Privacyverklaring

Algemeen Privacybeleid en disclaimer stichting het Heft

  1. Inleiding

Binnen Stichting Het Heft worden persoonsgegevens verwerkt. Persoonsgegevens worden verkregen van de betrokkenen zelf, maar soms ook van derde partijen, bijvoorbeeld de werkgever van de betrokkene. De betrokkenen moeten erop kunnen vertrouwen dat Stichting Het Heft  zorgvuldig met hun persoonsgegevens omgaat en deze afdoende beveiligt tegen verlies of onrechtmatige verwerking. In dit privacyreglement laat Stichting Het Heft   zien op welke manier zij omgaat met persoonsgegevens en privacy. Het beschermen van persoonsgegevens is complex en wordt steeds complexer door technologische ontwikkelingen, nieuwe Europese wetgeving en uitdagingen op het terrein van veiligheid en beveiliging. Stichting Het Heft  heeft privacy hoog in het vaandel staan en vindt het daarom belangrijk om transparant te zijn over de manier waarop zij ernaar streeft om met persoonsgegevens om te gaan, en de privacy van betrokkenen te waarborgen.

In dit reglement zet Stichting Het Heft   onder meer uiteen welke categorieën van persoonsgegevens zij verwerkt, voor welke doeleinden en wat de verwerkingsgrondslag is. Zij geeft eveneens aan welke categorieën van betrokkenen er zijn en welke rechten zij kunnen uitoefenen. Tevens wordt aandacht geschonken aan de ontvangers van de persoonsgegevens, eventuele (sub)verwerkers), de technische en organisatorische beveiliging van persoonsgegevens en een procedure datalekken.

2. Wet- en regelgeving

Stichting Het Heft is verantwoordelijk voor het opstellen, uitvoeren en handhaven van een persoonsgegevensverwerkingsbeleid, dat onder andere in dit reglement uiteen wordt gezet. Het gaat hier om de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming.

3. Begrippen
In dit reglement wordt een aantal termen gebruikt die een specifieke (wettelijke) betekenis hebben. Het betreft de volgende termen:
Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt. Dat kan bijvoorbeeld een medewerker van Stichting Het Heft , een cliënt of een sollicitant zijn.
Verwerker: De persoon of organisatie die persoonsgegevens verwerkt in opdracht van en uitsluitend ten behoeve van een andere persoon of organisatie, die in dat verband als verwerkingsverantwoordelijke is aan te merken.
Verwerkingsverantwoordelijke: Een persoon of organisatie die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Zo is XXX bijvoorbeeld een verwerkingsverantwoordelijke als zij de persoonsgegevens van haar cliënten verwerkt in de cliëntenadministratie. Zij bepaalt immers voor welk doel zij welke persoonsgegevens van haar cliënten verwerkt.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene);
Bijzondere persoonsgegevens: Gegevens die betrekking hebben op ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, seksueel gedrag of seksuele geaardheid.
Personeel: Alle personen die werkzaam zijn bij/voor Stichting Het Heft , waaronder begrepen werknemers, ZZP’ers, stagiaires en vrijwilligers, met uitzondering van uitzendkrachten.
Verwerking van persoonsgegevens: Een verwerking omvat alles wat er met een persoonsgegeven wordt ‘gedaan’, al dan niet via geautomatiseerde procedés. Dat hoeft overigens niet een actieve handeling te zijn. Voorbeelden van verwerkingen zijn: vastleggen, bewaren, raadplegen, opvragen, verzamelen, bij elkaar voegen, verstrekken aan een ander, doorgifte en vernietigen.
Autoriteit Persoonsgegevens: De autoriteit die tot taak heeft toe te zien op de verwerking van persoonsgegevens en de naleving van wet- en regelgeving.

4. Reikwijdte van dit privacyreglement
Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens van betrokkenen door of namens Stichting Het Heft .
Dit reglement heeft ten doel dat de verwerking van persoonsgegevens plaats vindt conform de relevante geldende wet- en regelgeving, waaronder de AVG en de uitvoeringswet AVG. Daarmee tracht Stichting Het Heft :
– de persoonlijke levenssfeer van betrokkene(n) te beschermen tegen onrechtmatige verwerking en/of misbruik van haar persoonsgegevens, tegen verlies van die gegevens en tegen het verwerken van onjuiste gegevens;
– te voorkomen dat persoonsgegevens verder worden verwerkt of worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
– de betrokkene(n) te informeren over de persoonsgegevensverwerkingen die door of namens de verwerkingsverantwoordelijke plaatsvinden en over de rechten die de betrokkene(n) heeft/hebben.

