gerechtvaardigd belang), krijgt elke betrokkene bij registratie toegang tot dit document en bijbehorende documenten. OsteoPlaza plaatst deze informatie op de website en wijst de betrokkene op deze vindplaats.
3. Overzicht verwerkingen
3.1 OsteoPlaza verwerkt, conform de richtlijn Osteopathische verslaglegging (NVO), de persoonsgegevens van de betrokkene. Daarnaast:
– Minimaliseert OsteoPlaza de verwerking van persoonsgegevens.
– Is zij transparant over functies en verwerking van persoonsgegevens.
– Zorgt ze ervoor dat het dossier goed beveiligd is.
3.2 OsteoPlaza houdt een register van verwerkingsactiviteiten bij voor deze verwerkingen van persoonsgegevens. Hierin worden alle verwerkte soorten persoonsgegevens genoemd. Als een cliënt een klacht indient tegen de osteopaat, worden die gegevens ook door OsteoPlaza verwerkt.
4. Ten einde Data Protection Impact Assessment (DPIA)
4.1 OsteoPlaza maakt gebruik van Google Analytics om te analyseren hoe gebruikers de website gebruiken en hoe effectief de A4.1 DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Binnen de AVG worden drie situaties genoemd waarbij sprake is van verhoogd risico:
– Systematisch en uitvoerig persoonlijke aspecten evalueren.
– Op grote schaal bijzondere persoonsgegevens verwerken.
– Op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied.
4.2 Naast de criteria uit de AVG heeft de werkgroep van Europese privacytoezichthouders negen criteria opgesteld om te bepalen of een DPIA nodig is. OsteoPlaza kan te maken hebben met drie van deze criteria:
– Gevoelige gegevens.
– Grootschalige gegevensverwerking.
– Gegevens over kwetsbare personen.
4.3 De privacytoezichthouders beschouwen de verwerking van bijzondere persoonsgegevens door individuele artsen niet als grootschalig, dus hoeven zij geen DPIA uit te voeren. OsteoPlaza hoefde dit ook niet te doen, maar erkende dat medische dossiers gevoelige persoonsgegevens bevatten en een hoge mate van vertrouwelijkheid vereisen. Daarom zette OsteoPlaza zich in om deze gegevens vertrouwelijk te houden. De geregistreerde gegevens waren alleen bedoeld voor intern gebruik en hielpen de osteopaat de cliënt zo goed mogelijk van dienst te zijn bij het behandelen van klachten en om de ziektekostenverzekering zo veel mogelijk te laten vergoeden.
4.4 Zodra de Autoriteit Persoonsgegevens (AP) een lijst met verplichte DPIA-verwerkingen publiceert, zal OsteoPlaza haar verwerking van persoonsgegevens opnieuw bekijken om te bepalen of aanvullende maatregelen nodig zijn.
words-advertenties zijn. De verkregen informatie, inclusief je IP-adres, wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Lees het privacybeleid van Google voor meer informatie, inclusief over Google Analytics.
5. Privacy by design & privacy by default
5.1 Privacy door ontwerp en door standaardinstellingen voor producenten: OsteoPlaza is producent van een dienst die ondersteund wordt door de verwerking van persoonsgegevens. OsteoPlaza houdt rekening met het recht op bescherming van persoonsgegevens bij de ontwikkeling van de dienst. Met inachtneming van de stand van de techniek ziet OsteoPlaza erop toe dat verwerkingsverantwoordelijken en verwerkers hun verplichtingen inzake gegevensbescherming kunnen nakomen.
5.2 OsteoPlaza let daarbij op:
– Minimaliseren van de verwerking van persoonsgegevens.
– Alleen het BSN noteren, zonder een kopie te maken van paspoort/ID-kaart.
– Transparantie over functies en verwerking van persoonsgegevens.
– Betrokkenen in staat stellen om controle uit te oefenen op de informatieverwerking.
– Beveiligingskenmerken creëren en verbeteren.
6. Functionaris voor de gegevensbescherming
6.1 Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet als grootschalige verwerker wordt gezien. Daarom was het instellen van een functionaris gegevensbescherming (FG), ondanks dat het om bijzondere persoonsgegevens gaat, niet noodzakelijk.
6.2 OsteoPlaza benadrukt opnieuw zich te realiseren dat ze vertrouwelijke persoonsgegevens verwerkt. Ze heeft echter alle maatregelen genomen om ervoor te zorgen dat de gegevens van cliënt en niet voor andere doeleinden worden gebruikt dan bedoeld.
De website van OsteoPlaza maakt gebruik van een betrouwbaar SSL-certificaat om ervoor te zorgen dat je persoonsgegevens niet in verkeerde handen vallen.
Als je denkt dat je gegevens niet goed beveiligd zijn, aanwijzingen van misbruik hebt, of meer informatie wilt over de beveiliging van door OsteoPlaza verzamelde gegevens, neem dan contact op via info@osteoplaza.nl.
