Privacyverklaring
JLD Zorg en Wonen, hierna te noemen JLD, verwerkt persoonsgegevens. Dit doet JLD voor de eigen organisatie. Door de aard van onze dienstverlening beschikken wij over bepaalde gegevens van je. In deze verklaring leggen we uit welke (persoons)gegevens wij verwerken, wanneer we dit doen en voor welke doeleinden.
Wij zijn een platte organisatie, waarbij de diensten die wij leveren persoonlijk, eenvoudig en betrouwbaar zijn. De behoeften van de mensen die onze diensten afnemen staan voorop, daarom zijn wij voortdurend aan het ontwikkelen en op zoek naar manieren om onze dienstverlening te verbeteren.
Wij hechten veel waarde aan het beschermen van jouw persoonlijke gegevens en gaan hier erg zorgvuldig mee om. Elke verwerking van gegevens die wij doen, voldoet aan de huidige wet- en regelgeving op het gebied van privacy (AVG).
Toepassing
Deze privacyverklaring is van toepassing op de verwerking van gegevens van en door JLD.
Verwerking
JLD verwerkt gegevens die verstrekt zijn door de mensen die gebruik maken van de diensten, in de breedste zin van het woord, van JLD. Daarnaast verwerkt Loug gegevens die verstrekt zijn door mensen die diensten leveren aan JLD.
JLD verzamelt gegevens bij het aangaan van: een zorgovereenkomst, arbeidsovereenkomst en projectopdrachten, vrijwilligersovereenkomst.
Welke gegevens verzamelen en waarom?
In het algemeen verzamelen wij alleen gegevens die noodzakelijk zijn om de diensten te verlenen.
De algemene gegevens die wij verzamelen zijn:
(bedrijfs)naam
Adres
Woonplaats
Telefoonnummer
Emailadres
Geslacht
Geboortedatum
De algemene gegevens zijn nodig om de overeenkomsten en lidmaatschappen tot stand te brengen.
Zorgovereenkomst
Wanneer je een zorgovereenkomst met ons afsluit dan verzamelen we naast bovenstaande algemene gegevens ook nog de volgende gegevens van je:
Diagnose en indicatie
Medische informatie
Dossier vorige zorgverlener (wanneer van toepassing)
– BSN
– Kopie ID
– Zorgverzekeringsgegevens
– Contactgegevens belangenbehartigers
De bovenstaande gegevens worden verzameld om de zorg op een juiste manier te kunnen leveren en te voldoen aan de wettelijke verplichtingen die we hebben.
Arbeidsovereenkomst
Wanneer je bij ons komt werken verzamelen we naast de algemene gegevens ook nog de volgende gegevens van je:
• IBAN
• BSN
• Kopie ID
• Zorgverzekering
• Kopie van relevante diploma’s en cursussen
• VOG
• ARBO-gegevens (wanneer van toepassing)
De gegevens die we verzamelen bij het aangaan van een arbeidsovereenkomst zijn wettelijk verplicht of noodzakelijk voor het verrichtten van betalingen.
Vrijwilligersovereenkomst
Ook wanneer je vrijwilliger bent binnen onze organisatie hebben we naast de algemene gegevens soms ook nog andere gegevens van je nodig:
- IBAN
- BSN
- VOG
- Kopie ID
Bij het aangaan van een vrijwilligersovereenkomst verzamelen we bovenstaande gegevens om te controleren of je in sommige gevallen geschikt bent om als vrijwilliger te werken. Een voorbeeld hiervan is het VOG. Wanneer je regelmatig in aanraking komt met onze bewoners, die soms kwetsbaar zijn, willen we zeker weten dat je geen risico vormt.
Jou rechten
Je kunt altijd inzicht krijgen in de gegevens die door ons worden verwerkt. Ook kun je je gegevens laten aanpassen of laten verwijderen. Let wel, wij kunnen niet altijd gehoor geven aan jouw vraag om gegevens te verwijderen. Wij moeten bijvoorbeeld bij een arbeidsovereenkomst bepaalde stukken zeven jaar bewaren. Als wij geen gehoor kunnen geven aan jouw verzoek dan zullen we dit aan je uitleggen. Wanneer je inzicht wil in jouw gegevens of iets wil wijzigen of verwijderen dan kun je contact op nemen met ons via info@jldzorgenwonen.nl
Beveiliging
JLD neemt passende technische en organisatorische maatregelen om jouw gegevens te beveiligen tegen ongeoorloofde toegang, vernietiging (al dan niet opzettelijk), verspreiding of een andere vorm van onrechtmatige verwerking van je gegevens.
