Privacy beleid

1 Inleiding Privacy Beleid

Binnen Stichting Hou je dak vast (hierna: HJDV) worden veel (verschillende soorten) persoonsgegevens verwerkt. Persoonsgegevens worden verkregen van de betrokkenen (cliënten of medewerkers), maar soms ook van derde partijen, zoals andere zorgaanbieders. De betrokkenen moeten erop kunnen vertrouwen dat HJDV zorgvuldig met hun persoonsgegevens omgaat en deze afdoende beveiligt tegen verlies of onrechtmatige verwerking. In dit privacy beleid (hierna: beleid) laat HJDV zien op welke manier zij omgaat met persoonsgegevens en privacy. Het beschermen van persoonsgegevens is complex en wordt steeds complexer door technologische ontwikkelingen, nieuwe Europese wetgeving en uitdagingen op het terrein van veiligheid en beveiliging. HJDV heeft privacy hoog in het vaandel staan en vindt het daarom belangrijk om transparant te zijn over de manier waarop zij ernaar streeft om met persoonsgegevens om te gaan, en de privacy van betrokkenen te waarborgen. In dit beleid zet HJDV onder meer uiteen welke categorieën van persoonsgegevens zij verwerkt, voor welke doeleinden en wat de verwerkingsgrondslag is. Zij geeft eveneens aan welke categorieën van betrokkenen er zijn en welke rechten zij kunnen uitoefenen. Tevens wordt aandacht geschonken aan eventuele (sub)verwerkers), de technische en organisatorische beveiliging van persoonsgegevens en een datalekken.

Gezien het lage niveau van onze cliënten maken wij de afspraken met hun wettelijke vertegenwoordigers

1.1  Wet- en regelgeving
HJDV is verantwoordelijk voor het opstellen, uitvoeren en handhaven van een privacy beleid. In dat kader geldt onder meer de navolgende specifieke wet- en regelgeving:
· De Europese Algemene Verordening Gegevensbescherming (AVG) (EU 2016/679)
· De Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming

1.2  Begrippen
In dit beleid wordt een aantal termen gebruikt die een specifieke (wettelijke) betekenis hebben. Het betreft de volgende termen:

1. Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt. Dat kan bijvoorbeeld een medewerker van HJDV, een cliënt of een sollicitant zijn.

2. Verwerker: De persoon of organisatie die persoonsgegevens verwerkt in opdracht van en uitsluitend ten behoeve van een andere persoon of organisatie, die in dat verband als verwerkingsverantwoordelijke is aan te merken.

3. Verwerkingsverantwoordelijke: Een persoon of organisatie die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Zo is HJDV bijvoorbeeld een verwerkingsverantwoordelijke als zij de persoonsgegevens van haar personeel verwerkt in de personeelsadministratie. Zij bepaalt immers voor welk doel zij welke persoonsgegevens van haar medewerkers verwerkt.

4. Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator1 zoals een naam, een identificatienummer, locatiegegevens, online identificator van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Kortom: alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen (bijvoorbeeld; naam, adres, geboortedatum en gegevens die gaan over gevoelige onderwerpen zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN)).

5. Bijzondere persoonsgegevens: gegevens die betrekking hebben op ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, seksueel gedrag of seksuele geaardheid.

6. Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Data Protection Impact Assessment (DPIA).

7. Verwerking van persoonsgegevens: Een verwerking omvat alles wat er met een persoonsgegeven wordt ‘gedaan’, al dan niet via geautomatiseerde procedés. Dat hoeft overigens niet een actieve handeling te zijn. Voorbeelden van verwerkingen zijn: vastleggen, bewaren, raadplegen, opvragen, verzamelen, bij elkaar voegen, verstrekken aan een ander, doorgifte en vernietigen.

8. Bestand: elk samenhangend geheel van persoonsgegevens, ongeacht of dit geheel van gegevens bij elkaar of gescheiden van elkaar wordt verzameld, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

9. Derde(n): ieder ander dan de betrokkene, de verantwoordelijke, de verwerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken;

10. Jeugdwet: zorg als omschreven krachtens Jeugdwet (2015);

11. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

12. Toestemming: vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt;

13. Datalek: een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

14. Wet Langdurige Zorg (Wlz): zorg als omschreven krachtens Wet Langdurige Zorg (2015); 1 Uitleg begrip "identificator”: "teken of groep van tekens gebruikt om een gegevenselement te identificeren of te benoemen en eventueel om bepaalde eigenschappen van dat gegeven aan te duiden.”

