Meldcode Datalekken en Privacy Schendingen

Meldcode Datalekken en Privacy Schendingen

Laatst bijgewerkt op 16-09-2019

Dit is een meldcode voor gesignaleerde datalekken en schendingen van de privacy. Sinds 1 januari 2016 dienen (mogelijke) datalekken en schendingen van de privacy gemeld te worden bij de Autoriteit Persoonsgegevens.

Referentie:

  • https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken?qa=datalek

Het bevoegd gezag van;

ZvA- ZorgvanAafke/ Maatschappelijke dienstverlening

Dagbesteding/ De Wielen

De groene ster 14(veld A)

8926XE, Leeuwarden

Overwegende dat

  • ZvA verantwoordelijk is voor een goede kwaliteit van de dienstverlening aan zijn cliënten en dat deze verantwoordelijkheid ook aan de orde is in geval van privacy van zijn cliënten,
  • De privacy van de cliënten te allen tijde gewaarborgd dient te worden,
  • ZvA zich aan de bepalingen dient te houden die de Algemene Verordening Gegevensbescherming met zich mee brengt,
  • De Meldplicht Datalekken deel uit maakt van de Algemene Verordening Gegevensbescherming,
  • Onder een Datalek wordt verstaan het verkrijgen van toegang of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Het gaat hierbij op een inbreuk op de beveiliging van persoonsgegevens zoals bedoeld in Artikel 75 van de Algemene Verordening Gegevensbescherming,
  • ZvA voor delen van haar processen gebruik maakt van externe partijen en dat deze partijen daartoe soms dienen te beschikken over privacygevoelige gegevens van cliënten van ZvA.

In aanmerking nemende

  • De Wet bescherming persoonsgegevens (Wbp);
  • Dat per 25 mei 2018 de Wbp wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG).
  • De privacyverklaring van ZvA.

Zorg van Aafke stelt de volgende Meldcode Datalekken en Privacy Schendingen vast, en maakt gebruik van een stappenplan om (potentiële) Datalekken en/of Privacy Schendingen in kaart te brengen en te melden.

Stappen bij (het vermoeden van) een datalek of schending van de privacy

Stap 1 | Is er een sprake van een potentieel datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 75 van de Algemene Verordening Gegevensbescherming. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Bij een datalek kan het gaan om eigen gegevens die onbedoeld bij derden terecht komen, maar ook om gegevens die bij ZvA aan worden gebracht. Het versturen van een e-mail met persoonsgegevens naar een verkeerd mailadres, of het verlies van een USB-stick of laptop, kan een voorbeeld van een datalek.

Stap 2 | Waarschuw indien mogelijk direct de partij die onterecht de beschikking over clientgegevens heeft gekregen dan wel deze met ZvA heeft gedeeld.

Indien deze actie als resultaat heeft dat er met zekerheid kan worden uitgesloten dat het datalek heeft geleid tot onrechtmatige verwerking is er geen sprake meer van een datalek.

Stap 3 | Doe onderzoek naar het datalek

Het is toegestaan om enige tijd onderzoek te doen naar het datalek. Dit dient in principe niet langer dan 72 uur te duren. Uit het onderzoek kan blijken dat er geen melding gedaan hoeft te worden.

Daar waar het gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte Persoonsgegevens, dient er gemeld te worden bij de Autoriteit Persoonsgegevens.

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uit sluiten.

Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

Stap 4 | Doe een melding bij de Autoriteit Persoonsgegevens

Indien vastgesteld is dat er een melding gedaan dient te worden, dient deze binnen 72 uur na ontdekking digitaal gedaan te worden. Indien de melding later plaats heeft zal moeten worden gemotiveerd waarom dit het geval is. De melding moet digitaal gedaan worden op:

https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0

Stap 5 | Stel vast of de betrokkene op de hoogte gesteld dienen te worden van het datalek.

Indien een datalek is opgetreden is er niet automatisch de noodzaak om ook de betrokkene op de hoogte te stellen. Dit is alleen noodzakelijk indien het datalek grote gevolgen voor de persoonlijke levenssfeer van de betrokkene kan hebben.

Stap 6 | Stel de betrokkene op de hoogte van het datalek.

Indien noodzakelijk dient een persoonlijke melding aan de betrokkene plaats te vinden over de aard van het datalek, instanties waar hij of zij meer informatie kan verkrijgen en de maatregelen die de betrokkene kan nemen om de negatieve gevolgen te beperken. Ook wordt weergegeven welke maatregelen reeds door ZvA zijn genomen om de gevolgen te beperken.

Privacyverklaring

Privacyverklaring

Laatst bijgewerkt op 16-09-2019

ZvA- Zorg van Aafke houdt, om de zorg voor u zo goed mogelijk uit te kunnen voeren, registraties bij van uw administratieve gegevens en de geleverde zorg.