Alle digitale gegevens worden bewaard op beveiligde servers. Daarnaast worden de gegevens die aan ons op papier zijn verstrekt, bewaard in een brandkast. Onze website maakt gebruik van een betrouwbaar SSL certificaat. Een beperkt aantal mensen heeft toegang tot jouw gegevens. Jouw gegevens zijn alleen inzichtelijk en toegankelijk voor medewerkers van JLD die deze nodig hebben voor het uitvoeren van hun werk.
Bewaren
Wij bewaren jouw gegevens voor de doeleinden zoals eerder in dit document beschreven. Dit doen wij niet langer dan nodig is.
Derden of verwerkers
Het kan zijn dat we jouw gegevens moeten delen met een ander bedrijf. Bijvoorbeeld voor het uitvoeren van de loonadministratie. Dit zijn verwerkers. Wij geven aan de verwerker alleen de noodzakelijke gegevens en deze verwerkers worden verplicht om jouw persoonsgegevens te beschermen. Wij sluiten met alle verwerkers een overeenkomst af waarin bovenstaande zaken zijn opgenomen.
Intellectuele eigendomsrechten
Alle informatie die op onze website (teksten, logo’s, illustraties en foto’s) zijn ons eigendom of zijn met toestemming opgenomen. Het is niet toegestaan om, zonder onze toestemming, deze informatie te kopiëren, door te sturen of tegen vergoeding beschikbaar te stellen.
Meldplicht datalekken
Wanneer wij een datalek hebben, zijn wij verplicht dit binnen 72 uur te melden bij de autoriteit persoonsgegevens. Heb jij nu een mogelijk datalek bij ons ontdekt? Meld dit dan zo snel mogelijk bij info@jldzorgenwonen.nl . Vermeld in je mail de gegevens waarmee wij met jou in contact kunnen komen en beschrijf kort het (mogelijke) datalek.
Vragen
Heb je vragen of opmerkingen over deze verklaring dan horen wij dit graag. Je mag dan een mail sturen naar info@jldzorgenwonen.nl
Wijzigen privacyverklaring
JLD houdt zich het recht voor om wijzigingen aan te brengen aan deze verklaring.
Gegevens rechtspersoon
JLD Zorg & Wonen
Praam 9
8433 HA Haulwerwijk
Telefoon: 06 42 32 33 81
Email: info@jldzorgenwonen.nl
Functionaris gegevensbescherming (FG)
Marcel de Vries is onze functionaris gegevensbescherming. U kunt u via e-mail contact opnemen met de FG’er op het volgende adres defreeze@protonmail.com.
PROTOCOL MELDPLICHT DATALEKKEN
Overwegingen:
• JLD hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt
• het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden
• JLD is op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen
• JLD wenst aan haar wettelijke verplichtingen te voldoen
• JLD heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt toch een datalek plaatsvindt
1 – Definitie datalek
Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
2 – Interne verantwoordelijke melding datalekken
1. JLD heeft een interne verantwoordelijke voor de verwerking van datalekken aangesteld die verantwoordelijk is voor de melding van een datalek.
2. Deze verantwoordelijke is: Nienke Klunder, telefoonnummer: 06 42 32 33 81; e-mailadres: info@jldzorgenwonen.nl , hierna te noemen: ‘interne verantwoordelijke’.
3 – Interne melding bij ontdekking van een datalek
1. Degene die een datalek bij JLD ontdekt, meldt dit per omgaande aan de interne verantwoordelijke.
2. Indien mogelijk, zorgt degene die het datalek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk gemaakt.
4 – Onderzoek door de interne verantwoordelijke
De interne verantwoordelijke onderzoekt onder meer:
• of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden
• wie of welke afdelingen binnen de organisatie betrokken zijn bij het datalek
• of er een verwerker betrokken is bij het incident
5 – Bestrijding datalek
De interne verantwoordelijke stopt het datalek indien dat nog kan en neemt voorts de noodzakelijke maatregelen om het datalek zo goed mogelijk te bestrijden.
6 – Vaststelling van de gevolgen van een datalek
De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het datalek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kan zijn.
