Inhoud
lnleiding

Algemene bepalingen
1. Begripsbepalingen
2. Reikwijdte
3. Verwerkingsverantwoordelijke
4. Toegang tot persoonsgegevens
5. Vertegenwoordiging

Verwerking van persoonsgegevens
6. Doeleinden
7. Voorwaarden
8. Grondslagen
9. Register van verwerkingsactiviteiten

Rechten van betrokkenen
10. lnformatieplicht
11. Rechten van betrokkenen

Derdenverstrekking
12. Derdenverstrekking
13. Statistiek of wetenschappelijk onderzoek

Bewaartermijnen en vernietiging
14. Bewaartermijnen
15. Vernietiging

Overige- en slotbepalingen
16. Klachten en bezwaren
17. Slotbepalingen

Binnen Hecht wordt veel gewerkt met (bijzondere) persoonsgegevens van cliënten, diens wettelijk vertegenwoordigers, medewerkers en (keten)partners. Deze gegevens warden verzameld om de aan Hecht opgedragen (wettelijke) taken op een goede wijze te kunnen uitvoeren. Een betrokkene moet erop kunnen vertrouwen dat Hecht zorgvuldig en veilig met diens persoonsgegevens omgaat. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen verschillende eisen aan de bescherming van gegevens en privacy. Hecht is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te nemen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Hecht geeft middels dit reglement een invulling aan hoe wordt omgegaan met privacy binnen de organisatie en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit reglement is van toepassing op de gehele organisatie, alle processen, sectoren, onderdelen, objecten en gegevensverzamelingen van Hecht. Voor de verwerking van persoonsgegevens van medewerkers van Hecht is de ‘Regeling gegevensbescherming medewerkers Hecht van toepassing.

In (beleids)documenten kunnen bepalingen uit dit reglement nader uitgewerkt zijn, bv. op welke wijze betrokkenen hun rechten ten aanzien van de verwerkingen kunnen uitoefenen.

Wettelijk kader voor de verwerking van persoonsgegevens

Hecht is een organisatie met vele verschillende (wettelijke) taken al dan niet in opdracht van de gemeenten in de regio Hollands Midden, waarbij per taak verschillende persoonsgegevens verwerkt kunnen warden. Hecht is verplicht waarborgen te geven die bij deze verwerkingen nodig zijn.

Daarbij dient zij rekening te houden met de bepalingen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) maar oak onder meer met het bepaalde in de Wet Publieke Gezondheid (Wpg), de Wet op de geneeskundige behandelingsovereenkomst (Wgbo), de Wet maatschappelijke ondersteuning 2015 (Wmo), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Hecht neemt bovenstaand wettelijk kader en de andere op Hecht van toepassing zijnde privacy wet- en regelgeving in dit reglement in acht.

1. Begripsbepalingen

1.1 Persoonsgegevens
Alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Denk hierbij aan naam, adres, woonplaats, geboortedatum en e-mailadres. Anonieme persoonsgegevens zijn geen persoonsgegevens en vallen niet onder dit reglement.

1.2 Bijzondere persoonsgegevens
Persoonsgegevens waaruit iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken. Daarnaast zijn bijzondere persoonsgegevens genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

1.3 Verwerking
Een verwerking is alles wat je met een persoonsgegeven doet, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

1.4 Betrokkene
De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

1.5 Wettelijk vertegenwoordiger
De ouder(s) of voogd(en) die het gezag uitoefen(t) en over een minderjarige, de mentor of curator van de betrokkene die niet in staat is tot een redelijke waardering van diens belangen ter zake.

1.6 Verwerkingsverantwoordelijke
Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.7 Verwerker
De persoon of organisatie die de persoonsgegevens verwerkt in opdracht en ten behoeve van een andere persoon of organisatie.

1.8 Autoriteit Persoonsgegevens
De conform artikel 51 AVG ingestelde onafhankelijke overheidsinstantie dat tot taak heeft het handhaven van de bepalingen uit de privacy wet- en regelgeving.

1.9 Ontvanger
Een natuurlijke persoon of een rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens warden verstrekt.

1.10 Bestand
Een gestructureerde verzameling persoonsgegevens die via een bepaalde logica toegankelijk is, bv. een archiefkast of verzameling naamkaartjes.

1.11  Geautomatiseerde verwerking
Verwerkingen die warden uitgevoerd met behulp van computers, smartphones, tablets, servers, databases etc.

2. Reikwijdte

2.1 Dit reglement is van toepassing op een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens door Hecht of wanneer persoonsgegevens door Hecht zijn opgenomen in een bestand of daartoe bestemd zijn en die verband houden met de aan Hecht opgedragen (wettelijke) taken.

