top of page

PRIVACYVERKLARING

Intern privacybeleid The Chiropractor

1. Inleiding

Dit is het interne privacy beleid van The Chiropractor.

 

Kinkerstaat 12C-HS

1053 DT Amsterdam
Ph: 020 789 2923
info@thechiropractor.nl

 

Het beleid heeft betrekking op het verwerken, houden en/of delen van (bijzondere persoonsgegevens in het kader van zowel zorgverlening als de (interne) bedrijfsvoering van The Chiropractor.

The Chiropractor is als zorgaanbieder verwerkingsverantwoordelijke. The Chiropractor bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop The Chiropractor als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) wordt voldaan.

 

De volgende onderwerpen komen in dit document aan bod:

1 - Actualisatie en controle van naleving privacy beleid

2 - Categorieën persoonsgegevens en doelen

3 - Organisatorische en technische maatregelen / beveiliging

4 - Informatieplicht

5 - Verwerkingsregister

6 - Verwerkers en ontvangers

7 - Bewaartermijnen

8 - Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA)

9 - Doorgifte buiten de EU

10 - Geen functionaris voor de gegevensbescherming

11 - Beveiligingsincidenten

12 - Rechten van de betrokkenen

 

2. Actualisatie en controle naleving privacybeleid

 

De verwerking van persoonsgegevens binnen The Chiropractor dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacy beleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door medewerkers en verwerkers van The Chiropractor wordt nageleefd.

 

3. Categorieën persoonsgegevens en verwerkingsdoelen

The Chiropractor verwerkt persoonsgegevens van de volgende categorieën personen:

3.1: (potentiële) cliënten

3.2: Ouders / verzorgers van jeugdige clienten

3.3: Bezoekers van www.thechiropractor.nl

3.4: medewerkers

3.5: ZZP’ers werkzaam bij The Chiropractor

3.6: Sollicitanten

3.7: Alle overige personen die met The Chiropractor contact openemen of van wie The Chiropractor persoonsgegevens verwerkt.

 

 

 

 

3.1 potentiele clienten

The Chiropractor verwerkt persoonsgegevens van potentiele clienten, ten behoeve van identificatie van de client en de uitvoering van de zorgovereenkomst. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en burgerservicenummer van de client. Dit wordt verwerkt ten behoeve van de uitvoer van de zorgovereenkomst. Ook kunnen er andere (bijzondere) persoonsgegevens worden verwerkt voor dit doeleinde; zoals medische gegevens.

 

 

3.2 Ouders / verzorgers van jeugdige clienten

The Chiropractor verwerkt persoonsgegevens van de ouders / verzorgers van cliënten, ten behoeve van het contacten van de client en de uitvoering van de behandelovereenkomst. Het gaat dan om naam en contactgegevens en eventuele financiële gegevens zoals een bankrekeningnummer ten behoeve van het facturatieproces.

 

3.3 Bezoekers van www.thehiropractor.nl

The Chiropractor verwerkt persoonsgegevens die tijdens een bezoek van een betrokkene aan de website van The Chiropractor zijn gegenereerd, zoals het IP-adres, het surfgedrag op de website zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s  en de wijze waarop door de website wordt genavigeerd en op welke onderdelen daarvan de betrokkene klikt. Deze gebruikersstatistieken kunnen worden verwerkt tot generieke rapportages, die niet herleidbaar zijn tot individuele bezoekers. Dit heeft vooral als doel om de praktijkwebsite www.thechiropractor.nl, te verbeteren. Verder worden persoonsgegevens gegenereerd als een bezoeker het contact- of aanmeldformulier op de website invult. Dit formulier is beveiligd. De gegevens worden gebruikt voor het doel waarvoorhet contact- of webformulier dient.

 

3.4 Medewerkers

The Chiropractor verwerkt persoonsgegevens van haar medewerkers, voor zover dat noodzakelijk is voor de uitvoering van de arbeidsovereenkomst en/of een wettelijke verplichting, of als de medewerker toestemming heeft gegeven.

 

Personeelsdossier:

In het personeelsdossier van iedere medewerker worden de volgende gegevens bewaard:

  • De arbeidsovereenkomst en daarmee verband houdende gegevens, ten behoeve van het vaststellen en uitbetalen van salaris. Voor de berekening en uitbetaling van het salaris en overige vergoedingen.

  • Kopieën van diploma’s, certificaten en andere registraties.

  • Gegevens over het functioneren van medewerkers ten behoeve van individuele prestatiebeoordeling en -verbetering, meer specifiek voor (toekomstige) beoordelings- en functioneringsgesprekken en begeleidingstrajecten.

  • Overige gegevens, zoals gegevens met betrekking tot eventuele klachten, waarschuwingen, beoordelingen en verzuim.

  • Verkregen toestemming voor verwerking van (bijzondere) persoonsgegevens.

 

De toegang tot de personeelsdossiers is beveiligd. Alleen Sunitha Athisdam (eigenaar), en Meir Magid (Praktijkmanager) hebben toegang tot de personeelsdossier. Op verzoek kan een medewerker zijn of haar personeelsdossier inzien. Gegevens uit personeelsdossiers kunnen ook worden gebruikt als managementinformatie.