7. Meldplicht datalekken
7.1 Een datalek in de zin van de AVG is een inbreuk op de beveiliging van persoonsgegevens. Dit kan leiden tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot verwerkte persoonsgegevens. Naast het hacken van gegevens kan dit ook gaan om informatie op een verloren laptop of een onbeveiligde website met openstaande persoonsgegevens.
7.2 Een inbreuk betekent dat er daadwerkelijk een beveiligingsincident is geweest, waarbij de preventieve maatregelen niet voldoende waren om dit te voorkomen.
7.3 OsteoPlaza zal elk datalek aan de AP melden, tenzij het onwaarschijnlijk is dat het een risico vormt voor de rechten en vrijheden van natuurlijke personen. OsteoPlaza stelt de AP binnen 72 uur na ontdekking op de hoogte, zelfs als nog niet alle informatie beschikbaar is. Bovendien meldt OsteoPlaza het datalek onverwijld aan de betrokkenen als er sprake is van een hoog risico.
7.4 Om te bepalen of er een hoog risico is, voert OsteoPlaza eerst nader onderzoek uit. Het datalek wordt gedocumenteerd in een overzicht van datalekken binnen OsteoPlaza. Hierin worden de feiten en gevolgen van de inbreuk en de genomen corrigerende maatregelen vastgelegd.
8. Verwerkersovereenkomsten
8.1 OsteoPlaza maakt gebruik van de diensten van Crossuite Netherlands voor de verwerking van persoonsgegevens in een cliënt beheerplatform. Dit bedrijf wordt daarom als een verwerker beschouwd. Om te zorgen dat Crossuite voldoet aan de vereisten van de AVG, heeft OsteoPlaza een verwerkersovereenkomst met hen afgesloten.
8.2 Binnen deze overeenkomst zijn in ieder geval de volgende zaken geregeld:
– Het onderwerp en de duur van de verwerking.
– De aard en het doel van de verwerking.
– Het soort persoonsgegevens en de categorieën betrokkenen.
– De rechten en verplichtingen van de verwerkingsverantwoordelijke.
– De persoonsgegevens worden alleen verwerkt onder schriftelijke instructie van OsteoPlaza.
– Waarborging dat toegang tot die gegevens beperkt is tot gemachtigde personen, die gebonden zijn aan geheimhouding.
– De verwerker hanteert minimaal hetzelfde niveau van beveiliging als OsteoPlaza.
– De verwerker ondersteunt OsteoPlaza bij het nakomen van verplichtingen rond de rechten van betrokkenen.
– Verwerker zal OsteoPlaza bijstaan bij het voldoen aan beveiligings- en meldplichtverplichtingen.
– Na beëindiging van de overeenkomst wist of retourneert de verwerker alle persoonsgegevens en verwijdert bestaande kopieën.
– OsteoPlaza ontvangt alle informatie die nodig is om aan de verplichtingen van de verordening te voldoen en audits mogelijk te maken.
– Verwerker maakt inzichtelijk welke afspraken hij maakt met subverwerkers.
– Verwerker vermeldt goedgekeurde gedragscodes en certificeringsmechanismen.
– Verwerker garandeert dat hij aan alle verplichtingen van de AVG voldoet.
9. Leidende toezichthouder
OsteoPlaza moet bepalen onder welke toezichthouder ze valt. OsteoPlaza heeft twee vestigingen in Amsterdam op Nederlands grondgebied. Daarom is de leidende toezichthouder voor OsteoPlaza de Autoriteit Persoonsgegevens in Nederland.
10. Toestemming
10.1 Voor bepaalde gegevens is toestemming van de betrokkene nodig, zoals voor bijzondere categorieën van persoonsgegevens. Ook voor het verwerken van het BSN is expliciete toestemming nodig, omdat osteopaten verplicht zijn dit nummer te gebruiken bij correspondentie met zorgverleners. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met cliënt en te bespreken en bij die verwerking expliciet te vermelden of de cliënt toestemming heeft gegeven voor die verwerking.
10.2 OsteoPlaza zal op de volgende manier toestemming vragen. Bij de intake ontvangt de cliënt een overzicht van de afspraken, die worden besproken en schriftelijk bevestigd. Hierbij wordt om een ontvangstbevestiging gevraagd. Deze opdrachtbevestiging bevat de belangrijkste informatie over wat de cliënt kan verwachten van de osteopaat. Het bevat:
– Vermelding dat persoonsgegevens worden verwerkt en om welke het gaat.
– Toestemming van de cliënt voor deze verwerking.
– De rechten van de cliënt met betrekking tot gegevensverwerking en verwijzing naar het reglement op de website.
– De bewaartermijn(en) van persoonsgegevens.
– De mogelijkheid om een klacht in te dienen bij het NOF.
– Het consulttarief van OsteoPlaza.
11. Slotwoord
OsteoPlaza gaat ervan uit dat dit privacybeleid voldoet aan alle vereisten van de AVG. Ze is zich bewust van de nieuwe regelgeving en dat nog niet alle facetten even duidelijk zijn. OsteoPlaza volgt de aanpassingen, beslissingen en het nieuws van de AP, zodat ze tijdig maatregelen kan nemen om deze beleidsregels aan te scherpen of bij te snijden.