5. Uitgangspunten bij de verwerking van persoonsgegevens
Stichting Het Heft neemt bij de verwerking van persoonsgegevens de navolgende uitgangspunten in acht en draagt er zorg voor dat zij ook daadwerkelijk kan aantonen dat deze beginselen in acht worden genomen en dat zij daarmee voldoet aan haar verantwoordingsplicht uit de AVG.
Rechtmatigheid, behoorlijkheid, transparantie
Stichting Het Heft streeft ernaar de persoonsgegevens in overeenstemming met de wet- en regelgeving te verwerken en op een wijze die ten aanzien van de betrokkene(n) rechtmatig, behoorlijk en transparant is.
Grondslag en doelbinding
Stichting Het Heft zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een gerechtvaardigd doel en een gerechtvaardigde grondslag verwerkt.
Dataminimalisatie
Stichting Het Heft streeft ernaar uitsluitend de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel te verwerken. Zij streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Juistheid
Stichting Het Heft streeft ernaar dat de persoonsgegevens die worden verwerkt juist zijn en deze zo nodig te actualiseren. Zij streeft ernaar om de persoonsgegevens die onjuist zijn, te wissen of te rectificeren.
Bewaren van persoonsgegevens
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is, met in achtneming van de wettelijke bewaartermijnen. Het bewaren van persoonsgegevens kan nodig zijn om de taken van Stichting Het Heft goed uit te kunnen oefenen, de vooraf bepaalde doelen te realiseren of om wettelijke verplichtingen te kunnen naleven.
In voorkomend geval zal Stichting Het Heft passende technische en organisatorische maatregelen treffen om de rechten en vrijheden van de betrokkene(n) te beschermen.
Integriteit en vertrouwelijkheid
Stichting Het Heft gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen die daartoe geautoriseerd zijn en slechts voor het doel waarvoor deze zijn verzameld. Daarbij zorgt Stichting Het Heft voor passende organisatorische en technische maatregelen die waarborgen dat persoonsgegevens passend worden beveiligd en dat zij beschermd zijn tegen ongeoorloofde en onrechtmatige verwerking, tegen onopzettelijk verlies, vernietiging of beschadiging.
Verwerkers
In het geval van samenwerking met externe partijen – verwerkers-, waarbij sprake is van verwerking van persoonsgegevens, maakt Stichting Het Heft in een zogenaamde verwerkersovereenkomst afspraken over de eisen waar deze gegevensuitwisseling aan moet voldoen. Deze afspraken dienen te voldoen aan de wet- en regelgeving. Stichting Het Heft controleert deze afspraken periodiek.

Privacy by Design en Privacy by Default
Stichting Het Heft draagt er zorg voor dat bij de ontwikkeling van (nieuwe) producten, diensten en (informatie)systemen rekening wordt gehouden met de beginselen van de AVG en overige toepasselijke privacy wet- en regelgeving. Rekening houdend met de stand van de techniek, de kosten en de aard, de omvang, de context en het doel van de verwerking, alsook met de risico’s voor de rechten en vrijheden van de betrokkenen die met de specifieke verwerking zijn verbonden, treft Stichting Het Heft in voorkomende gevallen privacybescherming verhogende maatregelen.
Rechten van betrokkenen
Stichting Het Heft streeft ernaar alle rechten van betrokkenen te respecteren en zoveel als redelijkerwijs mogelijk eventuele verzoeken tot uitoefening van die rechten door betrokkenen te honoreren. Onder rechten van betrokken(n) worden verstaan: het recht op informatie, op inzage, op rectificatie, op vergetelheid, op beperking van de verwerking, op dataportabiliteit en recht van bezwaar.

6. Functionaris Gegevensbescherming
Stichting Het Heft heeft vrijwillig gekozen voor het aanstellen van een Functionaris Gegevensbescherming, dit is
naam AY Koekoek
correspondentieadres: Postbus 43 8260AA Kampen
e-mailadres administratie@hetheft.nl