15. Wet Maatschappelijke Ondersteuning (Wmo): ondersteuning als omschreven krachtens Wet Maatschappelijke Ondersteuning (2015);

16. Zorg In Natura (ZIN): zorg die geleverd wordt op basis van contractafspraken met financierder.

17. Autoriteit Persoonsgegevens (AP): de AP die (in Nederland) tot taak heeft toe te zien op de verwerking van persoonsgegevens en de naleving van wet- en regelgeving.

18. Wettelijke vertegenwoordigers: zij die door de rechtbank zijn aangewezen als mentor of  bewindvoerder over onze cliënten.

1.3  Reikwijdte van dit Privacy Beleid
Dit privacy beleid is van toepassing wanneer HJDV optreedt als verwerkingsverantwoordelijke.

Dit privacy beleid is van toepassing op alle verwerkingen van persoonsgegevens van personeel, cliënten en overige derde partijen die hieruit voortvloeien.

Dit beleid heeft ten doel dat de verwerking van persoonsgegevens plaats vindt conform de relevante geldende wet- en regelgeving, waaronder de AVG en de uitvoeringswet AVG. Daarmee tracht HJDV:

· de persoonlijke levenssfeer van betrokkene(n) te beschermen tegen onrechtmatige verwerking
   en/of misbruik van haar persoonsgegevens, tegen verlies van die gegevens en tegen het verwerken
   van onjuiste gegevens;
· te voorkomen dat persoonsgegevens verder worden verwerkt of worden verwerkt voor een ander
   doel dan het doel waarvoor ze verzameld zijn;
· de betrokkene(n) te informeren over de persoonsgegevensverwerkingen die door of namens de
   verwerkingsverantwoordelijke plaatsvinden en over de rechten die de betrokkene(n) heeft.

1.4  Uitgangspunten bij de verwerking van persoonsgegevens
HJDV neemt bij de verwerking van persoonsgegevens de navolgende uitgangspunten in acht en draagt er zorg voor dat zij ook daadwerkelijk kan aantonen dat deze beginselen in acht worden genomen en dat zij daarmee voldoet aan haar verantwoordingsplicht (accountability) uit de AVG.

1.4.1 Rechtmatigheid, behoorlijkheid, transparantie.
HJDV streeft ernaar de persoonsgegevens in overeenstemming met de wet- en regelgeving te verwerken en op een wijze die ten aanzien van de betrokkene(n) rechtmatig, behoorlijk en transparant is.


1.4.2 Grondslag en doelbinding
HJDV zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een gerechtvaardigd doel en een gerechtvaardigde grondslag verwerkt.

1.4.3 Dataminimalisatie
HJDV streeft er naar uitsluitend de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel te verwerken. Zij streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

1.4.4 Juistheid
HJDV streeft ernaar dat de persoonsgegevens die worden verwerkt juist zijn en deze zo nodig te actualiseren. Zij streeft ernaar om de persoonsgegevens die onjuist zijn, te wissen of te rectificeren.

1.4.5 Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is in een vorm die het mogelijk maakt betrokkene(n) te identificeren, bijvoorbeeld om het vooraf bepaalde doel te realiseren. Het bewaren van persoonsgegevens kan nodig zijn om de taken van HJDV goed uit te kunnen oefenen, de vooraf bepaalde doelen te realiseren of om wettelijke verplichtingen te kunnen naleven. Dat neemt niet weg dat de gegevens (die van de persoonsgegevens zijn afgeleid) in sommige gevallen wel in geanonimiseerde vorm langer zullen worden bewaard. In dat geval zijn de gegevens niet meer (ook niet technisch) te herleiden tot de betrokkene(n). Onder omstandigheden kunnen de persoonsgegevens wel langer worden bewaard dan in eerste instantie wellicht voorzien, indien zij uitsluitend voor archivering in het algemeen belang, of voor historische, statistische of wetenschappelijke doeleinden worden verwerkt . In voorkomend geval zal HJDV passende technische en organisatorische maatregelen treffen om de rechten en vrijheden van de betrokkene(n) te beschermen.

