Inleiding

De AVG (GDPR) is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene van wie de gegevens zijn bepaalde rechten. Naast deze algemene wet gelden specifieke regels voor de privacy in de gezondheidszorg. Deze regels staan onder andere vermeld in de Wet Geneeskundige Behandelingsovereenkomst (WGBO). Dit privacyreglement is bedoeld om u te informeren over uw rechten en onze plichten die gelden op grond van de AVG en de WGBO.

Stichting Jeugdcoach kan diverse persoonsgegevens van u vragen, registreren en vervolgens verwerken. Wanneer wij hiernaar vragen, dit opslaan en verwerken dan is dat noodzakelijk om u medisch goed te kunnen behandelen en is dat nodig voor het financieel afhandelen van de behandeling. Daarnaast kan verwerking noodzakelijk zijn voor, bijvoorbeeld, de bestrijding van ernstig gevaar voor uw gezondheid of ter voldoening aan een wettelijke verplichting.

Begripsomschrijvingen:

Persoonsgegeven(s): Ieder gegeven dat informatie verschaft over de identiteit van een persoon.

Gezondheidsgegeven(s): Alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.

Bestand: Een gesorteerde verzameling van gegevens van verschillende personen (in dit geval cliënten).

Verwerken: Elke handeling die betrekking heeft op persoonsgegevens. Hieronder vallen in ieder geval: wijzigen, verzamelen, vastleggen, ordenen, bewaren, bijwerken, opvragen, raadplegen, gebruiken, samenbrengen, afschermen, uitwissen, vernietigen, verstrekken enzovoorts.

Verantwoordelijke: Degene die (formeel-juridisch) het doel en de middelen van de verwerking vaststelt.

Betrokkene: De persoon wiens persoonsgegevens worden verwerkt.

Vertegenwoordiger: Wettelijke vertegenwoordiger (bijvoorbeeld een ouder, voogd, of ander familielid) van een betrokkene die jonger is dan 16 jaar of onder curatele is gesteld.

Bewerker: Degene die in opdracht van de verantwoordelijke persoonsgegevens bewerkt.

Ontvanger: Degene aan wie de persoonsgegevens worden verstrekt.

Derden: ieder ander dan de betrokkene, Stichting Jeugdcoach, de bewerker, of degene(n) die onder gezag van Stichting Jeugdcoach of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken.

Verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens.

Informatie over Stichting Jeugdcoach

Stichting Jeugdcoach is gevestigd in Eindhoven en ingeschreven onder inschrijvingsnummer 80971725 in het Handelsregister van de Kamer van Koophandel. Voor vragen over het privacy statement is Stichting Jeugdcoach bereikbaar op telefoonnummer 0646899640. Ook kunt u contact opnemen per e-mail. Het e-mailadres is info@jeugdcoach.nl. De contactgegevens van de Functionaris voor de Gegevensbescherming van Stichting Jeugdcoach: H.Amouri, 0646899640

Reikwijdte

Dit privacyreglement is van toepassing op alle (persoons-) gegevens die Stichting Jeugdcoach op welke manier dan ook verwerkt.

Doel van dit protocol

Het doel bij het verwerken van persoonsgegevens van cliënten is het zo breed mogelijk in kaart brengen van alle benodigde informatie over een cliënt, zodat wij de zorgverlening hier zo goed mogelijk op kunnen laten aansluiten. Ook kunnen wij door informatie te verzamelen ons kwaliteitssysteem hanteren (en daarmee de kwaliteit van onze zorg verbeteren) en kunnen wij alle beslissingen omtrent onze zorg aan cliënten verantwoorden aan derden. Dit werkt in het voordeel van zowel onze cliënten, als onze medewerkers. Denk hierbij bijvoorbeeld maar aan de urenregistratie (waardoor de geleverde zorg verantwoord kan worden en personeel uitbetaald).