7. Persoonsgegevens verwerkingen binnen Stichting Het Heft
Doeleinden
Op grond van de geldende wet- en regelgeving mogen persoonsgegevens alleen verzameld worden als daarvoor vooraf een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De persoonsgegevens mogen niet voor andere doelen worden verwerkt.
Rechtmatige grondslag verwerking van persoonsgegevens
Op grond van de geldende wet- en regelgeving geldt daarnaast dat voor elke verwerking van persoonsgegevens een rechtmatige grondslag (zoals die worden genoemd in artikel 6 AVG) moet bestaan – derhalve naast de eis van een gerechtvaardigd en uitdrukkelijk omschreven doel. Dat betekent dat Stichting Het Heft persoonsgegevens alleen mag verwerken in een van de volgende limitatieve gevallen:
– wanneer de betrokkene(n) toestemming heeft/hebben gegeven voor de specifieke verwerking (inclusief het doel daarvan);
– als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waar de betrokkene partij bij is, of voor handelingen die op verzoek van de betrokkene(n) worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst;
– de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting;
– de verwerking noodzakelijk is om de vitale belangen van de betrokkene(n) of een andere natuurlijke persoon te beschermen. Hiervan is niet snel sprake, wel – bijvoorbeeld – indien gegevens moeten worden verwerkt om een acute en ernstige bedreiging voor de gezondheid van de betrokkene(n) te bestrijden;
– de verwerking noodzakelijk is voor de behartiging van gerechtvaardigd belang van Stichting Het Heft of een derde, tenzij het belang of fundamentele rechten en vrijheden van de betrokkene(n) prevaleren, met name wanneer de betrokkene een kind is.
In de meeste gevallen zal Stichting Het Heft een andere grondslag hebben dan de grondslag toestemming. In die gevallen waarin toestemming van de betrokkene een noodzakelijke voorwaarde is voor de persoonsgegevensverwerking is relevant wat er onder toestemming wordt verstaan. Onder toestemming wordt verstaan: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn/haar persoonsgegevens aanvaardt. Indien de betrokkene toestemming geeft voor de verwerking van zijn/haar persoonsgegevens zal Stichting Het Heft dat documenteren. Daarmee kan zij aantonen dat de toestemming is gegeven. De betrokkene heeft het recht zijn/haar toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming voor de intrekking echter onverlet. Stichting Het Heft draagt er zorg voor dat de betrokkene zijn/haar toestemming net zo eenvoudig kan intrekken, als dat hij/zij zijn/haar toestemming heeft gegeven aan Stichting Het Heft .
Rechtmatige grondslag verwerking van bijzondere persoonsgegevens
Bijzondere persoonsgegevens worden niet verwerkt tenzij met inachtneming van het bepaalde in artikel 9 van de AVG.
Persoonsgegevensverwerking binnen Stichting Het Heft
Binnen Stichting Het Heft vinden onder andere de navolgende persoonsgegevensverwerkingen plaats voor de navolgende doelen:

