Privacyregelement NovaFarm-Grip

Paragraaf 1: Algemene bepalingen

Artikel 1: Begripsbepalingen
In dit reglement wordt in aansluiting bij en in aanvulling op de Algemene Verordening
Gegevensbescherming verstaan onder:
– de wet: Algemene Verordening Gegevensbescherming (AVG);
– het reglement: dit reglement, inclusief de bijlagen;
– persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon;
– verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking
tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in
verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
– bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens
gecentraliseerd of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens
bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
– verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van
persoonsgegevens die in de persoonsregistratie zijn opgenomen of die door verwerking, al dan
niet in verband met andere gegevens, zijn verkregen;
– verantwoordelijke: de directie;
– betrokkene: degene op wie een persoonsgegeven betrekking heeft;
– beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de
dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van de ingevoerde
gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens;
– gebruiker: degene die onder verantwoordelijkheid van de beheerder bevoegd is
persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van
de verwerking kennis te nemen.

Artikel 2: Reikwijdte
Dit reglement is van toepassing op alle geheel of gedeeltelijk geautomatiseerde (verwerkingen van)
persoonsgegevens alsmede op de daaraan ten grondslag liggende documenten. Dit reglement is
tevens van toepassing op alle niet geautomatiseerde (verwerkingen van) persoonsgegevens. De
afzonderlijke verwerkingen zijn in de bijlagen beschreven. Deze bijlagen maken deel uit van dit
reglement.

Artikel 3: Beheer van de persoonsgegevens
Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven wie de
verantwoordelijke is, wie de beheerder en wie de gebruiker(s).

 

Paragraaf 2: Doelbinding

Artikel 4: Doelstellingen van de verwerking
Per afzonderlijke verwerking of samenhangende verwerkingen zijn in de bijlagen de doelen dan wel
de samenhangende doelen geformuleerd.

Artikel 5: Rechtmatige grondslag van de verwerking
De rechtmatige grondslag voor de verwerkingen is gelegen in a) de uitvoering van de
arbeidsovereenkomst respectievelijk de zorgovereenkomst waarbij de betrokkene partij is, b) het
gerechtvaardigde belang van de verantwoordelijke, c) een wettelijke verplichting van de
verantwoordelijke, d) een vitaal belang van de betrokkene, dan wel – uitsluitend indien a), b), c) of d)
niet van toepassing is – e) de ondubbelzinnige toestemming die de betrokkene heeft verleend.

Artikel 6: Categorieën van personen van wie persoonsgegevens worden verwerkt
Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven van welke
categorieën van personen persoonsgegevens worden verwerkt.

Artikel 7: Soorten van opgenomen persoonsgegevens en de wijze van verkrijging
1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven welke
soorten van persoonsgegevens ten hoogste worden verwerkt en op welke wijze deze gegevens
worden verkregen.
2. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf.
3. Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige toestemming
van de betrokkene.
4. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige
wijze verwerkt.
5. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de in de bijlagen genoemde
doeleinden, toereikend, ter zake dienend en niet bovenmatig zijn.
6. Bijzondere persoonsgegevens worden verwerkt met inachtneming van het bepaalde in de
artikelen 16 tot en met 24 van de wet.
7. De beheerder treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van
de persoonsgegevens.

Artikel 8: Verwijdering van opgenomen persoonsgegevens
1. Persoonsgegevens die niet langer voor het doel noodzakelijk zijn worden zo spoedig mogelijk
verwijderd.
2. Na beëindiging van het dienstverband of de zorgovereenkomst of het verrichten van
werkzaamheden ten behoeve van de verantwoordelijke worden de gegevens nog maximaal twee
jaar bewaard, tenzij deze gegevens in verband met wettelijke verplichtingen langer bewaard
moeten blijven.
3. Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is de
persoon te identificeren.

Paragraaf 3: Rechtstreekse toegang tot en verstrekking van persoonsgegevens

Artikel 9: Rechtstreekse toegang tot persoonsgegevens
1. Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog
op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot
persoonsgegevens.
2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk
voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de
persoonsgegevens, waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift
hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 10: Technische werkzaamheden
Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot
geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen.
Artikel 11: Verstrekking van persoonsgegevens
1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven aan
welke personen binnen en buiten de organisatie welke persoonsgegevens kunnen worden
verstrekt, gelet op het doel en de grondslag van de verwerking.
2. De verantwoordelijke informeert derden, die op vastgestelde wijze bepaalde persoonsgegevens
verwerken, over de daaraan gestelde voorwaarden en beperkingen. De verantwoordelijke is
aansprakelijk voor schade die de betrokkene lijdt door onrechtmatig gebruik door derden van door
de verantwoordelijke rechtmatig aan die derden verstrekte persoonsgegevens, tenzij de schade
niet aan de verantwoordelijke kan worden toegerekend.

