Het belang van gegevensbescherming
Het Centrum voor Functionele Revalidatie vzw hecht grote waarde aan het juist beschermen van de gegevens die zij verwerkt en in het bijzonder aan persoonsgegevens. Middels dit beleid wil het revalidatiecentrum op strategisch niveau vastleggen op welke wijze gegevens beschermd worden, welke verantwoordelijkheden hierrond zijn toegewezen en welke prioriteiten het revalidatiecentrum heeft bepaald rond de bescherming van gegevens.
In het bijzonder wil het Centrum voor Functionele Revalidatie vzw de gegevens van klanten en de persoonsgegevens die zij ter beschikking stelt, beschermen tegen:
De directie wil in dit beleid een beroep doen op iedereen die betrokken is bij de verwerking van gegevens, zowel elektronisch als op papier, om samen vanuit een gemeenschappelijke visie én vanuit onze gezamenlijke wil:
Dit beleidshandboek gaat dieper in op de bescherming van de persoonlijke levenssfeer van en meer in het bijzonder, de informationele privacy. Dit beleidshandboek dient als norm voor het verwerken van alle persoonsgegevens door het Centrum voor Functionele Revalidatie vzw . Het is een leidraad voor alle verwerkingsprocessen en biedt een referentienorm voor audit en controle. Het beleidshandboek biedt elke belanghebbende, medewerker of betrokken externe een inzage in het gegevensbeschermingsbeleid en de manier waarop we omgaan met gevoelige persoonsgegevens.
Het handboek is tevens geschreven voor iedereen die een functie heeft binnen het Centrum voor Functionele Revalidatie vzw waarbij persoonsgegevens verwerkt worden. Ze gebruiken (delen van) dit beleidshandboek voor het ontwerpen van procedures en richtlijnen voor medewerkers en externen, zoals ICT-leveranciers. De relevante onderdelen van dit beleidshandboek worden verwerkt in overeenkomsten met cliënten, personeel en leveranciers.
Toepassingsgebied
Het is de directie die bij de start van de arbeidsovereenkomst bepaalt tot welke applicaties en met welke rechten de medewerker toegang mag krijgen, dit conform met de voorhanden zijnde procedures.
Daarnaast is er een autorisatiematrix om de specifieke toegangen te beheren.
Cliënteninformatie:
Personeelsinformatie:
Alle medewerkers die in de uitoefening van hun functie in contact komen met persoonlijke gegevens, en in het bijzonder de HR medewerkers die met personeelsgegevens in contact komen, zullen een confidentialiteitsclausule ondertekenen als addendum aan hun contract.
Alle sollicitanten, vrijwilligers, stagiaires die met personeelsgegevens in contact komen, zullen een confidentialiteitsclausule ondertekenen als addendum.
De organisatie van gegevensbescherming
Bevoegdheid
De verantwoordelijkheid voor de verwerking van gegevens is een bevoegdheid van het Centrum voor Functionele Revalidatie vzw, vertegenwoordigd door de directie.
De directeur is verantwoordelijk voor het formuleren en vaststellen van, alsook voor het toezien op en de naleving van de beleidsprincipes binnen het Centrum voor Functionele Revalidatie vzw, hierbij ondersteund door de Raad van Bestuur en de Algemene Vergadering.
Het bestuur
Het bestuur fungeert als formeel beslissingsplatform voor gegevensbescherming. Het is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten:
Het aanspreekpunt informatieveiligheid
Het aanspreekpunt informatieveiligheid treedt op als contactpersoon voor de DPO en wordt aangesteld vanuit de Federatie.
Hij/zij draagt niet de eindverantwoordelijkheid i.v.m. het naleven van de AVG. Deze ligt bij de directie en het bestuur.
Het aanspreekpunt kent idealiter de aard van de data waarover het Centrum voor Functionele Revalidatie vzw beschikt alsook de datastromen.
Het aanspreekpunt helpt mee aan het bewustmakingsproces over hoe het Centrum voor Functionele Revalidatie vzw veilig moet omgaan met persoonsgegevens en hij/zij helpt mee om samen met de directie en het bestuur het informatieveiligheids- en privacybeleid toe te passen.