1.4.6 Integriteit en vertrouwelijkheid
HJDV gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen die daartoe geautoriseerd zijn en slechts voor het doel waarvoor deze zijn verzameld. Daarbij zorgt HJDV voor passende organisatorische en technische maatregelen die waarborgen dat persoonsgegevens passend worden beveiligd en dat zij beschermd zijn tegen ongeoorloofde en onrechtmatige verwerking, tegen onopzettelijk verlies, vernietiging of beschadiging.

1.4.7 Verwerkers
In het geval van samenwerking met externe partijen - verwerkers-, waarbij sprake is van verwerking van persoonsgegevens, maakt HJDV in een zogenaamde verwerkersovereenkomst afspraken over de eisen waar deze gegevensuitwisseling aan moet voldoen. Deze afspraken dienen te voldoen aan de wet- en regelgeving.
1.4.8 Subsidiariteit en proportionaliteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de belangen en de persoonlijke levenssfeer van de betrokkenen zoveel mogelijk beperkt. HJDV streeft ernaar om de inbreuk op de belangen van de betrokkenen niet onevenredig te laten zijn in verhouding tot en met het de verwerking te dienen doel. Dat doel kan bovendien in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze worden verwezenlijkt.

1.4.9 Privacy
HJDV draagt er zorg voor dat bij de ontwikkeling van (nieuwe) producten, diensten en (informatie)systemen rekening wordt gehouden met de beginselen van de AVG en overige toepasselijke privacy wet- en regelgeving. Rekening houdend met de stand van de techniek, de kosten en de aard, de omvang, de context en het doel van de verwerking, alsook met de risico’s voor de rechten en vrijheden van de betrokkenen die met de specifieke verwerking zijn verbonden, treft HJDV in voorkomende gevallen privacybeschermingsverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Denk daarbij onder meer aan pseudonomisering en dataminimalisatie. Daarnaast treft HJDV maatregelen om ervoor te zorgen dat als standaard in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel van de verwerking.

1.4.10 Rechten van betrokkenen
HJDV streeft ernaar alle rechten van betrokkenen te respecteren en zoveel als redelijkerwijs mogelijk eventuele verzoeken tot uitoefening van die rechten door betrokkenen te honoreren. Onder rechten van betrokken(en) worden verstaan: het recht op informatie, op inzage, op rectificatie, op vergetelheid, op beperking van de verwerking, op dataportabiliteit en recht van bezwaar.

1.5  Identiteit en contactgegevens verwerkingsverantwoordelijke en FG Stichting
Stichting hou je dak vast Achterdijk 24 5451 NN Mill.
Telefoonnummer Contactpersoon/functionaris gegevensbescherming:
Dayène Kolenbrander: 06-53486089
emailadres: Houjedakvast@zorgboerenzuid.nl

1.6  Persoonsgegevensverwerkingen binnen HJDV

1.6.1 Doeleinden
Op grond van de geldende wet- en regelgeving mogen persoonsgegevens alleen verzameld worden als daarvoor vooraf een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De persoonsgegevens mogen niet voor andere doelen worden verwerkt. Zie artikel 1.7 de doeleinden voor het verwerken van persoonsgegevens per groep (personeel, cliënten en overige derde partijen).

1.6.2 Rechtmatige grondslag verwerking van persoonsgegevens
Op grond van de geldende wet- en regelgeving geldt daarnaast dat voor elke verwerking van persoonsgegevens een rechtmatige grondslag (zoals die worden genoemd in artikel 6 AVG) moet bestaan – derhalve naast de eis van een gerechtvaardigd en uitdrukkelijk omschreven doel. Dat betekent dat HJDV persoonsgegevens alleen mag verwerken in een van de volgende limitatieve gevallen:
a) Wanneer de betrokkene(n) toestemming heeft/hebben gegeven voor de specifieke verwerking
    (inclusief het doel daarvan);
b) Als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waar de betrokkene
   partij bij is, of voor handelingen die op verzoek van de betrokkene(n) worden verricht en die
   noodzakelijk zijn voor het sluiten van een overeenkomst;
c) De verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting waaronder de Wlz,
d) De verwerking noodzakelijk is om de vitale belangen van de betrokkene(n) of een andere  
   natuurlijke persoon te beschermen. Hiervan is niet snel sprake, wel – bijvoorbeeld - indien
    gegevens moeten worden verwerkt om een acute en ernstige bedreiging voor de gezondheid van
    de betrokkene(n) te bestrijden;
e) De verwerking noodzakelijk is voor de behartiging van gerechtvaardigd belang van HJDV of een
    derde, tenzij het belang of fundamentele rechten en vrijheden van de betrokkene(n) prevaleren,
    met name wanneer de betrokkene een kind is.
In die gevallen waarin toestemming van de betrokkene een noodzakelijke voorwaarde is voor de persoonsgegevensverwerking is relevant wat er onder toestemming wordt verstaan. Onder toestemming wordt verstaan: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn/haar persoonsgegevens aanvaardt. Indien de betrokkene toestemming geeft voor de verwerking van zijn/haar persoonsgegevens zal HJDV dat documenteren. Daarmee kan zij aantonen dat de toestemming is gegeven. De betrokkene heeft het recht zijn/haar toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking echter onverlet. HJDV draagt er zorg voor dat de betrokkene zijn/haar toestemming net zo eenvoudig kan intrekken, als dat hij/zij zijn/haar toestemming heeft gegeven aan HJDV.

