Jeugdx verwerkt persoonsgegevens van cliënten, hun familie of vertegenwoordigers, medewerkers en (keten)partners. Deze gegevens zijn noodzakelijk voor het uitvoeren van kwalitatief goede zorg- en dienstverlening en het vervullen van onze rol als werkgever.
Het respecteren van privacy is voor ons vanzelfsprekend en onlosmakelijk verbonden met onze missie en kernwaarden. Cliënten, medewerkers en derden moeten erop kunnen vertrouwen dat wij zorgvuldig en veilig met hun persoonsgegevens omgaan.
Dit privacybeleid beschrijft hoe Jeugdx persoonsgegevens beschermt, welke rechten betrokkenen hebben en hoe wij voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en aanverwante wetgeving.
Dit privacybeleid is van toepassing op alle processen, onderdelen en systemen van Jeugdx, waaronder:
Een volledig overzicht van systemen waarin persoonsgegevens worden verwerkt is opgenomen in het Register van Verwerkingen.
Jeugdx houdt een volledig en actueel Register van Verwerkingen bij conform artikel 30 AVG.
Het register bevat:
Dit register is opvraagbaar voor de Autoriteit Persoonsgegevens en wordt periodiek bijgewerkt door de Functionaris Gegevensbescherming.
Dit beleid is gebaseerd op de volgende wet- en regelgeving:
Jeugdx hanteert de volgende beginselen conform artikel 5 AVG:
Wij verwerken persoonsgegevens alleen op basis van een geldige grondslag en informeren betrokkenen helder over wat wij met hun gegevens doen.
Persoonsgegevens worden uitsluitend verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Het Register van Verwerkingen beschrijft per verwerking het doel en de grondslag.
Wij verwerken alleen persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Wij zorgen ervoor dat persoonsgegevens actueel en correct zijn en corrigeren onjuiste gegevens onverwijld.
Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het doel of wettelijk verplicht. De bewaartermijnen zijn vastgelegd in het Register van Verwerkingen.
Persoonsgegevens worden vertrouwelijk behandeld en beschermd door passende technische en organisatorische beveiligingsmaatregelen, vastgelegd in het Informatiebeveiligingsbeleid.
Jeugdx verwerkt persoonsgegevens alleen met een geldige grondslag (artikel 6 AVG):
Voor bijzondere persoonsgegevens (waaronder gezondheidsgegevens) gelden aanvullende voorwaarden conform artikel 9 AVG.
Betrokkenen (cliënten, medewerkers en anderen van wie wij gegevens verwerken) hebben de volgende rechten:
U heeft recht op duidelijke informatie over welke gegevens wij verwerken, waarom, hoe lang en met wie wij deze delen.
U heeft recht op een kopie van uw persoonsgegevens en informatie over de verwerking daarvan.
U heeft recht op correctie van onjuiste gegevens of aanvulling van onvolledige gegevens.
U kunt in bepaalde gevallen verzoeken uw gegevens te wissen. Dit recht is niet absoluut en kan worden beperkt door wettelijke bewaarplichten.
U kunt vragen de verwerking van uw gegevens tijdelijk te beperken, bijvoorbeeld bij een geschil over juistheid.
U heeft recht op overdracht van uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat naar een andere organisatie.
U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of algemeen belang.
U heeft recht op menselijke tussenkomst bij besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd.
U kunt uw rechten uitoefenen door contact op te nemen met de Functionaris Gegevensbescherming via functionarisgegevensbescherming@jeugdx.nl. Wij reageren binnen vier weken op uw verzoek. Bij complexe verzoeken kan deze termijn met twee maanden worden verlengd; u wordt hierover geïnformeerd.
Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies, ongeoorloofde toegang, vernietiging, wijziging of openbaarmaking. Voorbeelden zijn: verlies van een USB-stick, gestolen laptop, verkeerd verzonden e-mail, hack of ransomware-aanval.
Elke medewerker die een (vermoedelijk) datalek constateert, meldt dit direct bij de Functionaris Gegevensbescherming. De FG beoordeelt of melding aan de Autoriteit Persoonsgegevens en/of betrokkenen noodzakelijk is.
Een datalek wordt gemeld aan de Autoriteit Persoonsgegevens (AP) als het waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen. De melding vindt plaats binnen 72 uur na ontdekking. Bij overschrijding van deze termijn wordt een motivering gegeven.
Betrokkenen worden onverwijld geïnformeerd als het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. De melding bevat informatie over de aard van het lek, mogelijke gevolgen en genomen maatregelen.
Alle datalekken worden geregistreerd in het interne datalekregister, inclusief feiten, gevolgen, genomen maatregelen en besluit over melding aan AP en/of betrokkenen.
Jeugdx heeft een Functionaris Gegevensbescherming (FG) aangesteld conform artikel 37 AVG. De FG-aanstelling is wettelijk verplicht op basis van de aard van onze verwerkingsactiviteiten. De FG is het centrale aanspreekpunt voor privacy-gerelateerde vragen en heeft de volgende taken:
Contact: functionarisgegevensbescherming@jeugdx.nl
Bij het ontwerpen of aanpassen van processen, systemen en producten houdt Jeugdx vanaf het begin rekening met de bescherming van persoonsgegevens. Dit betekent dat privacyrisico's worden geïdentificeerd en gemitigeerd voordat een nieuw systeem of proces wordt geïmplementeerd.
Standaardinstellingen van systemen en processen zijn zo ingericht dat alleen de noodzakelijke persoonsgegevens worden verwerkt. Toegang tot persoonsgegevens is beperkt tot medewerkers die deze nodig hebben voor hun werk.
Bij verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen, voert Jeugdx een DPIA uit. Dit geldt in ieder geval bij:
De FG adviseert bij de uitvoering van DPIA's. Uitkomsten worden gedocumenteerd en leiden tot passende maatregelen.
Wanneer Jeugdx persoonsgegevens laat verwerken door externe partijen (verwerkers), worden schriftelijke verwerkersovereenkomsten gesloten conform artikel 28 AVG. Deze overeenkomsten bevatten minimaal:
Jeugdx treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of wijziging. Maatregelen omvatten onder andere:
De specifieke maatregelen zijn vastgelegd in het Informatiebeveiligingsbeleid.
Jeugdx zorgt ervoor dat medewerkers zich bewust zijn van het belang van privacy en gegevensbescherming. Dit gebeurt door:
Betrokkenen die ontevreden zijn over de wijze waarop Jeugdx met hun persoonsgegevens omgaat, kunnen:
| Rol | Verantwoordelijkheid |
|---|---|
| Bestuur | Eindverantwoordelijk voor naleving AVG; vaststellen beleid |
| FG | Toezicht, advies, contactpersoon AP en betrokkenen |
| Management | Implementatie beleid binnen teams; escalatie incidenten |
| Medewerkers | Naleven beleid; melden incidenten; zorgvuldig omgaan met gegevens |
Het beleid wordt jaarlijks geëvalueerd en indien nodig herzien. Bij wijzigingen in wet- of regelgeving wordt het beleid tussentijds aangepast.