Artikel 12: Verdere verwerking van persoonsgegevens
1. De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die niet
onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening
gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de
verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de
waarborgen ter bescherming van de persoonlijke levenssfeer.
2. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke
verplichting na te komen, waaraan de verantwoordelijke onderworpen is of geschiedt met de
ondubbelzinnige toestemming van de betrokkene.

Paragraaf 4: Plichten van verantwoordelijke en beheerder

Artikel 13: Beveiliging
Het bewaren en bewaken van persoonsgegevens van cliënten, medewerkers en zorgboeren is
geregeld via het softwareprogramma Qurentis.

Artikel 14: Informatieplicht
1. Indien de verantwoordelijke persoonsgegevens verkrijgt bij de betrokkene zelf, deelt hij de
betrokkene vóór het moment van verkrijging zijn identiteit mee alsmede het doel van de
verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene hiervan reeds op de hoogte
is.
2. Indien de verantwoordelijke persoonsgegevens verkrijgt van een derde of door observatie van de
betrokkene, deelt de verantwoordelijke de betrokkene op het moment van vastlegging zijn
identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd.
3. De verantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie op een zodanige wijze
dat de betrokkene er daadwerkelijk de beschikking over krijgt.

Artikel 15: Recht op informatie
De verantwoordelijke informeert betrokkene op diens verzoek tijdig en volledig over de doelen
waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt, over de regels die
daarvoor gelden, over de rechten die betrokkene ten aanzien daarvan heeft en hoe hij die kan
uitoefenen. Daarbij wordt betrokkene ook geïnformeerd over de plaats waar de documenten, waarin
bedoelde regels zijn opgenomen, kunnen worden ingezien dan wel opgevraagd.

Paragraaf 5: Rechten van de betrokkene

Artikel 16: Algemeen
1. Iedere betrokkene heeft recht op informatie, inzage en correctie (verbetering, aanvulling,
verwijdering en/of afscherming) alsmede recht van verzet, zoals geformuleerd in de volgende
artikelen van deze paragraaf.
2. Het uitoefenen van die rechten kan in werktijd geschieden.
3. Aan het uitoefenen van die rechten zijn voor de betrokkene geen kosten verbonden.
4. Betrokkenen kunnen zich bij het uitoefenen van die rechten laten bijstaan.
5. De beheerder wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de
rol daarin van het College bescherming persoonsgegevens.

Artikel 17: Recht op inzage
1. De beheerder deelt een ieder op diens verzoek, zo spoedig mogelijk, maar uiterlijk binnen vier
weken na ontvangst van het verzoek, schriftelijk mee of hem betreffende persoonsgegevens
worden verwerkt.
2. Indien dat het geval is, verstrekt de beheerder de verzoeker desgewenst, zo spoedig mogelijk,
maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk een volledig overzicht
daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of
categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën
van ontvangers van de gegevens alsmede de herkomst van de gegevens. Indien de verzoeker dat
wenst, verstrekt de beheerder tevens informatie over de systematiek van de geautomatiseerde
gegevensverwerking.
3. De verzoeker heeft recht op een kopie van de gegevens die over hem zijn vastgelegd. Hij hoeft
hiervoor niet te betalen.
4. Indien een gewichtig belang van de verzoeker dit eist, voldoet de beheerder aan het verzoek in
een andere dan schriftelijke vorm, die aan dat belang is aangepast.
5. De beheerder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
6. De beheerder kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is
in verband met:
a. de opsporing en vervolging van strafbare feiten;
b. gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.