1.6.3 Rechtmatige grondslag verwerking van bijzondere persoonsgegevens
Indien bijzondere persoonsgegevens worden verwerkt, gelden er andere grondslagen dan de voornoemde grondslagen. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden tenzij een van de hierna genoemde grondslagen zich voordoet:
a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die
   persoonsgegevens voor een of meer welbepaalde doeleinden;
b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening
   van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van
   het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is
   toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van
   lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen
   van de betrokkene biedt;
c) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de
   beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het
    verstrekken van gezondheidszorg of sociale 8 diensten of behandelingen dan wel het beheren
    van gezondheidszorgstelsels en - diensten of sociale stelsels en diensten, op grond van Unierecht
    of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker;
d) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van
    een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn
    toestemming te geven;
e) de verwerking heeft betrekking op persoonsgegevens die expliciet door de betrokkene openbaar
   zijn gemaakt;
f) de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een
   rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
g) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de
   beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken
   van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van
   gezondheidszorgstelsels en - diensten of sociale stelsels en diensten, op grond van Unierecht of
   lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens
   de in lid 3 genoemde voorwaarden en waarborgen.
Onder bijzonder persoonsgegevens wordt verstaan:
· ras of etnische afkomst;
· politieke opvattingen;
· godsdienst of levensovertuiging;
· lidmaatschap van een vakbond;
· genetische of biometrische gegevens met oog op unieke identificatie;
· gezondheid;
· seksuele leven;
· strafrechtelijk verleden.
 Met betrekking tot de bijzondere persoonsgegevens is ook nog het bepaalde in de Uitvoeringswet AVG van belang. HJDV zal de Uitvoeringswet AVG zoals deze luidt of zal luiden naleven en toepassen.

1.7  Doeleinden verwerking en soorten Persoonsgegevens
Dit privacybeleid is van toepassing op de volgende betrokkenen.

1.7.1 Personeel
· Ten doel het opbouwen van een personeelsdossier; zoals het uitbetalen van salaris, functioneren, het innen van vorderingen, het aangaan en       ontbinden van een arbeidsovereenkomst.
· Verwerking van gegevens in lijn met de basisregistratie personen (BRP) en bankrekeningnummer.

1.7.2 Cliënten
· Ten doel het opbouwen van een cliëntdossier en het uitvoeren van registraties en declaraties.
· Verwerking van gegevens in lijn met de basisregistratie personen (BRP), indicatie zorgplan en
   administratie.

1.7.3 Leveranciers
· Ten doen het sluiten van overeenkomsten met leveranciers.
· Vastleggen van bedrijfsgegevens.

1.7.4 Sollicitanten
· Ten doel het uitvoeren van de sollicitatieprocedure.
· Verwerken van gegevens in lijn met de basisregistratie personen (BRP) en het curriculum vitae.

1.7.5 Overige derde partijen (zoals gemeente en overige relevante organisaties)
· Ten doel uitvoeren van de wettelijke verplichtingen voortvloeiend uit WLZ en eventuele andere
   overeenkomsten tussen HJDV en andere zorgorganisaties.
· Vastleggen van bedrijfsgegevens en eventuele financiële gegevens.