7 – Medewerking verstrekking gegevens omtrent het datalek
De ontdekker/melder van het datalek biedt alle medewerking aan de interne verantwoordelijk door zo snel en zo goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:
• wat is er gebeurd? (omschrijving van het incident)
• ging het per ongeluk of is het veroorzaakt door kwade opzet (denk aan gehackte gegevens)?
• wanneer is het gebeurd? (datum en tijdstip)
• wanneer is het ontdekt?
• wat voor gegevens(registers) zijn gelekt?
• zijn de gegevens versleuteld, en zo ja hoe?
• konden de gegevens op afstand worden gewist of ontoegankelijk gemaakt, en zo ja, is dat gebeurd?
• wat zijn de mogelijke gevolgen voor de betrokkenen?
• welke groep(en) personen is/zijn hierdoor getroffen? (bijvoorbeeld: leerlingen, patiënten, premium leden)
• hoeveel personen zijn hierdoor (bij benadering) getroffen?
• zijn er ook gegevens van personen in andere EU-landen getroffen door het datalek?
• konden er al technische en/of organisatorische maatregelen worden getroffen naar aanleiding van het incident?
8 – Beschikbaarheid personeel na ontdekking datalek
De verantwoordelijke van de afdeling vanuit waar het datalek heeft plaatsgevonden alsook de ontdekker van het datalek en iedereen die vanuit hun functie of kennis in staat is om organisatorische en/of technische maatregelen te treffen om de gevolgen van het datalek te beperken, houden zich de 1e 24 uur na ontdekking van het datalek beschikbaar voor overleg met de interne verantwoordelijke c.q. eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het datalek.
9 – Beslissing melding datalekken
1. De interne verantwoordelijke beslist zo spoedig mogelijk doch in elk geval binnen 60 uur na ontdekking van het datalek – al dan niet in overleg met de verantwoordelijke van de afdeling vanuit waar het datalek is ontdekt en/of door hem aangewezen experts – of het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
2. Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.
3. De melding van het datalek gaat gepaard met beantwoording van de vragen zoals omschreven in onderdeel 7.
4. Een datalek dat gemeld is aan de Autoriteit Persoonsgegeven wordt eveneens gemeld aan de betrokkenen indien het een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.
10 – Melding datalekken aan de Autoriteit Persoonsgegevens en/of betrokkenen
1. De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).
2. Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen 72 uur na ontdekking van het datalek.
3. Het is enige andere werknemer dan de interne verantwoordelijke niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) te melden.
4. Als een werknemer het niet eens is met de beslissing van de interne verantwoordelijke omtrent het al dan niet melden van het datalek aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan kan hij zijn grieven kenbaar maken aan de directie.
5. Indien daartoe verzocht, verleent een werknemer alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.
11 – Gevolgen melding datalekken
1. Indien het datalek negatieve gevolgen heeft voor betrokkenen, dan doet de interne verantwoordelijke er alles aan om deze gevolgen zoveel mogelijk te beperken.
2. Afhankelijk van de aard en de omvang van het datalek voor betrokkenen bepaalt de interne verantwoordelijke:
• op welke wijze betrokkenen worden geïnformeerd (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen Loug Warffum neemt en op welke wijze betrokkenen zelf de schade kunnen voorkomen of beperken)
• welke nazorg betrokkenen krijgen
• welke acties in het belang van de organisatie noodzakelijk zijn
1. Indien een datalek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om toekomstige gelijksoortige datalekken te voorkomen.
12 – Bijhouden register datalekken
De interne verantwoordelijke houdt een register bij van alle datalekken, waarin alle gegevens rondom het datalek worden geregistreerd, zoals:
• een omschrijving van het incident
• datum en tijdstip van het datalek
• datum en tijdstip ontdekking van het datalek
• omschrijving van de soort gelekte persoonsgegevens
• omschrijving van de categorie(en) van betrokkenen die zijn getroffen
• omschrijving aantal betrokkenen (bij benadering)
• of ook gegevens van personen in andere EU-landen zijn gelekt
• of het incident is gemeld aan de Autoriteit Persoonsgegevens en zo ja datum en tijdstip melding
• of het incident is gemeld aan de betrokkenen en zo ja, datum en tijdstip melding
• op welke wijze betrokkenen zijn geïnformeerd
• de gevolgen van het datalek, met indien mogelijk vermelding van datum en tijdstip
• welke technische en/of organisatorische maatregelen zijn getroffen na het datalek, met vermelding van datum en tijdstip
Dit protocol meldplicht datalekken is opgemaakt op 01 januari 2022.