ezo-zorg-logo
06-28731873

Privacybeleid

Privacybeleid

  1. Inleiding

Het bestuur van EZO Zorg en Welzijn is verantwoordelijk voor de veiligheid van de door haar verwerkte gegevens. Zij zorgt voor een privacybeleid of Information Security Management System (ISMS) dat passend is voor de organisatie. De doelstellingen van dat systeem stellen zeker dat de belangen van derden bij informatiebeveiliging voldoende worden beschermd. Zij verbindt zich eraan om het privacybeleid of ISMS continu te verbeteren en aan de (wettelijke) eisen te laten voldoen. Zij stelt voldoende middelen ter beschikking (binnen de mogelijkheden van de praktijk) om de veiligheid van gegevens te beschermen.

De directie van EZO Zorg en Welzijn zorgt ervoor dat haar medewerkers zich bewust zijn van de vertrouwelijkheid van de (cliënten)-gegevens waarmee zij werkt en beschermt deze gegevens passend. Daarom werkt EZO Zorg en Welzijn met een privacybeleid op basis van de Algemene Verordening Gegevensbescherming (AVG), of een ISMS op basis van de norm ISO27001, Informatiebeveiliging.

Het managementsysteem voor privacy- en informatiebeveiliging van EZO Zorg en Welzijn beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie doordat zij een risicobeheerproces toepast, en geeft belanghebbenden het vertrouwen dat zij risico’s adequaat beheert.

De directie van EZO Zorg en Welzijn ondersteunt dit beleid, en voor de toepassing ervan stelt zij voldoende middelen ter beschikking (binnen de mogelijkheden van de praktijk). Het beleid van EZO Zorg en Welzijn maakt zij blijvend bekend aan alle medewerkers van EZO Zorg en Welzijn en relevante externe partijen.

De directie van EZO Zorg en Welzijn zorgt ervoor dat het privacybeleid of ISMS op regelmatige wijze wordt gecontroleerd op zijn goede werking.

  1. Werkingsgebied van het AVG privacybeleid en ISMS

Het werkingsgebied van het privacybeleid of ISMS van EZO Zorg en Welzijn strekt zich uit tot de verantwoordelijkheden voor informatiebeveiliging van interne belanghebbenden (de bedrijfsgegevens van de praktijk zelf) en externe belanghebbenden (klanten, relaties, cliënteninformatie).

  1. Doel van gegevensverwerking

De gegevensverwerking door EZO Zorg en Welzijn vindt plaats om de goede behandeling van cliënten mogelijk te maken.

  1. Gevolg van het niet voldoen aan het AVG privacybeleid en ISMS

Kan EZO Zorg en Welzijn via de controlemechanismen van het privacybeleid of ISMS de veiligheid van door haar beheerde informatie niet voldoende waarborgen, dan kan EZO Zorg en Welzijn van die belanghebbende(n) geen gegevens beheren. Deze blokkade wordt opgeheven op het moment dat de directie de dataveiligheidswaarborgen op basis van het privacybeleid of ISMS kan weergeven.

  1. Interne en externe communicatie over het AVG privacybeleid en ISMS

Intern besteedt de directie regelmatig aandacht aan het privacybeleid of ISMS van EZO Zorg en Welzijn. Tijdens bijeenkomsten communiceert zij op regelmatige basis over dataveiligheids onderwerpen.

EZO Zorg en Welzijn vermeldt extern in de uitingen en communicatie waar dat opportuun is dat EZO Zorg en Welzijn via haar privacybeleid of ISMS werkt aan continue informatieveiligheid.

  1. Eisen en verwachtingen van belanghebbenden

De belanghebbenden verwachten van EZO Zorg en Welzijn dat zij gecontroleerd en op de meest veilige wijze met de (cliënten-) gegevens omgaat. Om die reden werkt EZO Zorg en Welzijn volgens haar privacybeleid of ISMS. Dat privacybeleid of ISMS is gebaseerd op de wet AVG of ISO 27001 Informatieveiligheid. Het gehele privacybeleid of ISMS  is erop gericht blijvend de informatieveiligheid te waarborgen, te monitoren, corrigerende maatregelen te nemen en het privacybeleid of ISMS aan te passen indien nodig.