1.8  Toegang tot persoonsgegevens en verwerkers
Toegang tot persoonsgegevens hebben degenen, medewerkers en derden, die zijn belast met of leiding geven aan de activiteiten die in verband staan met de verwerking van de desbetreffende persoonsgegevens of die daarbij noodzakelijk zijn betrokken. Indien derde partijen een (deel van de) verwerking namens HJDV verrichten (zogenaamde verwerkers), zal HJDV met die partijen een verwerkersovereenkomst sluiten. Bovendien schakelt HJDV alleen verwerkers in die afdoende garanties bieden en afdoende maatregelen treffen zodat de bescherming van de persoonsgegevens gewaarborgd zal zijn en de verwerking daarvan ook bij hen in overeenstemming is met de geldende wet- en regelgeving. HJDV houdt een overzicht van de door haar ingeschakelde verwerkers bij. Andere (rechts)personen krijgen alleen toegang tot de persoonsgegevens die HJDV verwerkt indien: · de betrokkene (of zijn/haar ouders/vertegenwoordigers in het geval van een minderjarig kind) zijn uitdrukkelijke toestemming heeft verleend voor het verstrekken (van toegang tot) de persoonsgegevens; of
· het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de nakoming van een wettelijke plicht door HJDV; of 
· het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een         dringende medische noodzaak)
· deze voortvloeien uit de door HJDV gesloten overeenkomsten.

1.9  Rechten betrokkenen

1.9.1 Uit de toepasselijke wet- en regelgeving volgt dat betrokkenen een aantal rechten hebben die zij jegens HJDV kunnen doen gelden. Het betreft de volgende rechten:
* Recht op informatie;
* Recht op inzage;
* Recht op rectificatie;
* Recht op vergetelheid;
* Recht op beperking van de verwerking;
* Recht op dataportabiliteit;
* Recht van bezwaar;
* Recht om niet aan geautomatiseerde besluiten te worden onderworpen (waaronder profilering).

1.9.2 HJDV (in dit artikel daaronder mede de Functionaris Gegevensbescherming van HJDV verstaan) zal de te verstrekken informatie en de met de betrokken te voeren communicatie in beknopte, transparante, begrijpelijke en gemakkelijke toegankelijk vorm en in duidelijke en eenvoudige taal verstrekken/voeren. De informatie wordt in beginsel schriftelijk verstrekt. Indien de betrokkene daarom verzoekt kan de informatie mondeling worden medegedeeld, op voorwaarde dat de identiteit van de betrokkene schriftelijk (daaronder elektronisch) is vastgesteld.

1.9.3 HJDV daaronder draagt er zorg voor zo spoedig mogelijk te reageren op rechtmatige verzoeken van betrokkenen, doch uiterlijk binnen een maand na ontvangst van het verzoek. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. HJDV stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient en niet expliciet om een papieren kopie verzoekt, wordt de informatie in beginsel elektronisch verstrekt.

1.9.4 Indien HJDV twijfelt aan de identiteit van de verzoeker, vraagt zij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn/haar identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Hierdoor wordt de beantwoordingstermijn als bedoeld in lid 3 van dit artikel opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

1.9.5 Wanneer HJDV geen gevolg geeft aan het verzoek van de betrokkene, deelt zij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert zij hem/haar over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens en beroep bij de rechter in te stellen.

1.9.6 Behandeling van verzoeken en het verstrekken van gevraagde informatie is in beginsel kosteloos, tenzij verzoeken kennelijk ongegrond of buitensporig zijn. In voorkomend geval mag HJDV een vergoeding vragen voor de administratieve kosten die gepaard gaan met het verstrekken van de informatie of communicatie of met het treffen van de gevraagde maatregelen, dan wel weigeren om gevolg te geven aan het verzoek.

1.9.7 Indien HJDV voldoet aan een verzoek tot rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking, stelt zij iedere ontvanger aan wie de persoonsgegevens zijn verstrekt daarvan in kennis, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt verstrekt HJDV informatie over deze ontvangers.

1.9.8 De uitoefening van het inzagerecht en het recht op dataportabiliteit wordt begrensd door de rechten en vrijheden van anderen. De uitoefening daarvan zal derhalve geen afbreuk doen aan de rechten en vrijheden van derden.