 

Van iedere medewerker is een profielomschrijving voor representatiedoeleinden op de website gepubliceerd, waarvoor de uitdrukkelijke toestemming van iedere medewerker is gevraagd en verkregen.

Gegevens die benodigd zijn voor betaling, deelname aan cursussen, opleidingen, beroepsverenigingen en externe bijeenkomsten, worden verwerkt en opgeslagen in het bedrijf.

ZZP’ers

The Chiropractors verwerkt en slaat de persoonsgegevens van haar ZZP’ers op. Er kan in het kader van de vergewisplicht in het (wkkgz) een onderzoek worden gedaan naar de geschiktheid van de zzp’er.

Sollicitanten:

Van personen die bij The Chiropractor hebben gesolliciteerd, worden persoonsgegevens verwerkt, zoals de contactgegevens en gegevens die worden vermeld in sollicitatiebrief en CV. Deze gegevens worden verwerkt ter beoordeling van de geschiktheid van de kandidaat en om met een kandidaat contact te leggen. De gegevens worden bewaard tot maximaal 6 maanden na de sollicitatieperiode.

Overige personen:

In het kader van de behandelingen, kan the Chiropractor ook gebruikmaken van gegevens afkomstig van andere hulpverleners of verwijzers.

4. Organisatorische regels en technische maatregelen / beveiliging

Uitgangspunt voor the Chiropractor is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken dan waarvoor ze zijn ingezameld, zowel intern als extern bij inschakeling van derde partijen. Voor beide gevallen heeft The Chiropractor passende technische en organisatorische maatregelen genomen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

 

The Chiropractor heeft de volgende interne technische en organisatorische maatregelen getroffen:

  1. Het uitwisselen van vertrouwelijke informatie met andere zorgverleners dien uitsluitend via beveiligde verbinding plaats te vinden. E-mailen met andere hulpverleners is alleen toegestaan voor algemene communicatie. Uitwisseling van privegegevens via onversleutelde methoden is niet toegestaan.

  2. Vertrouwelijke informatie dient uitsluitend te worden opgeslagen in het ICT-systeem van de praktijk dat voldoet aan de AVG wet en regelgeving. Het is ook niet toegestaan om vertrouwelijke informatie op externe gegevensdragers te bewaren, tenzij noodzakelijk en de gegevens zijn versleuteld.

  3. De praktijk draagt er zorg voor dat wachtwoorden voor het ICT systeem van de praktijk voldoende sterk zijn en periodiek worden gewijzigd.

  4. Het is niet toegestaan om apparatuur als laptops, tablets en mobiele telefoons met bijzondere patiëntgegevens onbeheerd buiten de praktijk te laten. Toegang tot de apparaten dient te zijn afgeschermd met wachtwoorden.

  5. Inloggegevens dienen vertrouwelijk te worden behandeld en dienen niet met derden te worden gedeeld. Uitsluitend in veilige omgeving zonder derden mogen inloggegevens vertrouwelijk met collega worden gedeeld, zoals in geval inwerken van een nieuwe collega.

  6. Bij vertrek van de praktijk dient iedere medewerker zijn/haar laptop volledig uite te loggen, af te sluiten en eventuele papieren dossiers volledig en veilig op te bergen.

  7. Het is niet toegestaan zonder toestemming van Praktijkmanager of praktijkeigenaar om software te downloaden op apparaten van de praktijk, of om firewalls of virusscanners aan te passen of te verwijderen.

  8. Een thuiscomputer van de praktijk dient beveiligd te zijn door wachtwoord. Veiligheidsupdates dienen tijdig te worden uitgevoerd. Er mag geen verbinding gelegd worden via openbare wifi-netwerken. Het is niet toegestaan om informatiedragers met vertrouwelijke gegevens onbeheerd in een auto of elders buiten de praktijk achter te laten.

  9. Bij vertrek van de praktijk dient gecontroleerd te worden of er nog andere mensen in het pand aanwezig zijn. De laatst aanwezige medewerker controleert of alle ramen en deuren gesloten / op slot zijn.

  10. Toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte sleutels. Sleutels mogen niet aan derden worden afgegeven.

  11. Personeel is contractueel verplicht tot geheimhouding.

 

The Chiropractor ziet toe op naleving van de hiervoor genoemde maatregelen. Steekproefsgewijs kunnen (proportionele) controles worden uitgevoerd. Als wordt vermoed dat maatregelen door een medewerker niet in acht worden genomen, kan worden overgegaan op gerichte controles van de medewerker in kwestie. Na deze controle kan The Chiropractor op basis van de bevindingen besluiten over te gaan tot het treffen van arbeidsrechtelijke maatregelen.

Verwerkers.