  1. Privacybeleid (op basis van de AVG, voortvloeiend uit de Algemene Verordening Gegevensbescherming 2016/679)

EZO Zorg en Welzijn gebruikt cliëntengegevens alleen voor het doel waarvoor de gegevens zijn opgeslagen. EZO Zorg en Welzijn deelt cliëntengegevens niet met derden, tenzij dit voor het opslagdoel nodig is. EZO Zorg en Welzijn bewaart cliëntengegevens niet langer dan nodig is op basis van het opslagdoel van de gegevens. EZO Zorg en Welzijn houdt met alle mogelijke middelen en maatregelen cliëntengegevens veilig voor inzage van onbevoegden. EZO Zorg en Welzijn vraagt toestemming aan de cliënten voor het opslaan van persoonsgegevens, als er geen behandelcontract gesloten is. EZO Zorg en Welzijn informeert cliënten over de rechten van de cliënt ten aanzien van zijn persoonsgegevens. EZO Zorg en Welzijn informeert haar cliënten over het doel van de verwerking van persoonsgegevens. EZO Zorg en Welzijn informeert cliënten indien EZO Zorg en Welzijn bijzondere handelingen met de persoonsgegevens gaat verrichten.

  1. Risico-beoordeling (Data Protection Impact Assessment-DPIA)

Risico’s bestaan in het door EZO Zorg en Welzijn onbedoeld wijzigen of lekken of zoekraken van informatie waardoor schade ontstaat aan de externe belanghebbenden (cliënten en (oud-) cliënten van EZO Zorg en Welzijn. 

Tegen dit risico neemt EZO Zorg en Welzijn de maatregelen in dit privacybeleid of ISMS, voert deze uit en beoordeelt deze op effectiviteit. De procedures van het privacybeleid of ISMS zijn onderwerp van continu onderzoek en verbetering. Alle medewerkers worden bij de veiligheidsprocedures betrokken, op de wijzen als in dit privacybeleid of ISMS beschreven.

  1. Procedure risico beoordeling

EZO Zorg en Welzijn reduceert bovenstaande gevaren doordat zij werkt op basis van haar privacybeleid of ISMS. Bij iedere interne audit en management review wordt een risico-beoordeling dataveiligheid uitgevoerd.

Buiten het beheer van het privacybeleid of ISMS blijft een rest-risico bestaan. De bekende risico’s voor EZO Zorg en Welzijn worden via de interne audits en management reviews geanalyseerd. Maatregelen voor die risico’s zijn in het privacybeleid of ISMS opgenomen en worden beheerd en uitgevoerd. Rest-risico’s bestaan uit extreem wijzigende omstandigheden die EZO Zorg en Welzijn niet voorziet. Die risico’s acht EZO Zorg en Welzijn onvermijdelijk. Na een onvoorzien incident wordt een nieuwe risico beoordeling uitgevoerd. Eventuele remedies neemt EZO Zorg en Welzijn in het privacybeleid of ISMS op.

  1. Creatie van AVG/ISMS documenten en procedures

Binnen EZO Zorg en Welzijn zorgt de directie voor een verantwoordelijke voor het uitvoeren van de taken volgens het privacybeleid of ISMS.

EZO Zorg en Welzijn informeert haar cliënten over de verwerking van persoonsgegevens en de rechten die de AVG aan de cliënt toekent.

Als een relatie/cliënt geen ‘zorgovereenkomst’ sluit met EZO Zorg en Welzijn, vraagt EZO Zorg en Welzijn uitdrukkelijke toestemming tot die verwerking.

Dit doet EZO Zorg en Welzijn in overeenstemming met de Algemene Verordening Gegevensbescherming EU 2016/679 (AVG). EZO Zorg en Welzijn gebruikt hiervoor haar document ‘informatie aan cliënten’.

Bij de toepassing van de privacy wetgeving (AVG) houdt EZO Zorg en Welzijn zich ook aan de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, Besluit elektronische gegevensverwerking in de zorg, en overige toepasselijke wetgeving. Deze wetten kunnen afwijken van de AVG.

Bij een toegekend verzoek tot verwijdering van persoonsgegevens zal EZO Zorg en Welzijn de gegevens verwijderen of opslaan in een inactief archief waarmee het onzichtbaar is voor de gewone gebruiker binnen EZO Zorg en Welzijn.

EZO Zorg en Welzijn reageert op een verzoek zo spoedig mogelijk, maar in ieder geval binnen 3 maanden na de aanvraag.

