Privacystatement

Privacystatement

Persoonsgegevens en onze dienstverlening

De Gemiva-SVG Groep biedt zorg en ondersteuning aan mensen met een beperking. Zij maken gebruik van onze diensten op basis van de Wet langdurige zorg, de Jeugdwet, de Wet op de maatschappelijke ondersteuning 2015, de Regeling zorg asielzoekers of de Zorgverzekeringswet. In onze ‘Visie en waarden’ omschrijven waar die diensten op zijn gericht:

De Gemiva-SVG Groep is er voor mensen die – tijdelijk of langdurig – ondersteuning nodig hebben bij hun leven in de samenleving. We dragen bij aan een zo goed en gewoon mogelijk leven van de mensen die wij ondersteunen. Volgens ons bestaat dat uit:

  • zo veel mogelijk regie over je eigen leven;

  • een plek hebben waar je je veilig en thuis voelt;

  • kunnen leven in contact met anderen en kunnen uitdrukken wat in je leeft;

  • je talenten kunnen gebruiken en bijdragen aan de samenleving;

  • om kunnen gaan met de vragen en problemen die je in je leven tegenkomt.

    In het kader van die dienstverlening verwerken wij persoonsgegevens: we verzamelen, registreren, delen en bewerken informatie over deze cliënten en hun (al dan niet wettelijke) vertegenwoordigers. Dat is nodig om zorg van een deugdelijk professioneel niveau te kunnen verlenen. En om die tegenover bevoegde instanties en vooral de betrokken cliënten zelf te kunnen verantwoorden. We verwerken dus ook gegevens over de gezondheid van cliënten. Dat zijn zogenaamde bijzondere persoonsgegevens. De eerdergenoemde wetten en de wettelijke plicht om ons te verantwoorden vormen daarvoor de grondslag.

     

    Uitgangspunt voor het verwerken van persoonsgegevens

    Ons uitgangspunt is dat we niet meer gegevens vragen en vastleggen dan nodig is om ons werk voor de cliënt goed te kunnen doen. We bewaren die gegevens niet langer dan nodig is en houden ons aan de termijnen die verschillende wetten voorschrijven. Als we gegevens hebben vastgelegd, heeft degene over wie die gegevens gaan het recht op inzage, afschrift, rectificatie, gegevenswissing en het recht om gegevens mee te nemen naar een andere aanbieder. Daar zijn we klip en klaar over. Diegene heeft ook het recht om ons te vragen om te stoppen met het verwerken van zijn persoonsgegevens. Tenzij de wet of onze gerechtvaardigde belangen (bijvoorbeeld om geleverde zorg te kunnen declareren bij de financier) zich daartegen verzet, doen we dat dan ook. We stellen het dan wel op prijs om in gesprek te gaan over de wederzijdse consequenties. Bijvoorbeeld die voor de kwaliteit en de continuïteit van de ondersteuning.

     

    Persoonsgegevens van medewerkers, vrijwilligers en derden

    Omdat we voor het leveren van diensten aan cliënten zijn aangewezen op het draaiend houden van een organisatie met medewerkers en vrijwilligers, registreren we ook hun gegevens. Dat is nodig om salarissen te betalen, onkosten te vergoeden en te voldoen aan wettelijke verplichtingen (bijvoorbeeld die om aan te tonen dat alle medewerkers en vrijwilligers die met of voor cliënten werken over een VOG beschikken). Maar ook om leveranciers te kunnen betalen en onze

verplichtingen tegenover onze financiers (zorgkantoren, zorgverzekeraars, gemeenten) te kunnen nakomen. Er gaat heel wat informatie over mensen om in een organisatie met 5000 cliënten, 3000 medewerkers en 1700 vrijwilligers. En dat raakt in veel gevallen aan persoonsgegevens van burgers. Of ze nu cliënt, vertegenwoordiger, medewerker, vrijwilliger, crediteur, debiteur of anderszins een relatie van ons zijn!

 

Maatregelen om een zorgvuldige verwerking te borgen

Wettelijk zijn we verplicht om de registraties die we bijhouden en waarin persoonsgegevens voorkomen te beschrijven in een register. Dat is overigens nog niet zo eenvoudig, want ‘ongemerkt’ registreerden we in het verleden, omdat de praktijk daartoe uitnodigde, data in allerlei bestanden op uiteenlopende vindplaatsen. Dat in beeld brengen is een enorme klus. Af en toe blijkt het nodig het register aan te passen vanwege een nieuwe ‘ontdekking’.