Grondslagen voor de gegevensverwerking

Natuurlijk verwerken wij niet zomaar alle gegevens. Er zijn bepaalde eisen en omstandigheden waaraan de verwerking van gegevens moeten voldoen. Zo gelden voor Stichting Jeugdcoach de volgende voorwaarden waaronder gegevens mogen worden verwerkt:

  • De betrokkene heeft ondubbelzinnig toestemming verleend;
  • De verwerking is noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst;
  • De verwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting;
  • De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene (zoals een ernstig gevaar voor de gezondheid);
  • De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang;
  • De verwerking is noodzakelijk voor een goede vervulling van een publiekrechtelijke taak;

Daarnaast mogen de verwerkte gegevens niet bovenmatig zijn en moeten deze altijd juist, nauwkeurig, toereikend en ter zake dienend zijn. Daarom hanteren we bij Stichting Jeugdcoach de volgende drie categorieën waaruit wij gegevens verzamelen:

  • Personalia/identificatiegegevens
  • Financiële/administratieve gegevens
  • Gezondheidsgegevens

Informatieverstrekking

De betrokkene (zowel cliënt als werknemer) dient altijd geïnformeerd te worden over de verwerking van persoonsgegevens. Voor een cliënt geldt dat tijdens de intake duidelijk wordt gemaakt dat er sprake is van persoonsgegevensverwerking. Er gaat een kopie van dit reglement in het zorgdossier, welke de cliënt in eigen beheer houdt. Voor de medewerkers geldt dat tijdens een sollicitatiegesprek wordt aangegeven dat er persoonlijke gegevens van die (potentiële) werknemer worden verzameld. Zij krijgen een handboek mee, waarin ook dit privacyreglement is toegevoegd.

Verstrekken van persoonsgegevens

Binnen Stichting Jeugdcoach worden persoonsgegevens van cliënten of medewerkers zonder toestemming van betrokkene verstrekt aan medewerkers indien dit voor hun taakuitoefening noodzakelijk is. Buiten Stichting Jeugdcoach wordt er altijd afgewogen of het strikt noodzakelijk is om verzamelde persoonsgegevens te verstrekken. Onder andere op basis van het doel en de gevolgen van de verstrekking, de aard van de gegevens, de getroffen waarborgen en de verwachtingen van de betrokkene wordt bekeken of het noodzakelijk is om gegevens te verstrekken.

Er zijn zes gronden waarop Stichting Jeugdcoach persoonsgegevens zou mogen verstrekken aan derden. Deze zes gronden zijn: de toestemming (er moet altijd toestemming worden verleend), de overeenkomst (een overeenkomst moet kunnen worden nageleefd), de wettelijke verplichting (soms ben je wettelijk verplicht om een instantie van alle relevante informatie te voorzien), een vitaal belang van de betrokkene (in geval van een dringende medische noodzaak), de uitvoering van een publiekrechtelijk taak (dit geldt voor overheidsorganen) en het gerechtvaardigd belang (de rechten en het belang van de betrokkene moet worden afgewogen tegen het belang van het verstrekken van de gegevens). Indien Stichting Jeugdcoach overgaat tot verstrekking van persoonsgegevens, moet er altijd sprake zijn van één van deze zes gronden.

Beroepsgeheim

Verstrekking van gegevens aan andere organisaties is niet toegestaan indien een ambts- of beroepsgeheim zich daartegen verzet. Indien dat het geval is, mag Stichting Jeugdcoach uitsluitend met toestemming van de betrokkene de gevraagde informatie verstrekken. Er zijn echter ook een aantal uitzonderingen opgenomen, zoals wanneer medische gegevens verstrekt moeten worden aan personen die noodzakelijkerwijs bij de behandeling van een patiënt betrokken zijn, de zogenaamde ‘functionele eenheid’.
In beginsel is een organisatie niet verplicht om gegevens te verstrekken indien de politie hierom verzoekt, omdat de verzamelde persoonsgegevens in vertrouwen zijn verkregen. Er zijn echter uitzonderingen, namelijk wanneer de politie verzoekt om noodzakelijke gegevens ter voorkoming, opsporing of vervolging van strafbare feiten, vervalt een aantal eisen uit de AVG. In deze situatie is een bedrijf genoodzaakt mee te werken aan het verzoek, zolang de politie kan uitleggen op welke wettelijke gronden de gegevens verstrekt dienen te worden. In de AVG zijn namelijk een aantal regelingen opgenomen op grond waarvan de werkgever verplicht is gegevens te verstrekken.

Er zijn ook situaties waarin bedrijven niet verplicht zijn om gegevens te verstrekken. Indien de politie niet aangeeft op grond van welke wettelijke regeling de
informatie verstrekt dient te worden, is het niet verplicht om aan dit verzoek te voldoen. In veel gevallen mag een bedrijf dan zelfs niet eens meewerken, vanwege het vertrouwen waarmee de gegevens zijn verzameld. Om deze reden dienen medewerkers van Stichting Jeugdcoach altijd om een schriftelijk informatieverzoek van de politie te vragen, waarin duidelijk de grond van een wettelijke regeling wordt vermeld.