2.2 Dit reglement is niet van toepassing op de verwerking van persoonsgegevens van medewerkers van Hecht. Voor medewerkers is het ‘Reglement bescherming persoonsgegevens medewerkers Hecht’ van toepassing.

3. Verwerkingsverantwoordelijke

De bestuursorganen van Hecht zijn allemaal verantwoordelijken voor de verwerkingen die door of namens Hecht worden uitgevoerd. De bestuursorganen van Hecht zijn het algemeen bestuur, het dagelijks bestuur en de voorzitter van het dagelijks bestuur.

4. Toegang tot persoonsgegevens

Directe toegang tot de persoonsgegevens van een betrokkene hebben alleen die personen die werkzaam zijn voor Hecht en die belast zijn met het uitvoeren van een betreffende (wettelijke) taak van Hecht of van de verwerker. Deze personen hebben uitsluitend toegang voor zover noodzakelijk voor de uitvoering van hun taak. Anderen dan de hiervoor genoemde personen hebben slechts toegang indien een wettelijk voorschrift Hecht verplicht tot het verlenen van toegang.

5. Vertegenwoordiging

lndien persoonsgegevens worden verwerkt van minderjarigen jonger dan zestien jaar of van een betrokkene die niet in staat kan worden geacht tot een redelijke waardering van diens belangen ter zake, treden de wettelijke vertegenwoordigers in de plaats van de betrokkene, tenzij bij of krachtens de wet anders is bepaald.

6. Doeleinden

6.1 Persoonsgegevens mogen alleen worden verwerkt indien daarvoor een doel bestaat. Voor de verwerking van persoonsgegevens door Hecht gelden de volgende algemene doeleinden:

a. Het mogelijk maken van de uitvoering van de aan Hecht opgedragen (wettelijke) taken;
b. Het voldoen aan wettelijke verplichtingen in het kader van de uitvoering van de aan Hecht opgedragen (wettelijke) taken;
c. Ondersteuning en instandhouding van preventie, zorg en nazorg aan betrokkenen;
d. Het financieel afhandelen van geboden zorg aan de betrokkene met de betrokkene dan wel met diens zorgverzekeraar c.q. de opdrachtgever;
e. Ondersteuning bij intercollegiale toetsing en evaluatie;
f. Het vastleggen van gegevens met het oog op het ontwikkelen van beleid, ten behoeve van wetenschappelijk onderzoek, onderwijs en advisering;
g. Het adviseren van gemeentebesturen in het kader van het door hen te voeren gezondheidsbeleid;
h. Het vastleggen van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van Hecht.

6.2 Voor de bijzondere doeleinden per verwerking wordt verwezen naar het register van verwerkingsactiviteiten van Hecht zoals bedoeld in artikel 9 van dit reglement.

7. Voorwaarden

7.1 Persoonsgegevens worden door Hecht in overeenstemming met de wet- en regelgeving verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. In dit kader draagt Hecht er zorg voor dat het voor de betrokkene inzichtelijk is in hoeverre en op welke manier er persoonsgegevens bij Hecht van de betrokkene worden verwerkt.

7.2 Persoonsgegevens worden voor de in artikel 6 van dit reglement genoemde doeleinden door Hecht verzameld en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

7.3 Persoonsgegevens worden slechts door Hecht verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Hecht treft tevens de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen persoonsgegevens.

7.4 Hecht draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

7.5 Hecht geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

8. Grondslagen

8.1 Persoonsgegevens mogen slechts worden verwerkt indien deze berust op ten minste een van de volgende gronden:

a. de betrokkene heeft voor de verwerking diens ondubbelzinnige toestemming verleend;
b. de gegevensverwerking is noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van de overeenkomst maatregelen te nemen;
c. de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan Hecht onderworpen is;
d. de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene of van een andere natuurlijke persoon;
e. de gegevensverwerking is noodzakelijk voor de goede vervulling van een taak van algemeen belang of van een publiekrechtelijke taak dat aan Hecht is opgedragen;
f. de verwerking is noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van Hecht of van een derde aan wie de gegevens worden verstrekt, tenzij het belang van de betrokkene op de bescherming van de persoonlijke levenssfeer prevaleert.

8.2 Behoudens het bij of krachtens de wet bepaalde is verwerking van bijzondere persoonsgegevens verboden. Ten behoeve van de uitvoering van bepaalde (wettelijke) taken is Hecht bevoegd en/of verplicht om zonder toestemming van de betrokkene bijzondere persoonsgegevens, waaronder gegevens omtrent de gezondheid, huiselijk geweld of kindermishandeling, ras en etnische afkomst en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid te verwerken.

