Privacyreglement

Inleiding
Het privacyreglement is van toepassing op de gehele verwerking van alle gegevens betreffend de deelnemer binnen de organisatie Cura Twente.
In dit reglement is ook opgenomen het waarborgen van een deelnemergerichte omgeving bij het verrichten van ADL door aparte ruimtes beschikbaar te stellen voor persoonlijke hygiëne of een persoonlijk gesprek.

Doel
Het doel van het reglement is uitleg te geven van de verwerking van deelnemersgegevens binnen de organisatie Cura Twente. En het waarborgen van privacy bij persoonlijke hygiëne of een persoonlijk gesprek.

Regels voor het verwerken en bewaren van gegevens
Alle persoonsgegevens worden op behoorlijke en zorgvuldige wijze verwerkt en bewaard. Dossiers worden bewaard in een afgesloten kast en zijn digitaal in beheer onder verantwoordelijkheid van de leidinggevende.

De leidinggevende en begeleiders zijn verantwoordelijk voor de naleving van de beveiligingsmaatregelen.

  • De toestemming van deelnemer en/of vertegenwoordiger is vereist bij de hem betreffende gegevensverwerking.
  • Gegevens die elders zijn verkregen worden aan betrokkene en/of vertegenwoordiger meegedeeld op het moment van vastlegging.
  • Persoonsgegevens betreffend de gezondheid van een deelnemer kunnen aan derden worden verstrekt (gezondheidszorg, maatschappelijke dienstverlening) die betrokken zijn bij de cliënt. Voor alle betrokkenen is geheimhouding verplicht.
  • De deelnemer en/of vertegenwoordiger heeft inspraak om persoonsgegevens te wijzigen of te veranderen.
  • De zorggegevens worden 10 jaar bewaard.
  • Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het verwerken van de doeleinden (begeleidingsplan).


Toezien op privacy bij persoonlijke hygiëne of een persoonlijk gesprek

  • Bij toiletgang of verschonen van deelnemers wordt gelet op de privacy van de deelnemer door dit in een afgeschermde ruimte te doen.
  • Wil de deelnemer een gesprek onder 4 ogen dan wordt er in de naast gelegen ruimte gesproken, buiten het gehoor van derden. Dit geld ook vanuit het oogpunt van de begeleiding. Bij persoonlijke zaken wordt de deelnemer apart gesproken buiten gehoor afstand van derden


Klachten

Als de deelnemer en/of vertegenwoordiger van mening is dat het reglement niet wordt nageleefd kan hij/zij in dialoog met de betrokkene of leidinggevende, biedt dit geen oplossing dan kan de deelnemer en/of vertegenwoordiger zich wenden tot de klachtenfunctionaris.


Pagina 3 bijlage privacy op persoonsgegevens, datalekken en beveiliging hiervan binnen Cura Twente


Beleid ten behoeve van de privacy op persoonsgegevens, datalekken en beveiliging hiervan binnen Cura Twente
Het privacyreglement van Cura Twente is van toepassing op de gehele verwerking van alle gegevens betreffend de deelnemer binnen de organisatie Cura Twente. Zie privacyreglement zelf.

Maar ook delen van de beroepshouding. Zie beroepscode.

Privacy is breder dan dat, daar horen ook afspraken en verantwoordelijkheden binnen een organisatie bij.

Begeleiders/mentoren/medewerkers -en persoonsgegevens
Iedere mentor heeft een aantal deelnemers onder zich. Documenten behorend bij de begeleiding en besprekingen die de deelnemer jaarlijks kent maar ook NAW en andere personalia zoals gegevens over medische aandoeningen en beperkingen of syndromen, vallen rechtstreeks onder verantwoording van de organisatie. Maar in de uitvoer ook ten deel van de verwerker ( in de meeste gevallen de mentor/begeleider/medewerker).

Daarvoor is het nodig afspraken duidelijk uit te schrijven.

  • Begeleiders/mentoren/medewerkers die bevoegd zijn voor het verwerken van persoonsgegevens zijn zich bewust dat dit alles een grote verantwoordelijkheid is. In acht nemend de beroepshouding en de privacy van de deelnemer van Cura Twente. Zie daarvoor ook deze regelementen.
  • Digitale systemen zijn door individuele inlog beveiligd, bij het afsluiten van programma’s of bestanden dient dan ook uitgelogd te worden. Hardcopy dossiers worden ten alle tijd goed opgeborgen achter gesloten deuren. In de ruimte en de kast die hiervoor is ingericht. Ook als de begeleider maar heel even iets anders moet doen.
  • Er worden geen persoonsgegevens gemaild met naam en toenaam of die te herleiden zijn naar de deelnemer, diens familie, woonadres of besproken met derden. Deze worden in Zilliz verstuurd of op de post gedaan.
  • Cura Twente kent Zilliz een cliëntsysteem dat ingezet wordt voor rapportage naar ouders en vertegenwoordiger, waarvoor ouders/vertegenwoordigers voor geautoriseerd zijn om op afstand middels inlog het dossier en de rapportage te bekijken. Ouders/vertegenwoordigers kunnen ook POP’s vanuit inzien. Woonlocaties kunnen alleen rapportages inzien. (moet nog ingericht worden)
  • Lokale overheden zoals de WMO en het zorgkantoor (Zotoweb) maar ook het CAK en de NZA, kennen we software als o.a VECOZO. Dat is een beveiligd portaal voor uitwisseling van persoonsgegevens, zorgorganisatieportaal. De backofficemedewerker, Zilliz en de initiatiefneemster en de verwerkingsmedewerker zijn hiermee belast en hebben ook alleen rechten en inlog voor.
  • Zowel voor de medewerkers mail als voor de inlog van Zilliz, het cliëntsysteem geld in een unieke inlogcode per medewerker. Elke medewerker is zich bewust hier heel vertrouwelijk mee om te gaan. Deze wachtwoorden dus niet delen met derden.
  • Voor de opslag van documenten met deelnemers gegevens en de onderlinge uitwisseling hiervan wordt vanaf mei gebruik gemaakt van office 365. Elke medewerker krijgt hiervoor een individuele inlog en bijbehorende rechten voor toegang tot voor hem of haar relevantie gegevens.
  • De medewerker die belast is met de taak van up-daten van portalcertificaten zoals VECOZO, CAK maar ook Zilliz en IT aanspreekpunt (de samenwerkingen die de waarborging van deze bescherming bieden), het onderhouden en bij sturen naar de laatste wettelijke inzichten heeft ook de taak van functionaris gegevensbescherming.   Tot zijn taken behoort het melden en afhandeling van een eventuele data lek.


