Privacy Protocol ElkWelzijn

Hoe we omgaan met privacy bij ElkWelzijn

Oktober 2018

Sinds mei 2018 is een nieuwe wet van toepassing, die specifiek de bescherming van persoonsgegevens regelt, de Algemene Verordening Gegevensbescherming (AVG). De AVG eist dat een organisatie de verschillende verwerkingen van persoonsgegevens inzichtelijk maakt. Het gehele proces van gegevensverwerking dient volgens deze wet aan zorgvuldigheidseisen te voldoen. Onder ‘verwerken’ wordt verstaan: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van ter beschikking stellen, samenbrengen, met elkaar in verband brengen, en ook het afschermen, uitwissen of vernietigen van gegevens.

Doel van het Privacy Protocol

Het doel van dit protocol is een praktische uitwerking te geven van de bepalingen van de AVG.

Wie moet zich houden aan dit Privacy Protocol?

Alle medewerkers, stagiairs en vrijwilligers van ElkWelzijn.

Opslaan van persoonsgegevens

We zijn terughoudend en zorgvuldig in het opslaan van persoonsgegevens. Alleen als het noodzakelijk is voor de dienstverlening worden persoonsgegevens opgeslagen. In het Register Verwerkingsactiviteiten is vastgelegd wie met welk doel welke gegevens mag vastleggen, en hoe lang de gegevens bewaard worden.

We laten in het kantoor of elders geen papieren rondslingeren met daarop persoonsgegevens. We printen alleen uit met een code en zorgen ervoor dat prints niet blijven liggen. Gegevens op papier worden altijd achter slot en grendel bewaard, het streven is deze uitsluitend digitaal op te slaan.

Digitaal worden persoonsgegevens opgeslagen in de eigen directory of in directory’s die zijn afgeschermd van collega’s. Slechts degenen die betrokken zijn bij het project hebben toegang, evenals de leidinggevende.

Dossiers

Bij ouderenondersteuning, mantelzorgondersteuning, jongerencoaching, buurtbemiddeling en bemiddelen naar vrijwillige hulp worden per cliënt of bemiddeling dossiers gemaakt. Dit gebeurt in het WWA registratiesysteem of in het systeem van buurtbemiddeling. Er worden niet meer gegevens verzameld dan strikt noodzakelijk voor het correct uitvoeren van de hulpvraag. In het Register Verwerkingsactiviteiten is vastgelegd hoe lang de dossiers bewaard worden.

Communiceren via email en app

We gaan terughoudend om met het delen van persoonsgegevens via email of WhatsApp. Bij het versturen van emails aan groepen personen zetten we de mailadressen in de BCC. Bij het delen van persoonsgegevens met vrijwilligers vragen we hen de gegevens te verwijderen nadat het contact met de cliënt gelegd of afgesloten is. Hieraan herinneren we hen nogmaals na 6 maanden.

Verstrekken van gegevens

Het intern verstrekken van gegevens is uitsluitend toegestaan in het belang van de dienstverlening en de administratieve afwikkeling daarvan. Denk hierbij aan het uitwisselen van gegevens tussen  verschillende onderdelen van ElkWelzijn. Gegevens worden niet gedeeld met externe instanties, tenzij strikt noodzakelijk voor het correct uitvoeren van de hulpvraag, of indien dit wettelijk is vereist. De cliënt wordt schriftelijk om toestemming gevraagd voor het verstrekken van gegevens aan derden.

Geheimhouding

Medewerkers, stagiairs en vrijwilligers van ElkWelzijn zijn zich ervan bewust dat zij bij de uitvoering van hun werk in aanraking komen met informatie van vertrouwelijke of persoonlijke aard. Het is verplicht deze informatie geheim te houden.