8.3 Indien de verwerking berust op het bepaalde in lid 1 onder a is de betrokkene gerechtigd te allen tijde diens gegeven toestemming weer in te trekken. Hecht staakt vanaf dat moment de verwerking.

9. Register van verwerkingsactiviteiten

9.1 Hecht houdt een register van verwerkingsactiviteiten die onder verantwoordelijkheid van Hecht plaatsvinden bij.

9.2 Het register van verwerkingsactiviteiten bevat de volgende gegevens:

a. naam en contactgegevens van Hecht, eventuele gezamenlijke verwerkingsverantwoordelijken en van de functionaris van de gegevensbescherming van Hecht;
b. de (bijzondere) verwerkingsdoeleinden;
c. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
e. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
f. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

9.3 In het register van verwerkingsactiviteiten van Hecht worden de volgende categorieën van persoonsgegevens gehanteerd:

• Stamgegevens;
• Overige personalia (zoals telefoonnummer en e-mailadres);
• Sociaal/medische gegevens;
• Financiële en administratieve gegevens;
• Gegevens derden.

10.1 Hecht informeert de betrokkene over de persoonsgegevens die worden verwerkt, met welk doel deze worden verwerkt, wie daarvoor verantwoordelijk is, aan wie deze eventueel worden verstrekt of doorgegeven, hoe lang deze worden bewaard, welke rechten betrokkene ten aanzien van de verwerking heeft en waar de betrokkene indien gewenst een klacht kan indienen. Betrokkene wordt daarbij gewezen op dit reglement en andere beschikbare bronnen waarin te vinden is hoe met de persoonsgegevens binnen Hecht wordt omgegaan.

10.2 Indien de persoonsgegevens verkregen zijn van de betrokkene zelf, informeert Hecht bij de verkrijging daarvan betrokkene over de in lid 1 opgenomen informatie.

10.3 Indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen, informeert Hecht de betrokkene uiterlijk binnen één maand na verkrijging van diens persoonsgegevens over de in lid 1 opgenomen informatie tenzij uitzonderlijke omstandigheden of een wettelijke bepaling een langere termijn vergen. Hecht verstrekt daarbij tevens informatie over de herkomst van de persoonsgegevens tenzij een uitzondering bij of krachtens de wet van toepassing is.

10.4 Lid 1 en lid 3 is niet van toepassing wanneer en voor zover de betrokkene al over deze informatie beschikt.

10.5 Het verstrekken van informatie zoals genoemd in lid 3 blijft achterwege indien:

1. dat onmogelijk blijkt of onevenredig veel inspanning van Hecht zou vergen;
2. indien het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij of krachtens de wet;
3. de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een wettelijk geregeld beroepsgeheim.

11. Rechten van betrokkenen

11.1 De betrokkene heeft het recht:

a. om bij Hecht te informeren of diens persoonsgegevens worden verwerkt;
b. op inzage in, kopie van en/of correctie, aanvulling of verwijdering van op de betrokkene betrekking hebbende door Hecht verwerkte persoonsgegevens;
c. om Hecht te verzoeken diens persoonsgegevens te rectificeren, af te schermen, te beperken of over te dragen;
d. om niet onderworpen te worden aan geautomatiseerde besluitvorming, waaronder profilering.
e. om vanwege met diens specifieke situatie verband houdende redenen zich tegen de verwerking van diens persoonsgegevens door Hecht te verzetten indien:

• de verwerking door Hecht plaatsvindt omdat dit noodzakelijk is voor de uitoefening van een taak van algemeen belang of openbaar gezag;
• de verwerking plaatsvindt in verband met een gerechtvaardigd belang van Hecht;
• de persoonsgegevens worden verwerkt ten behoeve van directe marketing;
• de persoonsgegevens worden verwerkt voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden.

11.2 Verzoeken ter uitvoering van bovengenoemde rechten worden zo spoedig mogelijk maar uiterlijk binnen één maand na ontvangst van het verzoek door Hecht beantwoord. Indien het verzoek erg complex is of gelet op het aantal verzoeken van de betrokkene kan Hecht deze termijn met maximaal twee maanden verlengen. De betrokkene wordt binnen één maand van deze verlenging op de hoogte gebracht.

11.3 Indien de betrokkene het verzoek elektronisch indient, wordt indien mogelijk de beantwoording van het verzoek elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

11.4 Hecht kan het uitvoeren van bovengenoemde rechten door betrokkene beperken of (gedeeltelijk) weigeren indien dit bij of krachtens de wet is bepaald.

11.5 Voor de verstrekking van een afschrift worden geen kosten in rekening gebracht tenzij sprake is van ongegronde of buitensporige verzoeken. Indien de betrokkene om bijkomende kopieën verzoekt, kan Hecht op basis van de administratieve kosten wel een redelijke vergoeding van betrokkene vragen voor deze kopieën. Deze redelijke vergoeding bedraagt € 0,23 per pagina met een maximum van € 22,50 in het geval de kopie meer dan honderd pagina’s betreft.