Op deze registraties is per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Deze AVG bevat regels met betrekking tot het doel van de registratie, de aard van de gegevens die worden geregistreerd, het beheer van de gegevens, de personen die toegang hebben tot die gegevens en het inzagerecht van de cliënten. Wij hebben de van toepassing zijnde zaken vastgelegd in onderstaand reglement.

 

Toegang tot het cliëntdossier
1. Behalve de directeur van ZvA heeft ook een beperkt aantal andere personen toegang tot een cliëntdossier dat door ZvA wordt samengesteld. Dit zijn [let op: het is aan de zorgaanbieder om te bepalen welke functies hier van toepassing zijn, bijvoorbeeld]:
a. Leidinggevenden,
b. Begeleiders,
c. Boekhouder/Accountant
d. Assistent begeleiders,
e. Stagiaires,
f. Administratief medewerkers.
De medewerkers die deze functies bekleden hebben allen een geheimhoudingsplicht. Per locatie/afdeling of per cliënt wordt bepaald wie er toegang heeft tot het bij de cliënt behorend cliëntdossier.

2. Alleen gegevens die te maken hebben met de zorg voor de cliënt worden in het cliëntdossier opgeslagen.

3. Alleen medewerkers die direct bij de begeleiding van de cliënt zijn betrokken [zelf definiëren!!] en personen die van de cliënt hiervoor toestemming hebben gekregen, mogen het cliëntdossier inzien.

4. Gegevens van de cliënt worden niet aan derden verstrekt, ook niet aan naaste familie. Gegevens worden pas vrijgegeven nadat de cliënt of diens wettelijk vertegenwoordiger hiervoor schriftelijk toestemming heeft gegeven middels een formulier ‘toestemmingsverklaring’, en voor elke verstrekking van informatie wordt opnieuw om toestemming gevraagd. Ook na overlijden worden de gegevens niet openbaar gemaakt.

Bewaartermijnen
5. Nadat de cliënt begeleid is, worden de gegevens zodanig gearchiveerd dat alleen de hierboven geautoriseerde medewerkers/functies deze gegevens in kunnen zien, met inachtneming van onderstaand:
• Bij volwassenen is de bewaartermijn vijftien (15) jaar.
• Bij minderjarigen start de bewaartermijn vanaf het achttiende levensjaar. Cliënt-gegevens moeten voor hen dus bewaard blijven tot het 34e levensjaar, behalve wanneer zij voortijdig overlijden. In dat geval geldt een bewaartermijn van vijftien jaar vanaf de datum van overlijden.
• Dossiers van overleden volwassenen moeten vijftien jaar bewaard blijven, gerekend vanaf de laatste wijziging in het dossier over de behandeling/begeleiding of het overlijden.
• Fiscale gegevens (omtrent betalingen) dienen zeven (7) jaar bewaard te worden.

Rechten van de cliënt
6. De cliënt c.q. diens wettelijk vertegenwoordiger heeft het recht om de gegevens die over de cliënt zijn vastgelegd in te zien. Wanneer de cliënt of diens wettelijk vertegenwoordiger meent dat gegevens onjuist zijn vastgelegd, dan kan de cliënt/wettelijk vertegenwoordiger schriftelijk verzoeken deze te wijzigen.
Cliënt en/of diens wettelijke vertegenwoordigers hebben:
• Het recht op dataportabiliteit: het recht om persoonsgegevens over te dragen (artikel 20 AVG),
• Het recht op vergetelheid: verwijdering van (alle) gegevens dossier en het recht om ‘vergeten’ te worden (artikel 17 AVG)
• Het recht op inzage in het dossier, en het recht op rectificatie en aanvulling (artikel 16 AVG),
• Het recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken (voor meer informatie over situaties en criteria verwijzen wij u naar de volgende link: “Wat houdt het recht op beperking van de verwerking in”
• Het recht om bezwaar te maken tegen de gegevensverwerking.

Tenslotte hebben cliënten recht op duidelijke informatie over wat wij met uw persoonsgegevens doen.

Wanneer u gebruik wilt maken van een van (een van) bovengenoemde rechten, dan kunt u hiervoor een afspraak maken. Wij vullen dan samen met u het Formulier uitvoering Algemene Verordening Gegevensbescherming in, omdat wij vast willen leggen van welk recht u gebruik maakt en wat de acties zijn geweest.

Verwerking van gegevens
7. Betrokken instanties en ketenpartners waar Zorgsloperij De Kans gegevens mee uitwisselt zijn opgenomen in een register. U mag te allen tijde dit overzicht bij ons opvragen. Tevens is er met alle partijen waar vertrouwelijke (persoons) gegevens mee wordt uitgewisseld een verwerkersovereenkomst opgesteld en ondertekend.

8. Wanneer u van mening bent dat wij niet op de juiste manier met uw gegevens omgaan, kunt u dit via de geldende klachtenprocedure kenbaar maken.
ZvA is aangesloten bij Quasir klachten, calamiteiten en geschillen Zorg en Welzijn.

Mobiel: 06 – 27 585 159
E-mail: info@zorgsloperijdekans.nl

U kunt contact opnemen met:
Svetlan06-275