PERSONEEL
7.1 Personeel

7.1.1. De verwerking van persoonsgegevens van personeel van Stichting Het Heft heeft ten doel:

a. het aangaan van de overeenkomst tussen betrokkene en Stichting Het Heft , waaronder de arbeidsovereenkomst, de overeenkomst van opdracht, de stage- overeenkomst of de vrijwilligersovereenkomst;
b. het vaststellen van (salaris)aanspraken en (arbeids)voorwaarden;
c. het (laten) uitbetalen van salaris, en zo nodig de afdracht van belastingen en premies;
d. de uitvoering van een voor de betrokkene geldende (arbeids)voorwaarde;
e. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
f. het beëindigen van de onder a genoemde overeenkomsten;
g. het geven van leiding aan de werkzaamheden van betrokkene (artikel 6 lid 1 sub b AVG);
h. het verstrekken van de bedrijf medische zorg voor betrokkene en het kunnen nakomen van re-integratieverplichtingen bij verzuim (artikel 6 lid 1 sub c AVG);
i. het toegang verlenen tot het bedrijfsnetwerk (artikel 6 lid 1 sub b AVG);
j. het regelen van en de controle van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband (artikel 6 lid 1 sub b AVG);
k. de behandeling van personeelszaken, anders dan genoemd onder a. tot en met j., waaronder tevens wordt begrepen informatie en communicatie;
7.1.2. Grondslagen van de gegevensverwerking:
De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 7.1.1. vindt plaats op basis van de grondslagen genoemd in artikel 6 AVG.
7.1.3. Geen andere persoonsgegevens worden verwerkt dan:
1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, zoals het e-mailadres (zowel zakelijk als privé) alsmede IBAN- nummer van de betrokkene;
2. BSN-nummer;
3. kopie ID-bewijs/paspoort;
4. een personeelsnummer dat geen andere informatie bevat dan bedoeld onder a;
5. nationaliteit en geboorteplaats;
6. gegevens als bedoeld onder a., van de ouders, voogden of verzorgers van minderjarige werknemers;
7. gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
8. gegevens betreffende de arbeidsvoorwaarden;
9. gegevens betreffende het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura;
10. gegevens betreffende het berekenen, vastleggen en betalen van belasting en premies;
11. gegevens betreffende de functie of de voormalige functie(s), alsmede betreffende de aard, de inhoud en de beëindiging van voorgaande dienstverbanden;
12. gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
13. gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden en veiligheid;
14. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op overeengekomen arbeidsvoorwaarden;
15. gegevens met betrekking tot de functie-uitoefening, de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;
16. inloggegevens van het bedrijfsnetwerk;
17. foto’s en videobeelden met of zonder geluid van activiteiten van Stichting Het Heft ;
18. camerabeelden van het bedrijfsterrein en de algemeen toegankelijke ruimten van Stichting Het Heft ;
19. de gegevens met betrekking tot het tijdstip, de datum en de plaats waarop de camera-opnamen zijn gemaakt;
20. IP-adressen;
21. Huwelijkse staat;
22. Kentekens van motorvoertuigen;
23. BIG-Registratie;
24. Verklaring Omtrent Gedrag (VOG);
25. andere dan de onder 1. tot en met 24. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere niet nader genoemde wet.
7.1.4. Voor de onder 7.1.1. genoemde doelen worden de navolgende persoonsgegevens genoemd in artikel 7.1.3. verwerkt:
a. het aangaan van de arbeidsovereenkomst;
b. het vaststellen van salarisaanspraken en arbeidsvoorwaarden;
c. het (laten) uitbetalen van salaris en de afdracht van belastingen en premies;
d. de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarden;
e. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
f. het verlenen van ontslag;
g. het geven van leiding aan de werkzaamheden van betrokkene;
h. het verstrekken van de bedrijf medische zorg voor betrokkene en het kunnen nakomen van re-integratieverplichtingen bij verzuim;
i. het toegang verlenen tot het bedrijfsnetwerk;
j. het regelen en de controle van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
k. de behandeling van personeelszaken, anders dan genoemd onder a. tot en met j.
l. het laten uitoefenen van accountantscontrole en het laten vaststellen van aanspraken op bekostiging;
7.1.5. Bewaarplaats van de persoonsgegevens
De persoonsgegevens genoemd in artikel 7.1.3 worden bewaard in een fysiek dossier (gegevens van personeel uit dienst voor medio 2015), dat wordt bewaard in het kantoor van de heer AAA. En worden (tevens) bewaard in het digitale administratiesysteem.

UITZENDKRACHTEN
7.2 Uitzendkrachten

7.2.1. De verwerking van persoonsgegevens van uitzendkrachten van Stichting Het Heft heeft ten doel:
a. het vaststellen van aanspraken van het uitzendbureau;
b. de uitvoering van de uitzendovereenkomst;
c. het geven van leiding aan de werkzaamheden van betrokkene;
d. het toegang verlenen tot het bedrijfsnetwerk;
e. het laten uitoefenen van accountantscontrole en het laten vaststellen van aanspraken op
bekostiging.
7.2.2. Grondslagen van de gegevensverwerking:

De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 7.2.1. vindt plaats op basis van de grondslagen genoemd in artikel 6 AVG.
7.2.3. Geen andere persoonsgegevens worden verwerkt dan:

naam, voornamen, geslacht en voor communicatie benodigde gegevens, zoals telefoonnummer en e-mailadres.

SOLLICITANTEN
7.3 Sollicitanten
7.3.1. De verwerking van persoonsgegevens van sollicitanten van Stichting Het Heft heeft ten doel:
a. de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is en communicatie daarover met sollicitant;
b. de beoordeling van de geschiktheid van betrokkene voor een functie die in de nabije toekomst vacant kan komen;
c. de afhandeling van de door de sollicitant gemaakte onkosten;
d. de uitvoering of toepassing van enige toepasselijk wet- en regelgeving.
7.3.2. Grondslagen van de gegevensverwerking:
De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 7.1.1. vindt plaats op basis van de grondslagen genoemd in artikel 6 AVG.
7.3.3. Geen andere persoonsgegevens worden verwerkt dan:
a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, zoals het e-mailadres alsmede IBAN-nummer van de betrokkene;
b. stages;
c. gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;
d. gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;
e. andere gegevens met het oog op het vervullen van de functie (bijvoorbeeld gegevens in het kader van een te voeren voorkeursbeleid voor minderheden of re-integratiebeleid);
f. andere gegevens met het oog op het vervullen van de functie, die door of na toestemming van de betrokkene zijn verstrekt (assessments, psychologisch onderzoek, uitslag medische keuring);
g. andere dan de onder a. tot en met f. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
7.3.4. Voor de onder 7.3.1. genoemde doelen worden de navolgende persoonsgegevens genoemd in artikel 7.3.3. verwerkt:
1. de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is;
2. de beoordeling van de geschiktheid van betrokkene voor een functie die in de nabije toekomst vacant kan komen;
3. de uitvoering of toepassing van wetgeving.
7.3.5. Bewaarplaats van de persoonsgegevens

