VBAG REGISTER VAN VERWERKING I.H.K.V. AVG
Inleiding
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG) die in de plaats komt van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan wij als beroepsvereniging moeten voldoen omdat wij persoonlijke gegevens vastleggen van onze leden.
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
het bijhouden van een register van verwerkingsactiviteiten;
het (laten) uitvoeren van een veiligheidscontrole van het digitale ledenadministratiesysteem;
het melden van datalekken en bijhouden van een register van datalekken die zijn opgetreden. Aangezien de VBAG geen grootschalige verwerking van persoonsgegevens doet, geen individuen op grote schaal volgt en geen bijzondere gegevens vastlegt, zijn een Privacy Impact Assessment en functionaris voor de gegevensbescherming niet van toepassing (conform informatie van www.autoriteitpersoonsgegevens.nl).
Het register van verwerkingsactiviteiten
Dit register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die vastgelegd worden in een digitaal programma. Hierin zijn opgenomen:
een omschrijving van de categorieën persoonsgegevens die wij verwerken;
een beschrijving van de doeleinden waarvoor wij de persoonsgegevens verwerken;
welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen (zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens);
welke organisatorische en technische maatregelen wij genomen hebben om de persoonsgegevens te beveiligen;
hoe lang wij de persoonsgegevens bewaren en
hoe wij omgaan met een datalek.
Stap 1. Benoemen van persoonsgegevens.
De VBAG legt in haar ledenadministratiesysteem de volgende therapeutgegevens vast:
-NAW-gegevens van het praktijkadres, telefoonnummer(s), emailadres en website. KvK inschrijfnummer met upload uittreksel KvK, Vektiscodes, BIG-registratie gegevens, voorbeeldnota, behandel- en waarnemingsovereenkomst en visitatie gegevens.
vermelding van lidmaatschappen bij andere verenigingen, RBCZ-registratienummer;
registratie van schorsing/royement;
opleidingscurriculum en bij- en nascholingen.
Indien dit in het belang van de vereniging is, legt de VBAG de volgende bijzondere persoonsgegevens vast:
strafrechtelijke gegevens.
Opmerking over het vastleggen van bijzondere persoonsgegevens:
Gegevens over godsdienst of levensovertuiging, gezondheid, zaken m.b.t. de seksualiteit of strafrechtelijke gegevens worden bijzondere gegevens genoemd.
Het Burger Service Nummer (BSN)
Organisaties buiten de overheid mogen een Burgerservicenummer alleen gebruiken als dit in een wet is bepaald en alleen voor het doel dat in de wet staat omschreven.
Zorgverleners mogen het BSN bijvoorbeeld gebruiken als zij werken in het kader van de Zorgverzekeringswet en de Wet langdurige zorg. Dat is niet het geval bij een complementair of alternatief therapeut. Zij mogen het BSN dus niet vastleggen. De declaratie in het kader van de aanvullende zorgverzekering valt niet onder de Zorgverzekeringswet en is geen grond voor het gebruik van het BSN. Voor de VBAG is er derhalve geen reden om het BSN van haar leden vast te leggen.
De VBAG legt in de pc die beveiligd is met een wachtwoord en ik een kast die afgesloten wordt de volgende gegevens van personeelsleden vast:
NAW-gegevens, geboortedatum, gegevens arbeidsovereenkomst, proeftijd, salaris en vakantietoeslag, vakantiedagen, pensioen, geheimhouding, ondertekening.
Stap 2: Vastleggen van de doeleinden waarom de persoonsgegevens worden vastgelegd.
De VBAG registreert om diverse redenen persoonsgegevens:
voor de belangenbehartiging van de leden;
voor het aan leden sturen van relevante informatie;
voor het bewaken van de kwaliteit van de leden;
voor het doorsturen van relevante informatie aan stakeholders;
voor het aangaan van een dienstverband met en het verwerken van betalingen aan personeelsleden.
Persoonsgegevens van leden worden tot twee jaar na einde lidmaatschap bewaard. Persoonsgegevens van sollicitanten die niet aangenomen worden, worden na afwijzing direct vernietigd. Persoonsgegevens van personeelsleden die uit dienst treden worden na 2 jaar vernietigd.
Stap 3: Vastleggen hoe de leden en personeelsleden geïnformeerd worden.
De VBAG informeert de leden over het vastleggen van persoonsgegevens door VBAG en lid in de VBAG-info, het VBAG-handboek en de VBAG-website.
Personeelsleden worden mondeling geïnformeerd over het vastleggen van persoonsgegevens tijdens de sollicitatieprocedure en dit wordt schriftelijk vastgelegd in de arbeidsovereenkomst.
Stap 4: Vastleggen wie er daadwerkelijk werken met de persoonsgegevens.
Medewerkers die d.m.v. een arbeidsovereenkomst verbonden zijn met de VBAG. In de arbeidsovereenkomst is de geheimhouding geregeld.
Personeelsleden worden mondeling geïnformeerd over het vastleggen van persoonsgegevens tijdens de sollicitatieprocedure en dit wordt schriftelijk vastgelegd in de arbeidsovereenkomst.
Bestuursleden zoals geregistreerd bij de Kamer van Koophandel hebben toegang tot persoonsgegevens. Zij vallen eveneens onder het beroepsgeheim en hanteren dezelfde regels.
Leden van de visitatiecommissie werken beperkt met persoonsgegevens. In de verwerkersovereenkomst is geheimhouding geregeld.
Stap 5: Vastleggen hoe de beveiliging van de persoonsgegevens is geregeld.
De VBAG werkt gedeeltelijk nog met papieren dossiers. Deze worden in een afgesloten kast bewaard.
De VBAG werkt met een digitaal cliëntendossier dat is versleuteld en beveiligd met een wachtwoord.
De VBAG zorgt regelmatig via Inforitus en KKS voor back-ups van zijn digitale bestanden.
Doordat de VBAG regelmatig de laatste versie update van zijn software installeert, zorgt zij ervoor dat haar software optimaal beveiligd is.
Stap 6: Vastleggen welke externe personen of bedrijven toegang hebben tot de persoonsgegevens en daarmee tot de groep verwerkers behoren waarmee wij een verwerkersovereenkomst moeten afsluiten.
Leveranciers waarmee de VBAG een verwerkersovereenkomst heeft afgesloten of een vergelijkbare constructie mee heeft geregeld, zijn:
Inforitus (VBAG-platform op internet)
Uitgeverij Arcturus
Visiteurs/ externe visitatiebureau’s
Van den Berg advocatuur
Medicas
Van Gastel en Neijnens (salarisadministratie)
Mijn Kennis (advies personeelsinzet, arbeidsomstandigheden en ziekteverzuim)
Komplete Komputer Systemen (KKS) B.V. (systeembeheer)
Stap 7: Vastleggen hoe wij omgaan met datalekken.
De VBAG heeft geregeld wanneer een datalek gemeld moet worden en hoe in dat geval gehandeld dient te worden (zie procedure 18, Datalekken).
De VBAG heeft in de verwerkersovereenkomst met leveranciers afspraken gemaakt over datalekken en wordt daardoor tijdig geïnformeerd als er een datalek is geweest.
Laatst bijgewerkt op 13 juni 2018