Daarnaast zal hij/zij de nodige documenten opstellen zoals b.v. het register van verwerkingsactiviteiten om aan te tonen dat het Centrum voor Functionele Revalidatie vzw aan de AVG voldoet en is hij/zij het eerste aanspreekpunt bij gegevenslekken.
De DPO
De inhoudelijke opvolging van het gegevensbeschermingsbeleid ligt bij de Data Protection Officer (DPO). De opdracht van DPO wordt ingevuld door een externe consultant, mevrouw Saskia Monseur. Zij voert deze taak uit volgens de bepalingen in de GDPR. Het Centrum voor Functionele Revalidatie vzw geeft de identiteit (en eventuele wijzigingen) van de DPO door aan de gegevensbeschermingsautoriteit. De DPO rapporteert aan de directeur van het Centrum voor Functionele Revalidatie vzw en is in het bijzonder belast met het:
Contactgegevens externe DPO: Mevrouw Monseur Saskia
Tel: 0496/945297
Email: gdpr@federatie.be
De medewerker
Iedereen (intern of extern) die gegevens verwerkt (bijvoorbeeld inkijkt, registreert, wijzigt, …), doet dit volgens de beleidsprincipes uit dit beleidshandboek. De gebruiker verwerkt gegevens in overeenstemming met de discretieplicht, en conform onderstaande principes.
hij/zij:
ICT-medewerker (of key user)
De ICT-medewerker of key user zijn, bovenop de verantwoordelijkheden voor de gebruiker, ook verantwoordelijk voor:
ICT-leverancier
De ICT-leverancier heeft dezelfde verantwoordelijkheden als deze van een ICT-medewerker.
Bijkomend:
Scope van het gegevensbeschermingsbeleid
Dit beleid is van toepassing voor de gehele levensduur van informatie binnen het Centrum voor Functionele Revalidatie vzw, Het geldt In het bijzonder vanaf het verkrijgen van informatie tot de uiteindelijke verwijdering van informatie binnen de organisatie en dit voor:
Voor bepaalde domeinen of processen binnen het Centrum voor Functionele Revalidatie vzw kunnen aanvullende richtlijnen of procedures worden uitgewerkt die in detail omschrijven welke maatregelen genomen worden om het gewenste niveau van gegevensbescherming te bereiken. Dit beleid is de overkoepelende factor waar alle andere richtlijnen of procedures onder vallen.
Gezien de belangrijke rol van de ICT-leveranciers bij het opzetten van de ICT-omgeving om gegevens te verwerken, legt het beleidshandboek hiervoor ook de beleidsprincipes vast.
Bewerkers van cliëntenbestanden en hun bevoegdheden
Alle medewerkers van het Centrum voor Functionele Revalidatie vzw die voor de uitvoering van hun taken toegang nodig hebben tot persoonsgegevens, zijn verplicht het vertrouwelijk karakter van de betrokken gegevens strikt in acht te nemen.
De volgende personen zijn belast met de bewerking van de persoonsgegevens van cliënten binnen de inhoud van hun opdracht en binnen de doeleinden eigen aan deze opdracht (niet limitatief):
Interne en externe raadpleging van de cliëntenbestanden, rechten en plichten van de bewerkers
Intern:
Extern:
Binnen het kader van art. 7, lid 4 W.B.P.L. zijn volgende categorieën van instanties gerechtigd tot het verkrijgen van gegevens uit de cliëntenbestanden:
De aard van de verwerkte gegevens en de wijze waarop ze verkregen worden
De aard van de gegevens wordt als volgt vastgelegd:
- identificatiegegevens, waaronder het rijksregisternummer
- financiële en administratieve gegevens met betrekking tot opname en facturatie waaronder het lidmaatschap van het ziekenfonds
- medische, paramedische en verpleegkundige gegevens opgesplitst volgens:
Het beheer van risico’s
Het Centrum voor Functionele Revalidatie vzw brengt de risico’s inzake gegevensbescherming in kaart aan de hand van een risicoanalyse. Deze werd uitgevoerd op basis van volgende criteria (toetsingskader):
De analyse brengt operationele, tactische en technische risico’s in kaart. De bevindingen uit de risicoanalyse werden besproken en werden opgenomen in een actieplan om de gevonden risico’s te behandelen. Hierin onderkent het Centrum voor Functionele Revalidatie vzw vier mogelijk risicobehandelingen:
Alle nodige voorzieningen worden getroffen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Tevens worden de nodige technische en organisatorische maatregelen getroffen ter beveiliging van de cliëntenbestanden tegen verlies of aantasting van de gegevens en tegen ongeoorloofde kennisneming, wijziging of verstrekking daarvan.