In het geval EZO Zorg en Welzijn een verzoek over de persoonsgegevens afwijst, informeert EZO Zorg en Welzijn de cliënt over de redenen voor de afwijzing.

  1. Informatie classificatie

EZO Zorg en Welzijn classificeert informatie met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging en de bewaartermijn. EZO Zorg en Welzijn maakt onderscheid tussen openbare informatie en gevoelige informatie.

Informatie over de behandeling van cliënten van EZO Zorg en Welzijn is altijd gevoelige informatie. 

Informatie over medewerkers van EZO Zorg en Welzijn is altijd gevoelige informatie.

Medische informatie is altijd gevoelige informatie.

Bedrijfsmiddelen (waaronder ook ‘data’ ) worden behandeld in overeenstemming met het informatieclassificatieschema dat is vastgesteld door EZO Zorg en Welzijn.

EZO Zorg en Welzijn bewaart de (persoons) gegevens in het behandeldossier volgens de wettelijke bewaartermijn van de WGBO. EZO Zorg en Welzijn vernietigt gegevens na het verstrijken van de wettelijke bewaartermijn.

EZO Zorg en Welzijn is in staat de volgende acties uit te voeren met haar informatiepakket:

Gegevens laten inzien door onze cliënt. Alleen de gegevens van de bewuste cliënt mogen dan inzichtelijk zijn. (de cliënt mag geen wijzigingen in ons systeem kunnen aanbrengen tijdens het inzien.)

Correcties (en wijzigingen) aanbrengen, alleen mogelijk door een geautoriseerde verwerker van EZO Zorg en Welzijn.

Gegevens van één cliënt overdragen.

Verwijderen van alle, of een deel van de gegevens van één cliënt. (de cliënt heeft het recht om ‘vergeten te worden’ op basis van de AVG, dit recht wordt opzij gezet door de WGBO bepalingen). EZO Zorg en Welzijn beoordeelt het verzoek met in achtneming van de eisen van de WGBO. Als er goede redenen zijn om het verzoek af te wijzen, legt EZO Zorg en Welzijn dit vast in het cliëntendossier en brengt EZO Zorg en Welzijn de cliënt van de beslissing op de hoogte.

  1. Verwerkingsregister van EZO Zorg en Welzijn

EZO Zorg en Welzijn houdt een lijst bij van categorieën van organisaties waarmee zij cliëntengegevens deelt. (zie het verwerkingsregister).

EZO Zorg en Welzijn sluit verwerkingsovereenkomsten met organisaties waarmee zij cliënten informatie deelt om die cliëntengegevens te verwerken.

EZO Zorg en Welzijn houdt een leverancierslijst bij van leveranciers die mogelijk cliëntengegevens van de praktijk kunnen inzien, en met welke organisaties zij een verwerkerscontract heeft gesloten. EZO Zorg en Welzijn houdt die leverancierslijst actueel. De betreffende leverancier tekent de verwerkersovereenkomst (daarin is geheimhouding opgenomen) (zie hieronder de downloadbare ‘verwerkersovereenkomst’)

Ondanks deze verwerkersovereenkomst, deelt EZO Zorg en Welzijn niet meer informatie dan strikt noodzakelijk is om gevraagde dienst/service/behandeling uit te  voeren.

Per verwerkingsactiviteit staan de volgende gegevens geregistreerd:

Naam van de dataverantwoordelijke is vastgelegd bij onderdeel ‘praktijksamenstelling’.

EZO Zorg en Welzijn slaat de noodzakelijke gegevens van medewerkers op in het personeelsdossier.

EZO Zorg en Welzijn slaat de volgende data van de cliënt op:

-NAW gegevens,

-BSN nummer,

-Geslacht,

-Leeftijd,

-Telefoonnummer,

-Emailadres van de cliënt,

-Medische gegevens, het gehele cliëntendossier,

– Seksueel verleden, indien dat voor het verlenen van de zorg nodig en/of relevant is,

– Ras, indien dat voor het verlenen van de zorg nodig en/of relevant is,

– Godsdienst, indien dat voor het verlenen van de zorg nodig en/of relevant is,

– Opleidingsniveau, indien dat voor het verlenen van de zorg relevant is.

Medische gegevens van EZO Zorg en Welzijn zijn ‘bijzondere gegevens’ volgens de AVG wetgeving. Informatie wordt opgeslagen om behandeling van de cliënt mogelijk te maken.