De persoonsgegevens onder a. tot en met g. worden bewaard op servers van Stichting Het Heft .

BEZOEKERS
7.4. Bezoekers Website
Stichting Het Heft informeert bezoekers van de website wwwhetheft.nl bij een bezoek aan de website over de doeleinden en (persoonsgegevens)gegevens (cookies daaronder begrepen) die worden verwerkt bij een bezoek aan de website.

CLIENTEN
7.5 Cliënten
7.5.1. De verwerking van persoonsgegevens van cliënten heeft ten doel:
a. het aangaan en de uitvoering van de zorgovereenkomst;
b. het onderhouden van contacten door de verwerkingsverantwoordelijke met de familieleden en mantelzorgers van cliënten in het kader van het aangaan en de uitvoering van de zorgovereenkomst;
c. het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
d. de uitvoering of de toepassing van enige wet- en regelgeving;
e. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
f. het behandelen van geschillen;
g. het laten uitoefenen van accountantscontrole en het laten vaststellen van aanspraken op bekostiging;
7.6.2. Grondslagen van de gegevensverwerking:
De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 7.6.1. vindt plaats op basis van de grondslagen genoemd in artikel 6 AVG.
7.6.3. Geen andere persoonsgegevens worden verwerkt dan:
1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, geboorteplaats, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, zoals het e-mailadres alsmede IBAN-nummer van cliënten;
2. BSN-nummer;
3. Huwelijkse staat;
4. gegevens als bedoeld onder 1., van de ouders, voogden of verzorgers van minderjarige cliënten;
5. gegevens als bedoeld onder 1., waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van cliënten, van familieleden en/of mantelverzorgers van cliënten, die nodig zijn met het oog op de uitvoering van de zorgovereenkomst;
6. gegevens betreffende de indicatie van cliënten (van het Centrum Indicatiestelling Zorg (CIZ));
7. gegevens betreffende de gezondheid van cliënten, ofwel de medische gegevens die nodig zijn voor het uitvoeren van de zorgovereenkomst;
8. gegevens betreffende het berekenen, vastleggen en betalen van belasting en premies, gegevens van de zorgverzekeraar;
9. gegevens die in het belang van cliënten worden opgenomen met het oog op hun gezondheid en veiligheid;
10. andere dan de onder 1. tot en met 9. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge hetgeen noodzakelijk is met het oog op de toepassing van een andere niet nader genoemde wet.
7.6.4. Voor de onder 7.6.1. genoemde doelen worden de navolgende persoonsgegevens genoemd in artikel 7.6.3. verwerkt:
1. het aangaan en de uitvoering van de zorgovereenkomst;
2. het onderhouden van contacten door de verwerkingsverantwoordelijke met de familieleden en mantelzorgers van cliënten in het kader van het aangaan en de uitvoering van de zorgovereenkomst;
3. het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
4. de uitvoering of de toepassing van enige wet- en regelgeving;
5. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
6. het behandelen van geschillen;
7. het laten uitoefenen van (accountants)controle en het laten vaststellen van aanspraken op bekostiging;
7.6.5. Bewaarplaats van de persoonsgegevens
1. De persoonsgegevens genoemd in artikel 7.6.3 onder a. tot en met k. worden bewaard in een fysiek dossier (gegevens van voor medio 2016), dat wordt bewaard in het kantoor van AAA.
2. De persoonsgegevens genoemd in artikel 7.6.3. worden (tevens) bewaard in het digitale administratiesysteem (vanaf medio 2016)
3. De persoonsgegevens genoemd in artikel 7.6.3. worden bewaard op servers die zich in afgesloten en slechts voor bevoegden toegankelijke datacentra binnen de Europese Unie bevinden.
4. In het kader van diensten die door derden worden verricht wordt tevens gebruik gemaakt van de servers van door Stichting Het Heft gecontracteerde verwerkers alsmede van servers van derden.