Recht op inzage

De cliënt heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende gegevens. Een verzoek hiertoe kan door de cliënt, of diens wettelijk vertegenwoordiger, worden ingediend bij de directeur van ElkWelzijn. Hierbij gelden de volgende voorwaarden en regels:

  • De directeur maakt binnen vier weken na aanvraag hiervoor een afspraak met de betrokkenen.
  • De directeur legt indien nodig uit wat in het dossier is vastgelegd, met welk doel en al wat nog meer om uitleg of toelichting vraagt.
  • De directeur zorgt ervoor dat eventuele gegevens over derden worden afgeschermd, tenzij aannemelijk kan worden gemaakt dat deze derde geen bezwaar heeft tegen inzage door betrokkene.

Recht op correctie

De cliënt heeft het recht te verzoeken om verbetering, aanvulling, verwijdering of vernietiging van de op hem betrekking hebbende gegevens als ze feitelijk onjuist zijn, niet volledig, niet ter zake dienen of in strijd met een wettelijk voorschrift. De cliënt dient daartoe een schriftelijk en gemotiveerd verzoek in bij de directeur van ElkWelzijn.

De directeur bericht de betrokkene binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre het verzoek wordt gehonoreerd. Een eventuele weigering van het verzoek wordt door ElkWelzijn gemotiveerd. De directeur draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming binnen drie maanden wordt uitgevoerd.

Datalek

Bij een datalek gaat het om zaken als:

  • Een zoek geraakte USB-stick
  • Een gestolen laptop of mobiele telefoon
  • Verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden
  • Een malware-besmetting
  • Een calamiteit zoals een brand in een datacentrum.

Zodra een medewerker het datalek constateert wordt direct (telefonisch of bij niet bereikbaar zijn per app) de direct leidinggevende geïnformeerd. Bij afwezigheid van de leidinggevende wordt diens vervanger (MT-lid) ingelicht.

De leidinggevende beoordeelt of het noodzakelijk is het datalek te melden bij de Autoriteit Persoonsgegevens, zie hieronder. De leidinggevende is ervoor verantwoordelijk dat dit gebeurt als dit nodig is, en dat zo nodig de personen van wie de data zijn gelekt, geïnformeerd worden.

Als er sprake is van een datalek moet er niet alleen binnen twee werkdagen een melding gedaan worden aan de Autoriteit Persoonsgegevens, maar ook aan de personen van wie de data zijn gelekt. Dit moet ook zo snel mogelijk gebeuren, maar hiervoor geldt niet de termijn van twee werkdagen.

Uit de Wet Bescherming Persoonsgegevens van de Autoriteit Persoonsgegevens:

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens

Ieder datalek moet worden bijgehouden in een register. Dit register datalekken wordt een onderdeel van het digitale dossier privacy. Het MT is verantwoordelijk voor het toevoegen van het datalek aan het register.

Privacy Reglement

Naast dit Privacy Protocol, bedoeld voor intern gebruik, heeft ElkWelzijn een Privacy Reglement. Dit Reglement wordt gepubliceerd op de website van ElkWelzijn.

Bijlage: AVG Protocol Leerhuis Deelnemers

Als je deelneemt aan activiteiten van het Leerhuis, vragen we je om een aantal persoonlijke gegevens aan ons door te geven. We vertellen je graag wat wij daarmee doen. Heb je na het lezen van deze informatie nog vragen, laat het ons dan weten. Dat kan via ons e-mailadres info@leerhuisculemborg.nl  of neem contact op met onze coördinator op telefoonnummer 06-10087161.

Delen van gegevens

Het Leerhuis werkt samen met andere partijen. Soms delen we jouw gegevens met hen. Je leest hieronder wanneer en waarom. Die partijen hebben hun eigen privacybeleid en dragen daarvoor hun eigen verantwoordelijkheid. Wij doen ons uiterste best om waterdichte afspraken met hen te maken over jouw gegevens. Mocht je het gevoel hebben dat er iets niet goed gaat, laat het ons dan weten.

Wat doen we met je gegevens?

