Deze privacyverklaring is bedoeld voor onze opdrachtgevers, leveranciers, samenwerkingspartners, onderaannemers, bezoekers van onze website en ons personeel/medewerkers.
Wij voelen ons verantwoordelijk voor de persoonsgegevens die ons zijn toevertrouwd. Of het nu om onze klanten, samenwerkingspartners, leveranciers, bezoekers van onze website of ons personeel gaat: we gaan integer, transparant en zorgvuldig om met de in bewaring gegeven persoonsgegevens.
Volgens de wet zijn persoonsgegevens alle informatie die betrekking heeft op een geïdentificeerd of identificeerbaar natuurlijk persoon (de betrokkene). De combinatie van naam en geboortedatum, contactgegevens, plus eventueel een pasfoto zijn daarom allemaal persoonsgegevens. Hiernaast kent de wet bijzondere persoonsgegevens; dit zijn gegevens die extra gevoelig zijn en extra beschermd moeten worden. Het gaat dan om bijvoorbeeld BSN-nummer, gezondheids- of medische gegevens.
De AVG (Algemene Verordening Gegevensbescherming) is sinds 25 mei 2018 van kracht en vanwege deze wet heeft ZorgNed de volgende maatregelen genomen:
Algemeen:
- Binnen ZorgNed is de rol van CISO/FG belegd;
- De CISO/FG is voor personeel direct bereikbaar en voor andere relaties per email via info@zorgned.nl;
- ZorgNed Automatisering heeft een verwerkingsregister opgesteld. Dit betreft verwerking van de gegevens van sollicitanten, websitebezoekers, medewerkersgegevens (personeel ZorgNed) en de relatiegegevens van klanten. Dit register kan worden opgevraagd bij de CISO/FG;
- ZorgNed verzamelt en verwerkt uitdrukkelijk niet méér persoonsgegevens dan nodig is voor onze werkzaamheden. Wij publiceren of delen nooit zonder toestemming persoonsgegevens van klanten, medewerkers en andere relaties;
- Iedereen die toegang heeft tot persoonsgegevens gaat hier zorgvuldig mee om en is gebonden aan geheimhoudingsplicht;
- Alleen medewerkers die het nodig hebben voor hun werk hebben toegang tot persoonsgegevens en mogen deze inzien en verwerken;
- Wij nemen noodzakelijke organisatorische en technische beveiligingsmaatregelen die nodig zijn om misbruik van, en ongeautoriseerde toegang tot persoonsgegevens te voorkomen;
- ZorgNed hanteert de ISO27001 en NEN7510 als normenkader;
- Op de website van ZorgNed (www.zorgned.nl) is een cookie statement opgenomen. Hierin staat vermeld dat wij van websitebezoekers geen gegevens vastleggen;
- Wij nemen géén telefoongesprekken op;
- Ook worden geen camerabeelden van personeel/bezoekers van ons kantoor vastgelegd.
Personeel
- Verwerking van personeelsgegevens vindt plaats op basis van de grondslagen genoemd in artikel 6 van de AVG. ZorgNed hanteert de grondslagen 1a, 1b, 1c en 1d voor verwerking van personeelsgegevens.
- In het verwerkingsregister van ZorgNed is vastgelegd welke gegevens van personeel door ons worden verwerkt;
- Ook is vastgelegd aan welke derden deze gegevens worden doorgegeven;
- In het verwerkingsregister is de bewaartermijn van informatie vastgelegd;
- In het verwerkingsregister is opgenomen op welke wijze personeel aanspraak kan doen op de rechten in het kader van de AVG (inzage (art. 15), wijziging (art. 16), verwijdering (art. 17), beperking (art. 18), overdraagbaarheid (art. 20) en bezwaar (art.21).
Klanten
- Verwerking van klantgegevens vindt plaats op basis van de grondslagen genoemd in artikel 6 van de AVG. ZorgNed hanteert de grondslagen 1a en 1b voor verwerking van klantgegevens.
- Vertrekpunt is dat ZorgNed Automatisering geen gegevensverantwoordelijke is van de gegevens die worden geadministreerd/verwerkt met de ZorgNed applicatie, dit is de klant.
- De klant zal dus in een verwerkingsregister moeten vastleggen welke (persoons)gegevens en persoonlijke gezondheidsinformatie worden vastgelegd en met wie deze worden gedeeld, voor welke doeleinden.
- Wij sluiten met onze klanten een verwerkersovereenkomst, in de bijlage bij deze overeenkomst wordt omschreven welk type (persoon)gegevens door de klant worden verwerkt;
- In deze verwerkersovereenkomst wordt ook vastgelegd hoe te handelen bij een eventueel datalek, en dat ZorgNed medewerking verleent aan een PIA (privacy impact analyse) door opdrachtgever;
- In het verwerkingsregister van ZorgNed is vastgelegd welke gegevens van klanten worden verwerkt;
- In het verwerkingsregister is de bewaartermijnen van informatie vastgelegd;
- In het verwerkingsregister is opgenomen op welke wijze personeel aanspraak kan doen op de rechten in het kader van de AVG (inzage (art. 15), wijziging (art. 16), verwijdering (art. 17), beperking (art. 18), overdraagbaarheid (art. 20) en bezwaar (art.21);
- In aanvulling op bovenstaande is voor klanten aan wie ZorgNed Hosting (Software as a Service) dienstverlening biedt een apart verwerkingsregister opgesteld.
Applicatie
- De autorisaties in de applicatie kunnen zeer gedetailleerd worden ingericht, dit is belangrijke functionaliteit in het kader van de AVG. Wie welke gegevens wel/niet mag raadplegen en/of verwerken is aan de klantom te bepalen;
- Er kan een standaardsjabloon in de applicatie worden gemaakt, waarmee in geval een persoon zijn gegevens wil opvragen (inzagerecht artikel 15 AVG) een applicatiebeheerder eenvoudig een uitdraai kan maken. Dit is antwoord op het recht van in informatie die over hem/haar is vastgelegd;
- Een persoon kan door de daartoe geautoriseerde gebruiker uit de applicatie worden verwijderd. Of daadwerkelijk alles kan worden verwijderd, of toch een bewaarplicht bestaat bijvoorbeeld in verband met accountantscontrole (goedgekeurde declaraties e.d.) is aan de klant om te bepalen;
- Belangrijke handelingen in de applicatie worden gelogd;
- De applicatie kent bewaartermijnen en de mogelijkheid om gegevens waarvan de bewaartermijn is verstreken te vernietigen;
- In geval gebruik wordt gemaakt van de hosting van ZorgNed eisen we 2-factor authenticatie voor de toegang tot de applicatie.
Deze privacyverklaring kan door ons aangepast worden, op de website staat altijd de meest recente versie. Deze verklaring is voor het laatst aangepast op 10 augustus 2023.