8. Toegang tot persoonsgegevens en verwerkers
Toegang tot persoonsgegevens hebben degenen, medewerkers en derden, die zijn belast met of leidinggeven aan de activiteiten die in verband staan met de verwerking van de desbetreffende persoonsgegevens of die daarbij noodzakelijk zijn betrokken.
Indien derde partijen een (deel van de) verwerking namens Stichting Het Heft verrichten (zogenaamde verwerkers), zal Stichting Het Heft met die partijen een verwerkersovereenkomst sluiten. Bovendien schakelt Stichting Het Heft alleen verwerkers in die afdoende garanties bieden en afdoende maatregelen treffen zodat de bescherming van de persoonsgegevens gewaarborgd zal zijn en de verwerking daarvan ook bij hen in overeenstemming is met de geldende wet- en regelgeving. Stichting Het Heft houdt een overzicht van de door haar ingeschakelde verwerkers bij.
Andere (rechts)personen krijgen alleen toegang tot de persoonsgegevens die Stichting Het Heft verwerkt indien:
– de betrokkene (of zijn/haar ouders/vertegenwoordigers in het geval van een minderjarig kind) zijn uitdrukkelijke toestemming heeft verleend voor het verstrekken (van toegang tot) de persoonsgegevens; of
– het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de nakoming van een wettelijke plicht door Stichting Het Heft ; of
– het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak).