Artikel 18: Recht op correctie: verbetering, aanvulling, verwijdering en/of afscherming
1. Op schriftelijk verzoek van een betrokkene gaat de beheerder over tot verbetering, aanvulling,
verwijdering en/of afscherming van de met betrekking tot de verzoeker verwerkte
persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de
verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met
een wettelijk voorschrift worden verwerkt. Het verzoek behelst de aan te brengen wijzigingen.
2. De beheerder deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na
ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet
geheel wil voldoen, omkleedt hij dat met redenen.
3. De beheerder draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of
afscherming zo spoedig mogelijk wordt uitgevoerd.
4. De beheerder informeert in geval van verbetering, aanvulling, verwijdering en/of afscherming
derden daarover en verzekert zich ervan dat die derden hun bestanden dienovereenkomstig
aanpassen. De beheerder deelt de verzoeker mee aan welke derden hij die informatie heeft
verstrekt.

Artikel 19: Recht van verzet
1. Indien de rechtmatige grondslag voor een bepaalde verwerking is gelegen in het gerechtvaardigde
belang van de verantwoordelijke, kan de betrokkene bij de beheerder te allen tijde bezwaar
aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke omstandigheden.
2. Binnen vier weken na ontvangst van het bezwaar beoordeelt de verantwoordelijke of dit verzet
gerechtvaardigd is.
3. De beheerder beëindigt de verwerking terstond, indien de verantwoordelijke het verzet
gerechtvaardigd acht. Verzet tegen de verwerking voor commerciële of charitatieve doelen is altijd
gerechtvaardigd.

Paragraaf 6: Rechtsbescherming en toezicht

Artikel 20: Klachtenprocedure
1. Elke betrokkene heeft het recht bij de verantwoordelijke een klacht in te dienen
a. tegen een beslissing op een verzoek als bedoeld in de artikelen 15, 17 en 18;
b. tegen een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel
19; alsmede;
c. tegen de wijze waarop de verantwoordelijke of de beheerder de in dit reglement opgenomen
regels uitvoert.
2. De verantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst,
schriftelijk en met redenen omkleed op de klacht.
3. Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan.
4. De verantwoordelijke kan het advies van het College bescherming persoonsgegevens inwinnen.
5. De verantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of
gedeeltelijk terecht.
6. Indien de verantwoordelijke de klacht niet of slechts gedeeltelijk honoreert, kan de betrokkene een
klacht indienen bij het College bescherming persoonsgegevens. De verantwoordelijke informeert
de betrokkene, wiens klacht hij niet of slechts gedeeltelijk honoreert, over die mogelijkheid en over
het adres van het College.
7. Indien de verantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om
a. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a.:)
het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren;
b. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b.:)
het verzet van betrokkene alsnog te honoreren;
c. (indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c.:)
alsnog uitvoering te geven aan de in het reglement opgenomen regels, hetgeen kan
inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een stoppen;
d. de schade die betrokkene heeft geleden, waaronder eventuele immateriële schade, te
vergoeden.
8. De verantwoordelijke maakt zijn oordeel schriftelijk aan betrokkene kenbaar.
9. Indien de verantwoordelijke niet binnen zes weken na het indienen van de klacht reageert, kan
betrokkene een klacht indienen bij het College bescherming persoonsgegevens.

Artikel 21: Toezicht op de naleving
Het College bescherming persoonsgegevens is op grond van de wet bevoegd toe te zien op de
naleving van de in dit reglement krachtens de wet opgenomen bepalingen.

Paragraaf 7: Overige bepalingen

Artikel 22: Scholing
De verantwoordelijke draagt zorg voor toelichting en zo nodig scholing van de beheerders en
gebruikers, zodat zij op de hoogte zijn van de geldende regels en hun eigen rol daarin begrijpen.

Artikel 23: Onvoorzien
In gevallen waarin het reglement niet voorziet beslist de verantwoordelijke.

Artikel 24: Publicatie
Dit reglement ligt voor een ieder ter inzage op het kantoor te St. Oedenrode.

Artikel 25: Wijzigingen en aanvullingen
Wijzigingen in doelen van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van
de persoonsgegevens dienen te leiden tot wijziging van dit reglement.

Artikel 26: Inwerkingtreding en citeertitel
1. Dit reglement treedt in werking op 21-10-2015 en is aangepast op 1-5-2018 aan de nieuwe AVG.
2. Dit reglement kan worden aangehaald als Privacyreglement NovaFarm-Grip

Bijlagen:
1. Verwerking gegevens t.b.v. salarisadministratie;
2. Verwerking gegevens t.b.v. personeelsadministratie;
3. Verwerking gegevens t.b.v. cliëntadministratie;
4. Verwerking gegevens t.b.v. sollicitatieprocedure.