1.9.9 Betrokkenen kunnen hun rechten op de volgende wijze uitoefenen:
· Recht op informatie:
   De betrokkene heeft recht op transparante, begrijpelijke en gemakkelijk
   toegankelijke informatie ter zake de verwerking van zijn/haar persoonsgegevens door HJDV. Deze
   informatie kan de betrokkene verkrijgen bij de functionaris gegevensbescherming. HJDV geeft
   tevens invulling aan haar plicht tot het verstrekken van informatie door middel van dit beleid.
· Recht op inzage:
   Betrokkene heeft de mogelijkheid om aan HJDV te vragen óf, en op welke manier,
   zijn/haar persoonsgegevens worden verwerkt. Hij/Zij kan van dit recht gebruik maken door de
   Functionaris Gegevensbescherming schriftelijk te verzoeken opgave te verstrekken van de
   persoonsgegevens die HJDV van hem/haar verwerkt.
   HJDV verstrekt tevens informatie over de verwerkingsdoeleinden, de categorieën van
   persoonsgegevens, de ontvangers van de persoonsgegevens, indien mogelijk de bewaartermijn (en
   als dat niet mogelijk is: de criteria aan de hand waarvan wordt bepaald hoe lang de
   persoonsgegevens worden bewaard), de overige rechten van de betrokkenen, het recht van de
   betrokkene om een klacht in te dienen bij de Autoriteit Persoonsgegevens, het al dan niet bestaan
   van profilering en nuttige informatie over de onderliggende logica, het belang en de te verwachten
   gevolgen daarvan.
   Tot slot verstrekt HJDV informatie over de bron van de persoonsgegevens als de
   persoonsgegevens niet bij de betrokkene zelf zijn verzameld. Indien persoonsgegevens worden
   doorgegeven aan een derde land of internationale organisatie heeft de betrokkene het recht om
   geïnformeerd te worden over de passende waarborgen die HJDV op grond van de AVG heeft
   getroffen in het kader van die doorgifte.  
· Recht op rectificatie:
   De betrokkene heeft het recht om HJDV te verzoeken zijn/haar
   persoonsgegevens te rectificeren of aan te vullen indien deze onjuist of onvolledig zijn.
· Recht op vergetelheid:
   De betrokkene heeft het recht om HJDV te verzoeken zijn/haar
   persoonsgegevens te verwijderen. HJDV is gehouden aan dat verzoek te voldoen indien de
   persoonsgegevens niet langer nodig zijn voor doel waarvoor ze zijn verzameld, de betrokkene de
   toestemming waarop de verwerking berust intrekt en er geen andere rechtsgrond voor de
   verwerking bestaat, de betrokkene bezwaar maakt tegen de verwerking en er geen prevalerende
   dwingende gerechtvaardigde gronden voor de verwerking zijn, de persoonsgegevens onrechtmatig
   zijn verwerkt of de persoonsgegevens gewist moeten worden om te kunnen voldoen aan een
   wettelijke verplichting die op HJDV rust. HJDV is niet gehouden om aan het verzoek tot
   verwijdering van de persoonsgegevens te voldoen indien de verwerking daarvan noodzakelijk is
   voor de uitoefening van het recht op vrijheid van meningsuiting en informatie, voor nakomen van
   een op HJDV rustende wettelijke verplichting, om redenen van algemeen belang op het gebied van
   volksgezondheid (een en ander in lijn met het bepaalde in de AVG), met het oog op archivering in
   het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
   overeenkomstig artikel 89 van de AVG of voor de instelling, uitoefening of onderbouwing van een
   rechtsvordering.
· Recht op beperking van de verwerking:
   De betrokkene heeft het recht om HJDV te verzoeken de
   verwerking van zijn/haar persoonsgegevens te beperken indien een van de volgende situaties aan
   de orde is:
  * de juistheid van de persoonsgegevens wordt betwist door de betrokkenen, gedurende een
      periode die HJDV in staat stelt de juistheid van de persoonsgegevens te controleren;
  * de verwerking is onrechtmatig en de betrokkene wenst niet dat de persoonsgegevens worden
      gewist maar slechts het gebruik daarvan wordt beperkt;
  * HJDV heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor zij ze heeft
     verkregen, maar de betrokkene heeft ze nodig voor de instelling, uitoefening of onderbouwing
      van de rechtsvordering;
  * nadat de betrokkene bezwaar heeft gemaakt; in afwachting van het antwoord op de vraag of de
     belangen van HJDV zwaarder wegen dan die van de betrokkene.
  * indien een verzoek tot beperking wordt gehonoreerd worden de persoonsgegevens - met
     uitzondering van de opslag daarvan - uitsluitend verwerkt met toestemming van de betrokkene.
     HJDV zal in dat geval in haar bestanden/systemen aangeven welke persoonsgegevens op grond
     van een gehonoreerd verzoek zijn beperkt.
  * indien een gehonoreerd verzoek om beperking van de verwerking wordt opgeheven, wordt de
     betrokkene op de hoogte gebracht voordat de beperking van de verwerking door HJDV wordt
     opgeheven.  