9. Rechten betrokkenen
Uit de toepasselijke wet- en regelgeving volgt dat betrokkenen een aantal rechten hebben die zij jegens Stichting Het Heft kunnen doen gelden. Het betreft de volgende rechten:
Recht op informatie;
Recht op inzage;
Recht op rectificatie;
Recht op vergetelheid;
Recht op beperking van de verwerking;
Recht op dataportabiliteit;
Recht van bezwaar.
Stichting Het Heft zal de te verstrekken informatie en de met de betrokken te voeren communicatie in beknopte, transparante, begrijpelijke en gemakkelijke toegankelijk vorm en in duidelijke en eenvoudige taal verstrekken/voeren. De informatie wordt in beginsel schriftelijk verstrekt.
Stichting Het Heft daaronder draagt er zorg voor zo spoedig mogelijk te reageren op rechtmatige verzoeken van betrokkenen, doch uiterlijk binnen een maand na ontvangst van het verzoek. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Stichting Het Heft stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. De informatie wordt in beginsel elektronisch verstrekt.
Indien Stichting Het Heft twijfelt aan de identiteit van de verzoeker, vraagt zij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn/haar identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Hierdoor wordt de beantwoordingstermijn als bedoeld in lid 3 van dit artikel opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
Wanneer Stichting Het Heft geen gevolg geeft aan het verzoek van de betrokkene, deelt zij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert zij hem/haar over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens en beroep bij de rechter in te stellen.
Behandeling van verzoeken en het verstrekken van gevraagde informatie is in beginsel kosteloos, tenzij verzoeken kennelijk ongegrond of buitensporig zijn. In voorkomend geval mag XXX een vergoeding vragen voor de administratieve kosten die gepaard gaan met het verstrekken van de informatie of communicatie of met het treffen van de gevraagde maatregelen, dan wel weigeren om gevolg te geven aan het verzoek.
Indien Stichting Het Heft voldoet aan een verzoek tot rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking, stelt zij iedere ontvanger aan wie de persoonsgegevens zijn verstrekt daarvan in kennis, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt verstrekt Stichting Het Heft informatie over deze ontvangers.
De uitoefening van het inzagerecht en het recht op dataportabiliteit wordt begrensd door de rechten en vrijheden van anderen. De uitoefening daarvan zal derhalve geen afbreuk doen aan de rechten en vrijheden van derden.
Betrokkenen kunnen hun rechten op de volgende wijze uitoefenen:
Recht op informatie: De betrokkene heeft recht op transparante, begrijpelijke en gemakkelijk toegankelijke informatie ter zake de verwerking van zijn/haar persoonsgegevens door Stichting Het Heft . Deze informatie kan de betrokkene verkrijgen bij de functionaris gegevensbescherming. Stichting Het Heft geeft tevens invulling aan haar plicht tot het verstrekken van informatie door middel van dit reglement.
Recht op inzage: Betrokkene heeft de mogelijkheid om aan Stichting Het Heft te vragen óf, en op welke manier, zijn/haar persoonsgegevens worden verwerkt. Hij/Zij kan van dit recht gebruik maken door de Functionaris Gegevensbescherming schriftelijk te verzoeken opgave te verstrekken van de persoonsgegevens die Stichting Het Heft van hem/haar verwerkt. Stichting Het Heft verstrekt tevens informatie over de verwerkingsdoeleinden, de categorieën van persoonsgegevens, de ontvangers van de persoonsgegevens, indien mogelijk de bewaartermijn (en als dat niet mogelijk is: de criteria aan de hand waarvan wordt bepaald hoe lang de persoonsgegevens worden bewaard), de overige rechten van de betrokkenen, het recht van de betrokkene om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Tot slot verstrekt Stichting Het Heft informatie over de bron van de persoonsgegevens als de persoonsgegevens niet bij de betrokkene zelf zijn verzameld.
Recht op rectificatie: De betrokkene heeft het recht om Stichting Het Heft te verzoeken zijn/ haar persoonsgegevens te rectificeren of aan te vullen indien deze onjuist of onvolledig zijn.
Recht op vergetelheid: De betrokkene heeft het recht om Stichting Het Heft te verzoeken zijn/ haar persoonsgegevens te verwijderen. De betrokkene kan hiertoe een verzoek doen bij de Functionaris Gegevensbescherming. Stichting Het Heft zal dan nagaan of en in hoeverre aan het verzoek van betrokkene kan worden voldaan. Stichting Het Heft is gehouden aan dat verzoek te voldoen indien de persoonsgegevens niet langer nodig zijn voor doel waarvoor ze zijn verzameld, de betrokkene de toestemming waarop de verwerking berust intrekt en er geen andere rechtsgrond voor de verwerking bestaat, de betrokkene bezwaar maakt tegen de verwerking en er geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking zijn, de persoonsgegevens onrechtmatig zijn verwerkt of de persoonsgegevens gewist moeten worden om te kunnen voldoen aan een wettelijke verplichting die op Stichting Het Heft rust.
Stichting Het Heft is niet gehouden om aan het verzoek tot verwijdering van de persoonsgegevens te voldoen indien de verwerking daarvan noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en informatie, voor nakomen van een op Stichting Het Heft rustende wettelijke verplichting, om redenen van algemeen belang op het gebied van volksgezondheid (een en ander in lijn met het bepaalde in de AVG), met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89 van de AVG of voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Recht op beperking van de verwerking: De betrokkene heeft het recht om XXX te verzoeken de verwerking van zijn/haar persoonsgegevens te beperken indien een van de volgende situaties aan de orde is:
– de juistheid van de persoonsgegevens wordt betwist door de betrokkenen, gedurende een periode die XXX in staat stelt de juistheid van de persoonsgegevens te controleren;
– de verwerking is onrechtmatig en de betrokkene wenst niet dat de persoonsgegevens worden gewist maar slechts het gebruik daarvan wordt beperkt;
– XXX heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor zij ze heeft verkregen, maar de betrokkene heeft ze nodig voor de instelling, uitoefening of onderbouwing van de rechtsvordering;
– nadat de betrokkene bezwaar heeft gemaakt; in afwachting van het antwoord op de vraag of de belangen van XXX zwaarder wegen dan die van de betrokkene.
Indien een verzoek tot beperking wordt gehonoreerd worden de persoonsgegevens – met uitzondering van de opslag daarvan – uitsluitend verwerkt met toestemming van de betrokkene. Stichting Het Heft zal in dat geval in haar bestanden/systemen aangeven welke persoonsgegevens op grond van een gehonoreerd verzoek zijn beperkt.
Indien een gehonoreerd verzoek om beperking van de verwerking wordt opgeheven, wordt de betrokkene op de hoogte gebracht voordat de beperking van de verwerking door Stichting Het Heft wordt opgeheven.
Recht op dataportabiliteit: De betrokkene heeft het recht zijn/haar persoonsgegevens, die hij/zij zelf aan Stichting Het Heft heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm van Stichting Het Heft te verkrijgen of Stichting Het Heft te verzoeken deze over te dragen aan een andere verwerkingsverantwoordelijke. Dit geldt echter uitsluitend indien de verwerking berust op toestemming of op noodzakelijkheid voor de uitvoering van de overeenkomst waarbij de betrokkene partij is én de verwerking via geautomatiseerde procedés wordt verricht.
Recht op bezwaar: Betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens, indien verwerking zijn grondslag vindt in de gerechtvaardigde belangen van Stichting Het Heft . Zij zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of indien ze verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering. Indien de persoonsgegevens ten behoeve van de direct marketing worden verwerkt, zal Stichting Het Heft altijd aan het verzoek voldoen.