Het kan voorkomen dat de politie verzoekt om een vrijwillige medewerking. Hier moet altijd worden afgewogen of het gerechtvaardigd is om de persoonsgegevens alsnog te vertrekken. Dit dient altijd te kunnen worden verantwoord en getoetst op grond van bovenstaande (uitzonderings-) gronden uit de AVG. Als er gegevens worden verstrekt aan de politie dient de betrokkene hier altijd van op de hoogte te worden gesteld.

Aansprakelijkheid

In Stichting Jeugdcoach persoonsgegevens aan de politie verstrekt zonder dat dit mag of wij daartoe verplicht zijn, kan de betrokkene Stichting Jeugdcoach daarvoor aansprakelijk stellen. Dus als de politie ons vraagt om gegevens te verstrekken, zullen wij altijd zoveel mogelijk informatie van hen vragen en, indien nodig, bedenktijd om het verzoek van de politie te kunnen overwegen. Hierbij zullen wij tevens juridisch advies inwinnen.

Rechten van de betrokkene

Elke betrokkene heeft het recht op inzage in zijn persoonsgegevens. Indien er door een betrokkene een verzoek tot inzage wordt gedaan, dient dit altijd schriftelijk te worden ingediend bij het bestuur van Stichting Jeugdcoach Hier wordt schriftelijk op gereageerd, tenzij een gewichtig belang van de betrokkene een andere vorm vergt. De gevraagde inzage en/of het gevraagde afschrift zal uiterlijk binnen vier weken plaatsvinden. Een verzoeker dient zich in zulke gevallen altijd te legitimeren voor inzage. Voor verstrekking van een schriftelijk afschrift mag een financiële vergoeding in rekening worden gebracht, ter hoogte van maximaal €4,50.

Als de betrokkene Stichting Jeugdcoach om inzage verzoekt, dienen wij de betrokkene op een duidelijke manier te informeren welke gegevens wij van hem gebruiken, wat het doel is van dit gebruik en aan wie zij deze informatie hebben verstrekt. Indien er gegevens aan de politie zijn versterkt (waarbij er wel of geen sprake is van verplichting) is het altijd verstandig om dit schriftelijk te doen. Daarnaast wordt altijd in onze eigen administratie vastgelegd welke exacte gegevens zijn verstrekt aan de politie.

Tevens heeft de betrokkene recht op afscherming van gegevens. Dat wil zeggen dat hij of zij mag verzoeken om bepaalde gegevens af te schermen voor derden. Een verzoek hiertoe dient schriftelijk te worden ingediend.

Ook mag een betrokkene zich verzetten tegen het verwerken van zijn of haar gegevens. Ook dit dient schriftelijk te worden ingediend bij Stichting Jeugdcoach

Correctie van persoonsgegevens

De betrokkene kan de verantwoordelijke van Stichting Jeugdcoach schriftelijk verzoeken de opgenomen persoonsgegevens te verbeteren, aan te vullen, te verwijderen, af te schermen of op een andere manier er voor te zorgen dat de onjuiste gegevens niet langer worden gebruikt. Hierbij moet sprake zijn van feitelijke onjuistheden, een onvolledig of niet ter zake dienend doel van verwerking of in strijd met een wettelijk voorschrift. Een verzoek tot correctie bevat in ieder geval de aan te brengen wijzigingen. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of en in hoeverre hij aan het verzoek zal voldoen. Een eventuele (gedeeltelijke) weigering op dit verzoek zal te allen tijde moeten worden onderbouwd door redenen van afwijzing. De verantwoordelijke draagt zorg dat de beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.

In geval van correctie van de gegevens zal de verantwoordelijke derden aan wie de (onjuiste) gegevens zijn verstrekt van de wijziging op de hoogte stellen, voor zover dit redelijkerwijs mogelijk is.

Beveiliging van gegevensverwerking

De verantwoordelijke binnen Stichting Jeugdcoach neemt passende technische en organisatorische voorzorgsmaatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Zo mogen medewerkers van Stichting Jeugdcoach alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn. Computers zijn beveiligd met wachtwoorden, zodat ongeautoriseerd personeel hier geen toegang toe heeft. Daarnaast wordt er een back-up opgeslagen van alle gegevens die Stichting Jeugdcoach tot haar beschikking heeft, zodat deze nooit verloren kunnen gaan.