Met verwerkers (Practicehub) heeft The Chiropractor voor een bedrijf gekozen die informatie versleuteld kan verwerken en opslaan op grond van technische en organisatorische maatregelen. De door The Chiropractor ingeschakelde verwerker is verplicht alle informatie te verstrekken om nakoming van beveiliging aan te tonen ten behoeve van audits, waaronder inspecties. Of door The Chiropractor zelf, or door een door The Chiropractor gemachtigde controleur.

5. Informatieplicht

The Chiropractor informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan. Voor personen die niet aan The Chiropractor zijn verbonden, is om die reden een extern privacystatement opgesteld. Dit privacystatement is op de website van The Chiropractor gepubliceerd.

Bij indiensttreding worden nieuwe medewerkers geinformeerd over de verwerking van hun persoonsgegevens binnen 2Learn. Voor medewerkers geldt het interne privacyprotocol. Dit interne protocol van The Chiropractor is ook opgenomen binnen het ICT-systeem van de praktijk.

 

6. Verwerkers en ontvangers

The Chiropractor maakt tijdens het verwerken van persoonsgegevens gebruik van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van The Chiropractor. Met deze partijen heeft The Chiropractor een contract afgesloten, hierin zit onder andere geheimhoudingsplicht vastgesteld.

The Chiropractor maakt gebruik van de volgende gegevensverwerkers:

Practicehub (ten behoeve van een elektronisch patientendossier)

Google (ten behoeve van e-mail, agenda en Google Drive documenten)

Righteye (ten behoeve van testen)

Slack (interne versleutelde communicatie)

The Chiropractor verstrekt persoonsgegevens uit aan verwerkers wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.

7. Uitvoer van gegevensbeschermingseffectbeoordeling in uitzonderlijke gevallen (DPIA)

In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een DPIA door The Chiropractor. De kans op noodzaak is nihil, daar gebruik wordt gemaakt van gecontracteerde gegevensverwerkers.

8. Doorgeven informatie buiten de EER

The Chiropractor geeft in beginsel geen bijzondere persoonsgegevens door aan landen buiten de EER. Wanneer toch nodig is gebeurt dit binnen de regels van de AVG en de Europese Commissie.

9. Geen aanstelling functionaris gegevensbescherming.

Een verwerkingsverantwoordelijke dient bij grootschalige gegevensverwerking een functionaris voor gegevensverwerking toe te wijzen. Dit geldt voornamelijk voor organisaties die hoofdzakelijk en grootschalig belast zijn met de verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijke belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.

The Chiropractor heeft geen Functionaris Gegevenscherming aangesteld aangezien geen sprake is van grootschalige verwerking van bijzondere persoonsgegevens.

10. Beveiligingsincidenten

The Chiropractor neemt beveiligingsincidenten serieus. De organisatie heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dit zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beeindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld:

Bij elk incident tot persoonsgegevens zal The Chiropractor beoordelen:

  • Of er sprake is van een incident met betrekking tot bijzondere persoonsgegevens

  • Welke maatregelen genomen moeten worden om het incident te beëindigen en gevolgen te beperken.

  • Of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren.

  • Of het incident aan de AP dient te worden gemeld

  • Of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht.

  • Welke maatregelen er genomen dienen te worden om herhaling van het incident te voorkomen.

The Chiropractor documenteert inbreuken in verband met persoonsgegevens in het datalekkenregister van de AP.

Voor het geval dat een gegevensverwerker een potentieel incident is waarvan de externe gegevensverwerker eerder op de hoogte is geraakt, is in de samenwerkingsovereenkomst geregeld dat de verwerker ons op de hoogte moet brengen van de potentiële datalek. Ook is er afgesproken dat beide partijen hun best doen om het incident te voorkomen / op te lossen.

 

11. Rechten van betrokkenen

Rechten die een betrokkene heeft volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. The Chiropractor heeft via zijn gegevensverwerkers technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.

Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door Eigenaar of praktijkmanager afgewikkeld.

Verzoeken en de afhandeling daarvan worden opgeslagen in het ICT-systeem.

Na ontvangst van een verzoek zal The Chiropractor zijn best doen om de identiteit van de verzoeker vaststellen, aan de hand van naam, contact en adresgegevens van de verzoeker.

Nadat de identiteit van de verzoeker is vastgesteld, zal The Chiropractor aan de verzoeker bevestigen dat er binnen een maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn maximaal met twee maanden worden verlengd. Over verlenging van de termijnen informeert The Chiropractor binnen de eerste termijn.

The Chiropractor stekt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. The Chiropractor beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en wettelijke bewaarplicht. De behandelaar legt zijn bevindingen vast in een verslag. Het verslag wordt opgeslagen in het ICT systeem.

In beginsel wordt aan de verzoeker geen kosten in rekening worden gebracht voor behandeling van het verzoek. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan een kopie van het dossier wordt verlangd.

Als het verzoek wordt gehonoreerd en het verzoek betrekking heeft op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. The Chiropractor stelt vast of daarvan sprake is en noteert de derde partij in het verslag. Dergelijke kennisgevingen aan externe partijen laat The Chiropractor achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.

Klik hier voor een downloadbare versie van de privacyverklaring.

bottom of page