10. Getroffen technische en organisatorische (beveiligings-)maatregelen
De verwerkingsverantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens.
De wijze van beveiliging van beveiliging van de persoonsgegevens is beschreven en toegelicht in het informatiebeveiligingsbeleid van Stichting Het Heft .
Tevens hanteert Stichting Het Heft een gedragscode, onder andere voor het gebruik van ICT, e-mail, internet, en sociale media. Deze gedragscode geeft de wijze aan waarop binnen Stichting Het Heft wordt omgegaan met informatie- en communicatietechnologie. Dit protocol omvat (gedrags)regels ten aanzien het gebruik van de ICT en geeft regels voor welke doeleinden en op welke wijze controle plaats vindt op dit gebruik.
De door Stichting Het Heft getroffen technische en organisatorische maatregelen garanderen, rekening houdend met de stand der techniek en de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van de betrokkenen, een op het risico afgestemd passend beveiligingsniveau. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

11. Beveiligingsincidenten en datalekken
Ondanks de beveiligingsmaatregelen die Stichting Het Heft heeft getroffen is het mogelijk dat er zich beveiligingsincidenten voordoen die een inbreuk in verband met de persoonsgegevens met zich meebrengen. Indien zulks het geval is zal Stichting Het Heft een dergelijk incident zo spoedig mogelijk nadat zij er kennis van heeft genomen aan de Autoriteit Persoonsgegevens melden, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Indien het incident daarnaast waarschijnlijk een hoger risico inhoudt voor de rechten en vrijheden van natuurlijke personen deelt Stichting Het Heft ook de betrokkenen de inbreuk zo spoedig mogelijk mee. In dat kader heeft Stichting Het Heft een procedure datalekken opgesteld. Stichting Het Heft documenteert alle inbreuken in verband met de persoonsgegevens, met inbegrip van de feiten en de gevolgen daarvan en de getroffen corrigerende maatregelen.

12. Verwerkingsregister
Stichting Het Heft houdt een schriftelijk register van de verwerkingsactiviteiten bij die onder haar verantwoordelijkheid plaatsvinden. Dat register bevat in ieder geval de volgende gegevens:
– de naam en contactgegevens van Stichting Het Heft en van de Functionaris Gegevensbescherming;
– de doelen van de verwerking;
– een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
– een beschrijving van de (categorieën) ontvangers van de persoonsgegevens;
– een beschrijving van de doorgifte van persoonsgegevens aan een derde land of internationale organisatie;
– indien mogelijk, de termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
– een algemene beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.

13. Functionaris Gegevensbescherming
Stichting Het Heft heeft vrijwillige een Functionaris Gegevensbescherming (FG) aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens binnen Stichting Het Heft . De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens en betrokkenen. Alhoewel Stichting Het Heft een FG heeft aangesteld blijft zij zelfstandig verantwoordelijk voor de naleving van de geldende (privacy) wet- en regelgeving.
Betrokkenen kunnen met de FG contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en met de uitoefening van hun rechten. Voor de contactgegevens verwijzen we naar artikel 6.

14. Doorgifte van persoonsgegevens (buiten NL, buiten EU)
XXX verwerkt de persoonsgegevens in Nederland (of in een land in de Europese Unie) en geeft ze niet door aan landen of internationale organisaties buiten de Europese Unie.

15. Klachten
Indien de betrokkene van mening is dat Stichting Het Heft in verband met de verwerking van zijn/ haar persoonsgegevens inbreuk maakt op de geldende wet- en regelgeving dan wel op dit reglement, kan hij/zij zich wenden tot de functionaris gegevensbescherming van Stichting Het Heft . Indien dit voor betrokkene niet leidt tot een acceptabel resultaat, kan hij/zij zich wenden tot:
– De klachtenfunctionaris inzake de klachtenprocedure van Stichting Het Heft ;
– De Autoriteit Persoonsgegevens. De betrokkene kan de Autoriteit Persoonsgegevens verzoeken een onderzoek in te stellen;

16. Slotbepalingen
Stichting Het Heft kan dit reglement wijzigen.
Dit reglement treedt per 25-05-2018 in werking bij Stichting Het Heft Eventuele voorgaande privacyreglementen komen hierdoor te vervallen.
Dit reglement is gepubliceerd op de website van Stichting Het Heft : www.hetheft