Privacybeleid

Zipster hecht veel waarde aan de aspecten van gegevensbescherming en neemt zijn plichten en de plichten van de gebruikers van de webapplicatie op grond van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) ernstig.

Zorg- en hulpverleners die gebruik maken van het softwareprogramma Zipster, zijn verantwoordelijke voor de verwerking van de persoonsgegevens, zoals omschreven in artikel 4 (7) AVG. Eenieder die verantwoordelijk is voor de verwerking of het gebruik van persoonsgegevens verbindt zich ertoe te voldoen aan alle verplichtingen die onder de AVG of de toepasselijke wetgeving, inclusief maar niet beperkt tot de zorg- en hulpverleners die dagelijks persoonsgegevens verwerken.

Met dit privacybeleid zet Zipster enkele richtlijnen uiteen die in aanmerking genomen moeten worden bij het verwerken van persoonsgegevens door zorg-en hulp verleners bij het gebruik van het softwareprogramma.

Motief

Zipster wenst zorg- en hulpverleners en tevens verwerkingsverantwoordelijken bewust te maken van de rechten en plichten die voortvloeien uit de Algemene Verordening Gegevensbescherming. Deze richtlijnen streven er onder meer naar dat elke verwerkingsverantwoordelijke:

  • Voldoet aan de Algemene Verordening Gegevensbescherming, inclusief overige wetgeving inzake privacy, en goede werkwijzen volgt;
  • De rechten van betrokkenen beschermt;
  • Transparant is over hoe het persoonsgegevens opslaat en verwerkt;
  • Voldoende beveiligingsmaatregelen treft en zichzelf beschermt tegen risico’s.

Reikwijdte

Dit beleid is van toepassing op iedere verwerkingsverantwoordelijke die persoonsgegevens verwerkt, ongeacht of deze elektronisch, op papier of op andere materialen worden opgeslagen.

Dit beleid is gebaseerd op de principes en vereisten die zijn vastgelegd in de AVG. In gevallen waarin nationale wetgeving inzake gegevensbescherming of privacy meer gedetailleerde of striktere eisen bevat met betrekking tot persoonsgegevens, verwacht Zipster dat de verwerkingsverantwoordelijke zich aan dergelijke wetten houdt.

Definities

  • Persoonsgegevens worden gedefinieerd als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is degene die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Speciale categorieën van persoonsgegevens, voor de doeleinden van dit beleid, ook wel “gevoelige gegevens” genoemd, worden gedefinieerd als persoonsgegevens waaruit de raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens, biometrische gegevens met het oog op het uniek identificeren van een natuurlijke persoon, gezondheidsgegevens of gegevens betreffende het seksleven of de seksuele geaardheid van een natuurlijke persoon.
  • Gegevensdrager wordt gedefinieerd als een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar identificatiegegevens zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke persoon, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Verwerking wordt gedefinieerd als elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of op verzamelingen van persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, aanpassing of combinatie, beperking, wissing of vernietiging.
  • Verwerkingsverantwoordelijke wordt gedefinieerd als een natuurlijke persoon of rechtspersoon die (alleen, samen of samen met andere personen) het doel (de doelen) waarvoor en de manier waarop persoonsgegevens worden of zullen worden verwerkt. In de meeste gevallen fungeert gebruikers van de webapplicatie Zipster als verwerkingsverantwoordelijke
  • Verwerker wordt gedefinieerd als een natuurlijke persoon of rechtspersoon (anders dan een medewerker van de verwerkingsverantwoordelijke) die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke.

 

Overige definities zijn terug te vinden in artikel 4 AVG.

Principes voor de verwerking van persoonsgegevens

1) Wettigheid, eerlijkheid en transparantie

Persoonsgegevens moeten op een transparante, eerlijke en wettige manier verzameld en verder verwerkt worden. Transparantie betekent dat de betrokkene moet worden geïnformeerd voordat zijn/haar persoonsgegevens worden verzameld of in geval van indirecte verzameling, binnen een redelijke termijn na het verkrijgen van dergelijke persoonsgegevens (uiterlijk binnen één maand).

Daarnaast mogen persoonsgegevens enkel verwerkt worden op basis van één van de rechtmatigheidsgronden uit artikel 6 AVG.

2) Doelbeperking

Gebruik persoonsgegevens enkel voor specifieke, expliciete en legitieme doeleinden. Als de persoonsgegevens nadien voor een nieuw doel worden verwerkt, dat onverenigbaar is met het oorspronkelijke doel, wordt de betrokken persoon naar behoren op de hoogte gebracht en geeft hij zijn toestemming of kan hij bezwaar maken tegen die verwerking.