· Recht op dataportabiliteit:
   De betrokkene heeft het recht zijn/haar persoonsgegevens, die hij/zij
   zelf aan HJDV heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm van
   HJDV te verkrijgen of HJDV te verzoeken deze over te dragen aan een andere
   verwerkingsverantwoordelijke. Zulks geldt echter uitsluitend indien de verwerking berust op
   toestemming of op noodzakelijkheid voor de uitvoering van de overeenkomst waarbij de
   betrokkene partij is én de verwerking via geautomatiseerde procedés wordt verricht.
· Recht op bezwaar:
   Betrokkene heeft het recht om bezwaar aan te maken tegen de verwerking van
   zijn/haar persoonsgegevens, indien verwerking zijn grondslag vindt in de gerechtvaardigde
   belangen van HJDV. Zij zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de
   verwerking die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of
   indien ze verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
   Indien de persoonsgegevens ten behoeve van de direct marketing worden verwerkt, zal HJDV altijd
   aan het verzoek voldoen.
· Recht om niet aan geautomatiseerde besluiten te worden onderworpen (waaronder profilering).
   Van profilering (geautomatiseerde besluitvorming) is sprake wanneer er een geautomatiseerde
   verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar
   bepaalde persoonlijke aspecten van een betrokkene wordt gekeken om hem/haar te categoriseren
   en te analyseren, of om zaken te kunnen voorspellen dan wel om op basis daarvan besluiten met
   rechtsgevolgen voor de betrokkene te nemen. Voorbeelden van dergelijke persoonlijke aspecten
   kunnen zijn; financiële situatie, interesses, gedrag of locatie. HJDV neemt geen geautomatiseerde
   besluiten (waaronder profilering), zoals bedoeld in artikel 22 AVG.

1.10       Getroffen technische en organisatorische (beveiligings)maatregelen
HJDV draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze staan beschreven in het verwerkingsregister.

1.11       Beveiligingsincidenten en datalekken
Ondanks de beveiligingsmaatregelen die HJDV heeft getroffen is het mogelijk dat er zich beveiligingsincidenten voordoen die een inbreuk in verband met de persoonsgegevens met zich meebrengen. Indien zulks het geval is zal HJDV een dergelijk incident binnen 72 uur nadat zij er kennis van heeft genomen aan de Autoriteit Persoonsgegevens melden, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Indien het incident daarnaast waarschijnlijk een hoger risico inhoudt voor de rechten en vrijheden van natuurlijke personen deelt HJDV ook de betrokkenen de inbreuk zo spoedig mogelijk mee. HJDV documenteert alle inbreuken in verband met de persoonsgegevens, met inbegrip van de feiten en de gevolgen daarvan en de getroffen corrigerende maatregelen.


1.12        Data Protection Impact Assessment (DPIA)
Wanneer HJDV optreedt als verwerkingsverantwoordelijke, dan is zij verantwoordelijk voor het toezicht op de naleving van de toepasselijke gegevensbeschermingswetgeving. HJDV valt onder Samenwerkende Zorgboeren Zuid (SZZ)
SZZ implementeert een procedure voor gegevensbeschermingseffectbeoordeling (oftewel een DPIA) die SZZ in staat stelt om:
* Vast te stellen welke verwerking een specifiek risico inhoudt voor de bescherming van
    persoonsgegevens;
* De naleving van de toepasselijke verwerkingsbeginselen voor gegevensbeschermingswetgeving te
    beoordelen;
* De level van ernst of waarschijnlijkheid van het risico in verband met de verwerking te
    beoordelen;
* Vast te stellen welke corrigerende maatregelen geïmplementeerd moeten worden om ervoor te
    zorgen dat de risico’s worden beperkt van de persoonsgegevens die verwerkt worden en dat de
    DPIA is uitgevoerd in overeenstemming met de toepasselijke wetgeving inzake
    gegevensbescherming.

