Privacy


INTERN PRIVACYBELEID Psychologie Academie Groningen (PAG) 

Dit is het privacybeleid van PAG. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens van cursisten.PAG is als onderwijsinstelling verwerkingsverantwoordelijke. PAG bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop PAG als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.

Aan bod komen de volgende onderwerpen:

  • Actualisatie en controle naleving privacybeleid;
  • Categorieën persoonsgegevens en doelen;
  • Organisatorische en technische maatregelen/ beveiliging;
  • Informatieplicht;
  • Verwerkingsregister;
  • Verwerkers en ontvangers;
  • Bewaartermijnen;
  • Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA);
  • Doorgifte buiten de EU;
  • Geen functionaris voor de gegevensbescherming;
  • Beveiligingsincidenten;
  • Rechten van betrokkenen.


Actualisatie en controle naleving privacybeleid 

De verwerking van persoonsgegevens binnen PAG dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door medewerkers en verwerkers van PAG daadwerkelijk wordt nageleefd.

Categorieën persoonsgegevens en verwerkingsdoelen

PAG verwerkt persoonsgegevens van de volgende categorieën personen:

  • (potentiële) cursisten;
  • bezoekers aan de onderwijslocatie van de PAG;
  • bezoekers van www.pa-groningen.com;
  • deelnemers aan bijeenkomsten van PAG ;
  • sollicitanten;
  • alle overige personen die met PAG contact opnemen of van wie PAG persoonsgegevens verwerkt.

potentiële cursisten:

PAG verwerkt persoonsgegevens van (potentiële) cursisten, ten behoeve van inschrijving van de cursist. Voor inschrijving gaat het om naam, contact- en adresgegevens, geboortedatum en gegevens van de werkgever. De opgenomen gegevens van een cursist worden in het ICT-systeem van PAG opgeslagen.

bezoekers van www.pa-groningen.com:

Wanneer u onze website bezoekt, kunnen wij een aantal gegevens verwerken via cookies. Een cookie is een eenvoudig klein bestandje dat met pagina’s van deze website [en/of Flash- applicaties] wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd worden. U kunt het gebruik van deze cookies weigeren, maar omdat dit de functionaliteit en de gebruikerservaring ernstig belemmert, en wij daarom niet de kwaliteit kunnen bieden die u van ons mag verwachten, hebben wij ervoor gekozen om u de website dan niet aan te bieden. Naast functionele cookies die bedoeld zijn om onze website goed te laten werken, kan ook sprake zijn van overige of onvoorziene cookies. Door de manier waarop internet en websites werken, kan het zijn dat wij niet altijd inzicht hebben in de cookies die via onze website door derde partijen worden geplaatst. Dit is met name het geval als onze webpagina’s zogenaamde embedded elementen bevatten; dit zijn teksten, documenten, plaatjes of filmpjes die bij een andere partij opgeslagen zijn, maar die op, in of via onze website getoond worden.

Verder worden persoonsgegevens gegenereerd als een bezoeker een contact- of ander webformulier op de website invult. Dit formulier is beveiligd. Die gegevens worden gebruikt voor het doel waarvoor het contact- of webformulier dient.

Sollicitanten:

Van personen die bij PAG hebben gesolliciteerd, worden persoonsgegevens verwerkt, zoals contactgegevens en gegevens die zijn vermeld in de sollicitatiebrief en het cv. Deze gegevens worden verwerkt ter beoordeling van de geschiktheid van de kandidaat en om met een kandidaat contact te leggen. De gegevens worden bewaard tot maximaal 6 maanden na de sollicitatieprocedure.

Organisatorische en technische maatregelen / beveiliging

Uitgangspunt voor PAG is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft PAG passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

Interne maatregelen 

PAG heeft de volgende interne technische en organisatorische maatregelen getroffen:

- het uitwisselen van vertrouwelijke informatie met andere zorgverleners wordt (conform NEN 7510, NEN 7512 en NEN 7513) uitsluitend via een beveiligde verbinding (versleuteld mailverkeer, zoals zorgmail of ZIVVER) uitgewisseld. E-mailen met andere hulpverleners is alleen toegestaan voor algemene communicatie. Uitwisseling van vertrouwelijke informatie via (zakelijke of privé) e-mailaccounts van medewerkers of via applicaties als WhatsApp, Dropbox of WeTransfer is niet toegestaan;

- Apparatuur als laptops, tablets en mobiele telefoons worden niet onbeheerd buiten de praktijk achtergelaten. Toegang tot dergelijke apparatuur is afgeschermd met een wachtwoord;