Informatie wordt verwerkt door behandelaars en hun assistenten en praktijk ondersteunende diensten. Informatie wordt verwerkt van cliënten die de EZO Zorg en Welzijn behandelt.

Informatie wordt bij verwijzing uitgewisseld met een volgende behandelaar (bijvoorbeeld een specialist). Iedere specialist is zelf verwerkingsverantwoordelijke. Hij verwerkt de persoonsgegevens ter uitvoering van de behandelovereenkomst die hij zelf is aangegaan met de cliënt.

  • De informatie wordt uitgewisseld met andere behandelaars die nodig zijn voor de goede behandeling.
  • Informatie wordt uitgewisseld met verzekeraars of hun vertegenwoordigers (Vecozo). Als die niet gebeurt op grond van een wettelijke verplichting, vraagt EZO Zorg en Welzijn hiervoor toestemming aan de cliënt.
  • EZO Zorg en Welzijn verstrekt geen Informatie aan buitenlandse organisaties, tenzij de goede behandeling dit nodig maakt.
  • De bewaartermijn is zo lang als de informatie nodig is voor de goede behandeling, met in achtneming van de WGBO.
  • De beveiligingsmaatregelen zijn in de afdeling van het DataVeiligheidsportaal te vinden, in de AVG- of ISMS vastlegging van EZO Zorg en Welzijn. Per verwerker: (daaronder verstaat EZO Zorg en Welzijn onderaannemers van EZO Zorg en Welzijn die gevraagd worden een handeling uit te voeren met persoonsgegevens in opdracht van EZO Zorg en Welzijn. Daaronder vallen niet zorgverleners die onderdeel uitmaken van de medische behandeling. Die behandelaars zijn zelf verantwoordelijk voor de beveiliging van de privacy van de cliënt).
  • Informatie wordt door derden verwerkt (verwerkers) met als doel de goede behandeling van cliënten.
  • EZO Zorg en Welzijn deelt persoonsgegevens van medewerkers met derden als dat nodig is voor de goede uitvoering van het arbeidscontract.
  • EZO Zorg en Welzijn sluit met verwerkers een verwerkingscontract. Daarin staan de voorwaarden voor de verwerking.
  • Het contract van iedere medewerker bij EZO Zorg en Welzijn bevat bepalingen over geheimhouding van gegevens en de verantwoordelijkheid om veilig met data om te gaan.

Om dit te onderstrepen organiseert EZO Zorg en Welzijn regelmatig, minimaal 4 keer per jaar via bewustwordingssessies en interne audits over dataveiligheid, samen met alle medewerkers van EZO Zorg en Welzijn. Ontwikkelingen op het gebied van dataveiligheid (breed) worden verspreid en besproken binnen EZO Zorg en Welzijn.

EZO Zorg en Welzijn plant regelmatig bijeenkomsten waarin het privacybeleid en/of ISMS en dataveiligheid worden besproken. Hierbij gebruikt EZO Zorg en Welzijn onderstaand schema.

  1. Autorisatie matrix

Toegang tot informatie verstrekt EZO Zorg en Welzijn op basis van de directe taken en bezigheden van betreffende medewerker. Dit wordt weergegeven in de autorisatiematrix van de verschillende informatiesystemen.

De toegang tot informatie van EZO Zorg en Welzijn is te vinden in de rollen en/of profielen in het informatiepakket dat EZO Zorg en Welzijn gebruikt.

  1. Wachtwoorden

De toegang tot het (draadloze) netwerk en netwerkdiensten wordt afgedwongen met persoonlijke wachtwoorden.

Gebruikers hebben een persoonlijk wachtwoord te kiezen dat minimaal 8 karakters bevat, en;

  • gemakkelijk te onthouden is.
  • niet gebaseerd is op iets dat iemand anders gemakkelijk zou kunnen raden of verkrijgen door gebruik te maken van persoons-gerelateerde informatie, zoals namen, telefoonnummers en geboortedata.
  • niet kwetsbaar is voor woordenboekaanvallen (d.w.z. niet bestaande uit woorden die in het woordenboek voorkomen).
  • geen opeenvolgende gelijke tekens bevat en niet uitsluitend uit numerieke of uitsluitend uit alfabetische tekens bestaat.
  1. Beleid bij data veiligheidsincidenten (datalek)

Een datalek (of: data incident) is voor EZO Zorg en Welzijn: iedere inbreuk op de dataveiligheid die per ongeluk of op onrechtmatige wijze leidt tot:

  • vernietiging van data of informatie,
  • verlies van persoonsgegevens,
  • wijziging van persoonsgegevens,
  • ongeoorloofde verstrekking van persoonsgegevens,
  • ongeoorloofde toegang tot opgeslagen persoonsgegevens,
  • ongeoorloofde toegang tot doorgezonden persoonsgegevens.