1.13       Verwerkingsregister
HJDV houdt een schriftelijk register van de verwerkingsactiviteiten bij die onder haar verantwoordelijkheid plaatsvinden. Dat register bevat in ieder geval de volgende gegevens:
* De naam en contactgegevens van HJDV en van de Functionaris Gegevensbescherming;
* De doelen van de verwerking;
* Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
* Een beschrijving van de (categorieën) ontvangers van de persoonsgegevens;
* Een beschrijving van de doorgifte van persoonsgegevens aan een derde land of internationale  
    organisatie;
* Indien mogelijk, de termijnen waarin de verschillende persoonsgegevens moeten worden gewist; § Een algemene beschrijving van de   
    getroffen technische en organisatorische
    beveiligingsmaatregelen.

1.14       Functionaris Gegevensbescherming
HJDV heeft een Functionaris Gegevensbescherming (hierna ook: FG) aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens binnen HJDV. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens en betrokkenen. Alhoewel HJDV een FG heeft aangesteld blijft zij zelfstandig verantwoordelijk voor de naleving van de geldende (privacy) wet- en regelgeving. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de beleidsdocumenten op het gebied van privacy. Betrokkenen kunnen met de FG contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en met de uitoefening van hun rechten.

1.15       Doorgifte van persoonsgegevens (buiten NL, buiten EU)
HJDV verwerkt de persoonsgegevens in Nederland (of in een land in de Europese Unie) en geeft ze niet door aan landen of internationale organisaties buiten de Europese Unie.

1.16       Training
HJDV zal dit privacy beleid implementeren binnen haar organisatie en haar medewerkers toerusten zodat zij bewust zijn van de principes en procedures die in dit privacy beleid zijn opgenomen. De toerusting zal HJDV medewerkers voorzien van:
* algemene kennis over de toepasselijke principes bij de verwerking van persoonsgegevens
* een goed begrip van de bestaande procedures en de toepassing ervan. De FG ziet erop toe dat
    iedere medewerker over passende informatie beschikt.

1.17        Audit
Het privacybeleid valt onder de audit van het kwaliteitsysteem zorgen laat je zien van Landbouw en zorg. De resultaten van de audit worden meegedeeld aan de FG en de daaraan onderliggende acties worden gedefinieerd en geprioriteerd, zodat de FG een tijdsplanning en-/of projectplanning kan bepalen voor de implementatie van corrigerende en preventieve maatregelen. De Autoriteit Persoonsgegevens, en-/of andere bevoegde autoriteiten/instanties - onderworpen aan wettelijke rechten en plichten volgens de AVG - kunnen toegang vragen tot de auditresultaten.

1.18       Sancties
 Elke overtreding van dit privacy beleid kan leiden tot administratieve en / of disciplinaire maatregelen van HJDV (inclusief geldboetes, opschorting of beëindiging kwaliteitssysteem). Deze sancties zullen worden toegepast dat onderhevig is aan lokale wetgeving.

1.19        Klachten
Indien de betrokkene van mening is dat HJDV in verband met de verwerking van zijn/haar persoonsgegevens inbreuk maakt op de geldende wet- en regelgeving dan wel op dit beleid, kan hij/zij zich wenden tot de functionaris gegevensbescherming van HJDV. Indien dit voor betrokkene niet leidt tot een acceptabel resultaat, kan hij/zij zich wenden tot:
* De klachtenfunctionaris inzake de klachtenprocedure van HJDV;
* De Autoriteit Persoonsgegevens. De betrokkene kan de Autoriteit Persoonsgegevens verzoeken
    een onderzoek in te stellen; Onverminderd het recht van betrokkene om administratief beroep of
    een voorziening in rechte in te stellen.

Slotbepalingen
HJDV kan dit beleid wijzigen. Dit beleid treedt per 01-12-2019 in werking bij HJDV. Eventuele voorgaande privacy beleidsdocumenten komen hierdoor te vervallen. Dit beleid is gepubliceerd op de website van HJDV (www.stichtinghou