Deelname aan activiteiten

  • Wij slaan je gegevens op, zodat wij je kunnen bereiken over zaken die gaan over deelname aan activiteiten van het Leerhuis. We delen informatie per brief, app, mail of telefoon.
  • Jouw aanwezigheid bij de activiteiten van het Leerhuis wordt bijgehouden. Voor mensen die een bijstandsuitkering hebben is dat nodig als bewijs dat de afgesproken tegenprestatie is nagekomen.

Neem je vrijwillig deel aan activiteiten, dan houden we bij wanneer je er bent, zodat we zicht hebben op het aantal deelnemers in de groepen en of er plek is voor nieuwe deelnemers.

  • Op het inschrijfformulier van het Leerhuis geef je aan of we foto’s mogen gebruiken waar jij op staat. We gebruiken de foto’s in persberichten en op social media, onze website en eventuele andere publicaties. We gebruiken de foto’s om nieuwe deelnemers te werven, bekendheid te geven aan het Leerhuis en om aan partners te laten zien wat we allemaal doen.
  • Voor registratie gebruiken wij een excelbestand van het Leerhuis zelf. De gegevens uit dit bestand worden daarnaast opgenomen in de database van Stichting Lezen en Schrijven. Ook nemen wij via hun systemen verschillende metingen af onder onze deelnemers. Zo kunnen we meten of onze deelnemers vooruit gaan. Daarmee kunnen we laten zien wat de resultaten van het Leerhuis zijn.  

Gegevens delen met andere organisaties

Het Leerhuis is een netwerkorganisatie en bestaat uit ElkWelzijn, ROC Rivor, Gemeente Culemborg en Bibliotheek Rivierenland.

  • ElkWelzijn heeft toegang tot jouw gegevens waar dat nodig is voor het uitvoeren van de coördinatiefunctie. Bijvoorbeeld voor het indelen van de groepen en het maken van rapportages.
  • Het ROC verzorgt de intakes en niveaumetingen. Zij geven vervolgens uw gegevens  door aan de coördinator van ElkWelzijn, zodat je in de juiste groep kunt worden ingedeeld.
  • Daarnaast stromen veel mensen door van het Leerhuis naar lessen bij het ROC. Wij delen op jouw verzoek jouw gegevens met het ROC, zodat de inschrijving bij het ROC sneller in gang gezet kan worden.
  • De Bibliotheek en Jobhulp Culemborg verzorgen cursussen voor ons. Zij ontvangen van ons een presentielijst met daarop de namen en telefoonnummers van de mensen die mee doen aan hun activiteiten. Eventueel ontvangen zij ook jouw adres als dat nodig is om je informatie te sturen over de cursus. Dat geldt ook voor andere organisaties die op ons verzoek aanbod verzorgen.
  • Als er andere hulpvragen spelen waarbij je ons hebt gevraagd mee te denken, dan kunnen we ook gegevens uitwisselen met partijen als bijvoorbeeld het Sociaal Wijk Team, Schuldhulpverlening of de Formulierenbrigade. Dit wordt vooraf met je besproken en je geeft hiervoor mondeling toestemming.
  • Wij verstrekken geanonimiseerd gegevens over onze deelnemers aan de Gemeente Culemborg en andere samenwerkingspartners, zodat wij kunnen laten zien waarom het belangrijk is dat het Leerhuis blijft bestaan. Het gaat daarbij om informatie als het aantal mannen/vrouwen, wel of geen uitkering, redenen uitstroom, aantal nieuwe deelnemers etc.

Inzage gegevens door vrijwilligers

  • Zodra je bent geplaatst in een van de groepen of bij een maatje wordt je naam en telefoonnummer gedeeld met de begeleidend vrijwilliger/docent, zodat zij indien nodig rechtstreeks contact met je op kunnen nemen bij ziekte, vragen, ondersteuning of voor het  maken van afspraken.
  • Soms maken vrijwilligers met de groep die zij begeleiden een groepsapp. Wil je hier niet aan deelnemen dan kun je de groep verlaten/verzoeken je gegevens te laten verwijderen. Deze groepsapp wordt gebruikt om informatie te delen, vragen te beantwoorden of opdrachten te delen.