11.6 Hecht stelt iedere ontvanger aan wie persoonsgegevens van de betrokkene zijn verstrekt, in kennis van elke rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

11.7 Hecht draagt zorg voor het vaststellen van de identiteit van de betrokkene ten behoeve van het uitoefenen van diens rechten. Dit ten behoeve van de controle of degene die het verzoek doet ook daadwerkelijk degene is op wie de gegevens betrekking hebben.

12. Derdenverstrekking

Hecht verstrekt alleen met toestemming van de betrokkene inlichtingen over de betrokkene, dan wel afschrift van de bescheiden, aan anderen dan de betrokkene, tenzij bij of krachtens de wet anders is bepaald. Verstrekking mag verder alleen plaatsvinden voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. Verstrekking kan zonder inachtneming van het voorgaande plaatsvinden indien het bij of krachtens de wet bepaalde daartoe verplicht.

13. Statistiek of wetenschappelijk onderzoek

13.1 Zonder toestemming van de betrokkene kunnen ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van onder meer de volksgezondheid, opgroei- en opvoedingsproblemen, psychische problemen en stoornissen, kinderbescherming of jeugdreclassering aan een ander desgevraagd inlichtingen over de betrokkene of inzage in de persoonsgegevens van betrokkene worden verstrekt indien:

a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of;
b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

13.2 Verstrekking overeenkomstig het eerste lid is slechts mogelijk indien:

a. het onderzoek het algemeen belang dient,
b. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en
c. voor zover de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.

13.3   Bij verstrekking overeenkomstig het eerste lid wordt daarvan aantekening gehouden in het dossier waarin de persoonsgegevens van betrokkene zijn opgeslagen.

14. Bewaartermijnen

14.1 Hecht bewaart persoonsgegevens niet langer dan noodzakelijk is in het kader van het doel van de verwerking.

14.2 In afwijking van het gestelde in lid 1 kan bij of krachtens de wet een langere bewaartermijn van toepassing zijn. Voor het volledige overzicht van de bewaartermijnen per verwerking wordt verwezen naar het register van verwerkingsactiviteiten van Hecht.

15. Vernietiging

15.1 Hecht vernietigt de door haar bewaarde persoonsgegevens binnen drie maanden na een daartoe strekkend, en een door Hecht gehonoreerd, verzoek van de betrokkene.

15.2 Indien de bewaartermijn zoals genoemd in artikel 14 van dit reglement is verstreken, worden de desbetreffende persoonsgegevens zo spoedig mogelijk doch uiterlijk binnen één jaar na het verstrijken van de termijn verwijderd en vernietigd.

15.3   Vernietiging blijft achterwege wanneer:

• langere bewaring redelijkerwijs voortvloeit uit de zorg van een goed hulpverlener;
• redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene;
• bewaring op grond van een wettelijk voorschrift vereist is;
• indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat;
• indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

16. Klachten en bezwaren

16.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement of de wet niet worden nageleefd of een andere reden heeft tot klagen kan de betrokkene daartoe bij Hecht een klacht indienen. Op indiening en behandeling van klachten is de Klachtenregeling Hecht van toepassing.

16.2 Een beslissing op een verzoek als bedoeld in artikel 11 van dit reglement geldt als een besluit in de zin van de Algemene wet bestuursrecht. Tegen deze besluiten zijn bezwaar en beroep mogelijk conform hoofdstuk 6 van de Algemene wet bestuursrecht.

16.3 Indien betrokkene van mening is dat diens rechten worden geschonden kan deze zich ook wenden tot andere (rechterlijke) instanties, waaronder de Autoriteit persoonsgegevens.

17. Slotbepalingen

17.1 Dit reglement kan worden aangehaald als ‘Privacyreglement Hecht’ en treedt in werking op de datum van uitgifte in het publicatieblad waarin zij wordt geplaatst.

17.2 Dit reglement kan door betrokkenen worden opgevraagd bij Hecht en is op de website www.wijzijnhecht.nl te raadplegen. Hecht draagt zorg dat via de overige websites (van sectoren of onderdelen) van Hecht, dit reglement eenvoudig raadpleegbaar is voor betrokkenen.

17.3 Voor zover dit reglement in strijd is met de geldende wet- en regelgeving is de wet- en regelgeving leidend.

17.4 Dit reglement kan door het dagelijks bestuur van Hecht worden gewijzigd en vervangt alle voorgaande reglementen met betrekking tot de bescherming van persoonsgegevens van betrokkenen.