Onderhoud en beveiliging computersCura Twente heeft een contract met “IT-aanspreekpunt”, zij doen jaarlijks en tussen door het onderhoud aan de computers van Cura Twente. Computers (laptops) waar gewerkt met persoonsgegevens zijn beveiligd door het service pakket dat Cura Twente afneemt maandelijks. Inhoudende;

  • Monitoring PC/Laptop/server om preventief problemen te voorkomen
  • Wij worden op de hoogte gesteld van een gedetecteerd probleem
  • Wekelijks worden de apparaten voorzien van een window ( en laatste ) up-date
  • Periodiek wordt er een systeem herstelpunt gemaakt
  • De apparaten zijn voorzien van een premium antivirus product
  • Standaard gebruikersmappen worden om de 2 uur geback-upt die elke week/maand gedaan zijn
  • Calamiteiten worden gemeld aan Cura Twente.

Gegevensverwerking van medewerkers
Gegevens die Cura Twente opslaat van haar medewerkers zijn volgens de wettelijke richtlijnen zoals wet op loonbelasting. Zo worden kopie ID ter persoonsregistratie opgeslagen, maar zaken omtrent functioneren.

Voor verloning van gewerkte uren wordt een registratie bijgehouden en digitaal uitgewisseld met de externe salarisadministratie. De salaris administratie mailt de loonstroken en jaaropgaven. Medewerkers geven middels dit formulier toestemming dat zij akkoord zijn om zo de salarissen tijdig te kunnen betalen. Deze gegevens worden uitgewisseld via het algemene mailadres en d.m.v. een inlogcode benaderbaar voor de initiatiefneemster.

Wat is een datalek?
We spreken van een data lek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een data lek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een data lek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Als een bedrijfstelefoon verloren of gestolen wordt, dan is dat mogelijk een datalek. Als een privé-telefoon kwijtraakt is er geen data lek (de Wbp is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden).

Melden van een data lek
De medewerker is verplicht te melden bij de directie/initiatiefneemster, wanneer er informatie verkeerd geadresseerd is, dan wel niet voldaan heeft aan de wet privacy van persoonsgegevens of bescherming daarvan.
In overleg met de initiatiefneemster wordt er na gegaan of er sprake is van een data lek. Betrokkenen of diens vertegenwoordig worden geïnformeerd. Of het nu wel of geen data lek is.
Indien er een data lek is of vermoeden van dan word er contact gezocht met de autoriteit persoonsgegevens (AP) en eventueel na overleg overgegaan tot melding. autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens
Betrokkenen of diens vertegenwoordiging wordt op de hoogte gebracht van deze uitkomst en stappen die er wel/niet genomen moeten worden.

Camerabeleid
Cura Twente kent camera bewaking om tijdens de pauzes maar ook drukke moment goed overzicht te houden en te hebben op de deelnemers in verschillende ruimtes. Maar ook inzicht hebben van toegang van onbevoegden. Zij kunnen ook ondersteunend zijn bij b.v. inbraak. De gegevens worden 2 ed malen bewaard daarna zijn ze d.m.v. een update automatisch verdwenen. Alleen de initiatiefneemster/directeur heeft toegang tot deze beelden. Middels een inlogcode. Ouders zijn op de hoogte van dit Camerabeleid. En hebben hier goedkeuring voor gegeven middels de ouderavond van 20-10-2015 en onlangs via het beleid vrijheid beperkende maatregelen.

Sleutel – en afsluit/toegangsbeleid tot de dagbesteding
Medewerkers zijn alleen bevoegd zich tijdens hun dienst toegang te verschaffen tot het gebouw van de dagbesteding middels alarm druppels en toegangssleutels van de groepsruimten. Ook mogen zij alleen tijdens het uitvoeren van de dienst bezig zijn met deelnemers-organisatie gegevens. Het is niet toegestaan organisatiegegevens ( alle gegevens die van de organisatie, de deelnemers of medewerkers zijn) op te slaan op stick, schijf of anders. Ook is het niet toegestaan op afstand organisatiegegevens te benaderen.



Op te vragen verwerkingsovereenkomst, b.v. door de inspectie of een auditor.


De leidinggevende is tevens initiatiefneemster van Cura.
Deelnemer is het zelfde als cliënt.