Het doel is dat de risicoanalyse jaarlijks wordt herzien.
Elk jaar zullen ook sensibiliseringscampagnes worden gehouden voor de medewerkers van het Centrum voor Functionele Revalidatie vzw.
Aangezien het Centrum voor Functionele Revalidatie vzw over een grote hoeveelheid gevoelige data beschikt, heeft de ICT dienst een autorisatiematrix uitgewerkt waarin per departement en per dienst is aangegeven welke rol welke bevoegdheid heeft op vlak van digitale toegangen.
Bewaartermijnen
Met inachtneming van eventuele wettelijke voorschriften geldt, te rekenen vanaf het laatste ontslag of de laatste behandeling van de patiënt, voor de persoonsgegevens die identificatie toelaten een bewaartermijn van (niet limitatief):
Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de bestanden verwijderd en vernietigd binnen een termijn van één jaar.
Vernietiging blijft evenwel achterwege wanneer:
Indien betreffende gegevens zodanig bewerkt zijn dat herleiding tot individuele personen redelijkerwijze onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
Rechten en mogelijkheden van verweer van de patiënt in het kader van de bescherming van de persoonlijke levenssfeer
De patiënt die zijn identiteit bewijst, heeft het recht vanwege de verantwoordelijke voor de verwerking kennis te krijgen van:
Iedereen mag zich kosteloos en zonder enige motivering verzetten tegen het verwerken van gegevens met het oog op direct marketing.
Bij de verzameling van persoonsgegevens die op de patiënt betrekking hebben, wordt deze omtrent de in art. 4 W.B.P.L. vermelde topics geïnformeerd via o.a. de website van het Centrum voor Functionele Revalidatie vzw.
Bovendien heeft elke patiënt het recht om hetzij op rechtstreekse wijze of hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg, kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt. Deze aanvraag tot inzage of afschrift dient gericht te worden tot de algemene directie.
Indien de patiënt van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere redenen tot klagen heeft omtrent de bescherming van diens persoonlijke levenssfeer, kan deze zich steeds wenden tot de in §5 vermelde perso(o)n(en) en tot de directie.
Ongeacht alle hierboven opgesomde interne rechts- en verweermiddelen, kan de patiënt zich overeenkomstig de art. 13, 14 en 63 e.v. W.B.P.L. respectievelijk wenden tot de Voorzitter van de Rechtbank van Eerste Aanleg en tot de Commissie voor de bescherming van de Persoonlijke Levenssfeer, Hoogstraat 139 – 1000 BRUSSEL.
Het Centrum voor Functionele Revalidatie vzw zowel in haar rol als verwerkingsverantwoordelijke als verwerker
Inwerkingtreding en wijzigingen
Deze versie van het privacybeleid treedt in werking op 25 mei 2018.
Stationsstraat 409060 Zelzate
ma: | 8u45 - 12u00 | 12u45 - 17u00 |
di: | 8u45 - 12u00 | 12u45 - 17u30 |
wo: | 8u45 - 12u15 | 12u45 - 17u00 |
do: | 8u45 - 12u00 | 12u45 - 17u00 |
vr: | 8u45 - 12u00 | 12u45 - 17u00 |
Deze website maakt gebruik van cookies.