Een datalek ontstaat onder andere als EZO Zorg en Welzijn het slachtoffer wordt van ransomware of een andere vorm van kwaadwillige hacking.

In het geval dat zich een dataveiligheidsincident voordoet of een zwakte in de databeveiliging geconstateerd wordt door een medewerker, meldt hij dit zo spoedig mogelijk bij zijn of haar leidinggevende en de verantwoordelijke voor databeveiliging van EZO Zorg en Welzijn.

Na een incident analyseert EZO Zorg en Welzijn de oorzaak, de aanpak en de mogelijkheden om een dergelijk incident te voorkomen. Zij legt haar bevindingen vast in het formulier ‘dataveiligheidsincident’. De maatregelen ter voorkoming van het incident worden na invoering geëvalueerd.

  1. Procedure bij een incident (datalek)

Wanneer er sprake is van een incident, wordt de volgende procedure doorlopen:

  • incident direct melden bij leidinggevende en verantwoordelijke voor informatiebeveiliging.
  • melder, leidinggevende en verantwoordelijke voor informatiebeveiliging stellen vast welke actie genomen dient te worden op basis van het soort informatie, de hoeveelheid informatie en welke belanghebbenden door dit incident geraakt zouden kunnen worden.
  • actie toewijzen aan uitvoerder(s).
  • EZO Zorg en Welzijn beoordeelt het incident door zich (intern) de volgende vraag te stellen: Levert het data incident risico op voor de aantasting van de rechten en vrijheden van de cliënt? (Als aangetoond kan worden dat het data-lek geen gevolgen heeft voor de rechten en vrijheden van de cliënt, doet EZO Zorg en Welzijn geen melding bij de Autoriteit Persoonsgegevens.)

Als het antwoord NEE is, wordt er niet gemeld bij de AP, en wordt alleen het interne formulier ‘dataveiligheidsincident’ ingevuld en opgeslagen onder dossier.  

Als het antwoord JA is wordt binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens –> Meldingsformulier datalek: klik hier –>  Autoriteit Persoonsgegevens.

  • EZO Zorg en Welzijn heeft een eigen FG welke is genoemd onder ‘praktijksamenstelling’ als dataverantwoordelijke voor EZO Zorg en Welzijn. Bij ‘functie’ staat dan ‘FG’. Hij of zij is dan de interne dataverantwoordelijke EN de FG voor EZO Zorg en Welzijn. Controle door de verantwoordelijke voor dataveiligheid op uitvoering van acties door de FG.
  • dataverantwoordelijke meldt aan de betrokkene cliënt (of cliënten) het incident, de maatregelen die genomen worden. EZO Zorg en Welzijn meldt het incident alleen aan betrokkene indien na de genomen maatregelen toch nog een risico bestaat voor de rechten en vrijheden van de betrokkene of betrokkenen. Let op: een melding kan ook vereist zijn op basis van de Wkkgz.
  • verantwoordelijke voor dataveiligheid documenteert het incident, de actie en de correctieve maatregel(-en) en publiceert deze aan de betrokkenen binnen de organisatie.

EZO Zorg en Welzijn trekt lering uit het incident en stelt maatregelen vast ter voorkoming van een dergelijk incident.

ezo-logo
Algemene Voorwaarden

CONTACTEER ONS

Contactgegevens
Volg ons:

SUPPORT

Privacy
Algemene Voorwaarden
ri-brabant-partner-logo
regio-hart-vann-brabant-partner-logo
Home
Ambulante begeleiding
Zorg bemiddeling
Over ons
Missie & Visie
Verwijzers
Werken bij
Stage
Cliëntenraad
Mantelzorg
Veelgestelde vragen
Contact

We gebruiken cookies om ervoor te zorgen dat onze site zo soepel mogelijk draait. Als je doorgaat met het gebruiken van deze site, gaan we ervan uit dat je ermee instemt.

OK
Privacybeleid