3) Gegevensminimalisatie

Verzamel alleen persoonsgegevens die adequaat, relevant en beperkt zijn tot wat nodig is om de doeleinden waarvoor ze worden verwerkt te bereiken. Waar mogelijk zullen persoonsgegevens worden gepseudonimiseerd of geanonimiseerd.

4) Nauwkeurigheid

Houd persoonsgegevens accuraat en up-to-date gedurende de gehele levenscyclus, van de verzameling tot de vernietiging of verwijdering.

5) Opslagbeperking

Bewaar persoonsgegevens niet langer dan nodig om de legitieme en zakelijke doeleinden waarvoor de gegevens verzameld zijn. Het voorgaande dient steeds in overeenstemming te zijn met het intern beleid omtrent gegevensbewaring, tenzij Europese en/of nationale wetgeving anders bepaalt.

6) Integriteit en vertrouwelijkheid

Bescherm persoonsgegevens op een manier die een gepaste beveiliging garandeert, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of schade, met behulp van passende technische en organisatorische maatregelen.

Persoonsgegevens dienen enkel verwerkt te worden na analyse en toepassing van de bovenstaande principes. Daarom is het steeds belangrijk om:

  • Altijd de verwerking van persoonsgegevens te minimaliseren in termen van: aard, hoeveelheid, toegang en bewaring.
  • Voor nieuwe/gewijzigde procedures of systemen waarin persoonsgegevens worden verwerkt te analyseren van tevoren passende maatregelen te nemen.
  • Te zorgen voor beveiligingsmaatregelen met verschillende toegangsrechten op basis van een “need to know principe” in tegenstelling tot een “nice to know princpe”.

Gegevensopslag

Het elektronisch verwerken van persoonsgegevens vereist additieve beveiligingsmaatregelen tegen ongeoorloofde toegang, onbedoelde verwijdering en kwaadwillige hacking.

Daarnaast is het van uiterst belang dat persoonsgegevens enkel opgeslagen worden op aangewezen en beveiligde stuurprogramma’s en servers. Tot slot mogen persoonsgegevens enkel geüpload worden naar goedgekeurde cloud computing-services.

Gegevensgebruik en openbaarmaking

Bij bekendmaking en openbaarmaking van persoonsgegevens is het risico van verlies, beschadiging of diefstal het grootst. Let er steeds op dat:

  • Persoonsgegevens niet informeel gedeeld worden.
  • Persoonsgegevens niet bekendgemaakt worden aan onbevoegde personen, noch binnen de organisatie noch extern.
  • Medewerkers op de hoogte zijn van de verplichtingen inzake privacy en gegevensbescherming.
  • Persoonsgegevens die per e-mail worden verzonden of die elektronisch naar externe partijen worden verzonden, versleuteld zijn.
  • Sterke wachtwoorden ingesteld worden en niet gedeeld worden met externen of interne medewerkers.
  • Medewerkers elke gelegenheid aangrijpen om ervoor te zorgen dat gegevens worden nagekeken en, indien nodig, worden bijgewerkt.
  • Onrechtmatigheden met betrekking tot de verwerking van persoonsgegevens steeds communiceerd worden naar de bevoegde personen.

Inbreuk met betrekking tot persoonsgegevens

Elke verwerkingsverantwoordelijke draagt zorg voor een afdoend beveiligingsniveau en treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, niet-geoorloofde toegang of andere vormen van onrechtmatige verwerkingen. Deze maatregelen streven tevens naar het voorkomen van een onnodige en/of onrechtmatige verzameling en verwerking van persoonsgegevens. Inbreuken met betrekking tot persoonsgegevens steeds aan de coördinator of DPO te melden afhankelijk van de impact van de inbreuk.

 

Er is sprake van een inbreuk met betrekking tot persoonsgegevens wanneer er een van inbreuk op de beveiliging plaatsvindt die leidt tot het per ongeluk of onwettig vernietigen, verliezen, wijzigen, ongeautoriseerd openbaar maken van of toegang tot persoonsgegevens of als de gegevens niet beschikbaar worden gemaakt en deze onbeschikbaarheid een aanzienlijk negatief effect heeft op individuen. Voorbeelden hiervan zijn: het verlies van laptop, hacking, diefstal van een database, het lekken van een wachtwoord, etc.

Verantwoordelijkheden

Eenieder die beroep doet op de diensten van Zipster en persoonsgegevens verwerkt dient de beginselen inzake privacy en gegevensbescherming in acht te nemen.

Het is tevens van uiterst belang dat zorg- en hulpverleners als verwerkingsverantwoordelijken persoonsgegevens als vertrouwelijk classificeren. Eenieder behoort de vertrouwelijkheid van de persoonsgegevens te erkennen en daarnaar te handelen. Medewerkers voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Vragen over de inhoud van dit beleid of de werking van Zipster? Daarvoor kan je terecht bij de DPO via dpo@healthendeavour.agency.