We moeten ook een functionaris voor de gegevensbescherming aanstellen, de zogenaamde FG. Dat hebben we gedaan door Dirk van der Star als zodanig te benoemen (fg@gemiva-svg.nl). Daarnaast is er een breed samengestelde werkgroep die zich regelmatig buigt over onze verwerkingspraktijk en bekijkt hoe we die in redelijkheid kunnen verbeteren. Om tegemoet te komen aan de verplichting om onze registraties zorgvuldig en met een scherp oog voor privacyrisico’s te beheren, hebben we een programma voor het uitvoeren van privacy-audits opgesteld (DPIA’s). En als we een nieuwe registratie in het leven roepen – omdat dit noodzakelijk is om ons werk goed te kunnen doen – dan gaan we vooraf na of we de beveiliging van de gegevens goed hebben geregeld, of de toegang is beperkt tot de personen die deze gegevens met het oog op het doel van die registratie ook echt nodig hebben en of we niet meer gegevens opslaan dan strikt noodzakelijk is. Ten slotte hebben we een beleid voor informatiebeveiliging opgesteld, dat zowel technische maatregelen bevat als gedragsregels. Maar wat ons betreft is privacybewustzijn het allerbelangrijkst. Iedereen die binnen de Gemiva-SVG Groep met persoonsgegevens omgaat, moet er van doordrongen zijn dat je daar zorgvuldig en fatsoenlijk mee omgaat. Dat geldt overigens niet alleen voor gegevens die in bestanden of in papieren dossiers vastliggen, maar ook voor de spreekwoordelijke gesprekken aan de koffietafel. Ook hier passen we de norm ‘doe een ander niet, wat u niet wilt dat u geschiedt’ toe.

 

Wat betekent dit privacystatement voor mij?

Cliënten en hun wettelijke vertegenwoordigers:

  • vragen wij om de gegevens met ons te delen die we nodig hebben om ons werk goed te kunnen doen;

  • kunnen gebruik maken van hun wettelijk recht om de gegevens die wij in dossiers en registraties over hen hebben vastgelegd in te zien en als zij correctie nodig achten, staan wij open voor het gesprek daarover;

  • mogen er op rekenen dat wij zorgvuldig met hun gegevens omgaan en het aan hen melden als we daarbij onverhoopt fouten maken.

Medewerkers, stagiaires en vrijwilligers:

  • realiseren zich dat zij zorgvuldig met persoonlijke informatie van cliënten en collega’s om moeten gaan;

  • weten dat de toegang tot persoonlijke informatie is gebonden aan de ‘need to know’, vanuit de functie die de medewerker, stagiair of vrijwilliger bij ons vervult;

  • beseffen dat ‘privacybewustzijn’ niet alleen gaat over digitale toegang en dat wat op papier staat, maar ook over de wijze waarop je met collega’s en derden over de ander spreekt;

  • nemen ons databeschermingsbeleid serieus, onder meer door inlognamen en wachtwoorden voor zichzelf te houden, digitale devices niet onbeveiligd en onbeheerd achter te laten en papieren dossiers achter slot en grendel te bewaren;

  • melden een vermoeden van een datalek – zeg maar het risico dat persoonsgebonden gegevens bekend worden bij partijen die daar niets mee van doen hebben – volgens de procedures die we daarvoor hebben.

    Partijen waarmee wij samenwerken en gegevens (moeten) delen:

  • realiseren zich dat we hierin een gezamenlijke verantwoordelijkheid hebben;

  • delen onze opvatting dat het ook hier niet moet gaan om juridisering en het uitsluiten van aansprakelijkheid, maar om het naar de geest – uitlegbaar en toetsbaar – hanteren van de

    toepasselijke regelgeving;

  • helpen ons – zoals ook wij hen helpen – om fouten in het beheer en verwerken van

    persoonsgegevens te voorkomen en ervan te leren.

     

    Vragen?

    Roept dit statement vragen bij je op? Wil je een beroep doen op de rechten die de wet je toekent als het om je privacy gaat? Stuur dan een mail met je vraag naar secretariaat@gemiva-svg.nl. We nemen dan contact met je op om na te gaan hoe we je van dienst kunnen zijn.

    Gouda, juli 2018 Versie 4.0