• Privacyverklaring.

Uw privacy, onze zorg.

Binnen Oktober wordt gewerkt met persoonsgegevens van cliënten en medewerkers die voornamelijk verwerkt worden voor het goed uitvoeren van de wettelijke taken. Een cliënt en medewerker moet erop kunnen vertrouwen dat Oktober zorgvuldig en veilig met de persoonsgegevens omgaat.

Oktober gaat mee met nieuwe ontwikkelingen, nieuwe technologische ontwikkelingen, innovatieve voorzieningen en globalisering. De cliënten en de medewerkers van Oktober hechten steeds meer waarde aan de waarborging van privacy. Oktober is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy. Oktober geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van Oktober. Deze privacyverklaring van Oktober is in lijn met de Algemene Verordening Gegevensbescherming (AVG).

Oktober is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:
Wet Bescherming Persoonsgegevens (Wbp), vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet Algemene Verordening Gegevensbescherming;

Uitgangspunten:
Oktober gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Oktober houdt zich hierbij aan de volgende uitgangspunten: Rechtmatigheid, behoorlijkheid, transparantie.

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding:
Oktober zorgt dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie:
Oktober verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Oktober streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn:
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan echter nodig zijn om wettelijke verplichtingen te kunnen naleven. Deze vallen onder de bewaarplicht.

Integriteit en vertrouwelijkheid:
Oktober gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt Oktober voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

Delen met derden:
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt Oktober afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. Oktober controleert deze afspraken minimaal eenmaal per jaar.

Subsidiariteit:
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel als mogelijk beperkt.

Proportionaliteit:
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen:
Oktober honoreert alle rechten van betrokkenen, die als volgt zijn beschreven:

Recht op informatie (artikel 13 en 14 AVG)
Een betrokkene moet op de hoogte worden gesteld van het feit dat verwerking van zijn persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn. De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt.

Recht op inzage (artikel 15 AVG)
Betrokkenen hebben het recht te weten of hun betreffende persoonsgegevens worden verwerkt door de verantwoordelijke. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. De verwerkingsverantwoordelijke moet betrokkene een kopie verstrekken van de persoonsgegevens die worden verwerkt.

Recht op rectificatie (artikel 16 AVG)
Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De rectificatie moet meteen plaatsvinden. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid (artikel 17 AVG)
De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien:
persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat;
betrokkene bezwaar maakt tegen de verwerking;
de persoonsgegevens onrechtmatig verwerkt zijn.

Recht op beperking van de verwerking (artikel 18 AVG)
Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Recht op overdraagbaarheid / dataportabilliteit (artikel 20 AVG)
Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en machine leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Recht van bezwaar (artikel 21 AVG)
Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar (dat niet vergelijkbaar is met bezwaar op grond van de Awb) tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen. Als een betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / Profiling (artikel 22 AVG)
Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
het berust op de uitdrukkelijke toestemming van de betrokkene. Beschrijving van rechten van betrokkenen/burgers.

Procedure datalek Oktober:
Direct na het constateren van het datalek dient deze gemeld te worden bij de Functionaris Gegevensbescherming. U kunt de Functionaris Gegevensbescherming bereiken via e-mailadres fg@zorginoktober.nl.