Stichting Jeugdcoach maakt gebruik van Google drive om uw gegevens te registreren. Voor de beveiliging van de gegevens van cliënten en medewerkers verwijzen wij naar de privacy policy van Google drive. Deze wordt van tijd tot tijd aangepast. Wij zorgen ervoor dat wij altijd de laatste versie lezen en filteren op belangrijke wijzigingen.

Bewaartermijnen gegevens

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor deze zijn verzameld of verwerkt. Met inachtneming van de wettelijke voorschriften heeft Stichting Jeugdcoach de bewaartermijn van de in de registratie(s) opgenomen persoonsgegevens van cliënten in eerste aanleg vastgesteld op vijf jaar vanaf het moment dat deze zijn vervaardigd. Persoonsgegevens van medewerkers worden tevens vijf jaar nadat de medewerker uit dienst is getreden bewaard.

Verantwoordelijkheid van de bewerker

De verantwoordelijke verplicht de bewerker dit privacyreglement na te leven. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Ook de bewerker treft de benodigde maatregelen om de gegevens te beveiligen.

Anonieme gegevens

Indien de persoonsgegevens zijn geanonimiseerd kan de verantwoordelijke beslissen om deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie. Geanonimiseerd houdt in dit kader in dat de verstrekte gegevens redelijkerwijs niet tot de individuele persoon herleidbaar zijn.

Personeelsgegevens

Tijdens de sollicitatieprocedure mag de werkgever aan de sollicitant enkel vragen stellen over aspecten die voor de functie en/of voor de functievervulling relevant zijn. De ingewonnen informatie dient vertrouwelijk en zorgvuldig te worden behandeld. Als een werkgever inlichtingen of strafrechtelijke gegevens over de sollicitant wil inwinnen bij derden, zal hij vooraf toestemming moeten vragen aan de sollicitant. De beoogde informatie moet direct verband houden met de te vervullen vacature en mag geen onevenredige inbreuk maken op de persoonlijke levenssfeer van de sollicitant. Resultaten van een psychologische test of de uitslag van een medische keuring mogen alleen na toestemming van de sollicitant aan de werkgever, de opdrachtgever, verstrekt worden. Indien de sollicitant hierom verzoekt, dient de werkgever de persoonsgegevens uiterlijk vier weken na beëindiging van de sollicitatieprocedure te verwijderen. Tenzij de sollicitant toestemming geeft om deze gegevens voor een langere periode (na beëindiging van de sollicitatieprocedure) te bewaren.

Bij een faillissement, fusie of overname mogen personeelsdossiers worden overgedragen aan een ander bedrijf mits wordt voldaan aan de volgende waarborgen om de privacybelangen van de werknemers te beschermen:

  • De overdracht wordt aangekondigd in een daarvoor geschikt medium, zoals een info- mail, schriftelijke notificatie of personeelsblad.
  • De werknemers krijgen de mogelijkheid bepaalde gegevens te laten verwijderen en bezwaar aan te tekenen tegen de overdracht. Indien geen bezwaar is aangetekend, kan worden uitgegaan van veronderstelde toestemming van de werknemer voor de overdracht.
  • Alleen de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst mogen worden overgedragen. In een dergelijk geval zullen personeelsdossiers moeten worden opgeschoond en niet meer relevante gegevens moeten worden verwijderd.

Klachten over de verwerking en bewaking van persoonsgegevens

Als u vermoedt dat uw persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet, dan kunt u een privacy klacht indienen bij de Autoriteit Persoonsgegevens (AP). Zij nemen iedere klacht in behandeling. De manier waarop zij dat doen verschilt per klacht. U ontvangt altijd een reactie van de AP op uw klacht.

Let op: u kunt alleen een klacht indienen over de verwerking van uw eigen persoonsgegevens, niet over de gegevens van iemand anders. Voor meer informatie over wanneer, waarover en hoe u een klacht kunt indienen zie; https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap

U kunt ons ook een tip geven. Een tip beschouwen we als een belangrijk signaal voor ons toezicht, maar leidt niet tot een individueel onderzoek. Een tip geven kunt u ook anoniem doen, een klacht indienen niet.

Twijfelt u of u een klacht wilt of kunt indienen bij de AP, dan kunt u bellen met 088 – 1805 250. Heeft u een klacht over spam? Geef die dan niet door aan de AP, maar aan de Autoriteit Consument & Markt (ACM). Dit doet u via Spamklacht.nl.
Ga verder om een klacht in te dienen. https://www.autoriteitpersoonsgegevens.nl/nl/voordat-u-een-klacht-indient