- inloggegevens worden vertrouwelijk behandeld en worden niet met derden gedeeld. Uitsluitend in voorkomende gevallen worden inloggegevens vertrouwelijk met een collega gedeeld, zoals in geval van waarneming tijdens verlof;

- bij (dagelijks) vertrek van de praktijk wordt de computer volledig uitgelogd, afgesloten en eventuele papieren dossiers worden volledig en veilig opgeborgen;

- het is niet toegestaan, zonder toestemming van PAG , software te downloaden en/of om firewalls of virusscanners aan te passen of te verwijderen;

- Het netwerk van de praktijk (VPN-verbinding) is voorzien van actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates worden tijdig uitgevoerd. Er wordt geen verbinding gelegd via openbare wifi-netwerken.

- bij vertrek van de praktijk dient iedere medewerker te controleren of er nog andere medewerkers in het pand aanwezig zijn. De laatst aanwezige medewerker zorgt ervoor dat alle ramen en deuren zijn gesloten en dat het alarm wordt geactiveerd;

- toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte sleutels. Sleutels worden niet aan derden afgegeven;

- personeel is contractueel verplicht tot geheimhouding.

PAG ziet op naleving van de hiervoor genoemde maatregelen. Steekproefsgewijs kunnen (proportionele) controles worden uitgevoerd. Als wordt vermoed dat maatregelen door een bepaalde medewerker niet in acht worden genomen, kan worden overgegaan tot gerichte controles tegen de medewerker in kwestie. Na deze controle kan PAG op basis van haar bevindingen besluiten tot het treffen van arbeidsrechtelijke maatregelen.

Verwerkers

Met verwerkers heeft PAG afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald.

Door PAG ingeschakelde verwerkers zijn verplicht PAG alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door PAG of een door PAG gemachtigde controleur mogelijk te maken en er aan bij te dragen.

Informatieplicht

PAG informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan. Voor personen die niet aan PAG zijn verbonden, is om die reden een extern privacystatement opgesteld. Dit privacystatement is op de website van PAG gepubliceerd.


Verwerkers en ontvangers

Verwerkers

PAG kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van PAG. Met deze partijen heeft PAG verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.

Ontvangers

PAG verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst, de uitvoering van een (arbeids)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.

Bewaartermijnen

PAG vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.

PAG hanteert in beginsel de volgende bewaartermijnen:

  1. medische gegevens: ten minste 15 jaar na het einde van de behandelovereenkomst;
  2. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;
  3. gegevens van medewerkers en zzp’ers, anders dan (financieel-)administratieve gegevens: 5 jaar na uitdiensttreding respectievelijk na het einde van de overeenkomst van opdracht;
  4. gegevens van sollicitanten: 6 maanden na afronding van de sollicitatieprocedure;
  5. bezoekers van de website en ontvangers van nieuwsbrieven: 5 jaar na het laatste bezoek aan de website respectievelijk na uitschrijving voor de nieuwsbrief, tenzij eerder bezwaar wordt gemaakt in welk geval tot vernietiging zal worden overgegaan.

Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA)

In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een DPIA. In dat geval voert PAG voor elke nieuwe verwerking van persoonsgegevens een DPIA uit, indien deze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.

Doorgifte buiten EER 

PAG geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt PAG ervoor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG.

Geen functionaris voor de gegevensbescherming

Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.

PAG heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens (zie handleiding).

Beveiligingsincidenten

PAG heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.

Bij elk incident met betrekking tot persoonsgegevens zal PAG beoordelen:

  • of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens;
  • welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;
  • of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;
  • of het incident aan de AP dient te worden gemeld;
  • of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;
  • welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.

PAG documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister.

Voor het geval dat een (potentieel) incident waarvan een door PAG ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker PAG zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.

Rechten van betrokkenen 

Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. PAG heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.

Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door M. Meek- Heekelaar, klinisch psycholoog en eigenaar en/of Franske van Apeldoorns, klinsich psycholoog en eigenaar afgewikkeld.

Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICT-systeem.

Na ontvangst van een verzoek zal PAG eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum.

Nadat de identiteit van de verzoeker is vastgesteld, zal PAG aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert PAG de verzoeker binnen de eerste maand.

PAG stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. PAG beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en de wettelijke bewaarplicht. De behandelaar legt zijn bevindingen in een verslag vast. Het verslag wordt opgeslagen in een map van het ICT-systeem van de praktijk, dat speciaal voor het verzoek is aangelegd.

In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.

Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. PAG stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen aan externe partijen laat PAG achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.