Privacyreglement voor cliënten van Geriant en hun wettelijk vertegenwoordiger  

Toelichting vooraf: 

Dit privacyreglement is opgesteld aan de hand van het landelijke format voor zorginstellingen omdat dat  voorziet in alle bepalingen die de Algemene Verordening Gegevensbescherming (AVG) stelt. Echter, we zijn  ons ervan bewust dat daarmee de leesbaarheid en toegankelijkheid van het reglement verkleind wordt.  Daarom hebben we op onze website de belangrijkste informatie uit dit reglement op een rijtje gezet  (www.geriant.nl/uwbelangen/privacy).  

Dit privacyreglement is van toepassing op Geriant, met vestigingen in Heerhugowaard, Den Helder, Alkmaar  en Hoorn en heeft betrekking op de verwerkingen van gegevens van cliënten die bij Geriant zijn  ingeschreven. Dit reglement is van toepassing zowel op papieren als elektronische verwerking van  gegevens. 

Inhoud

1. Definities

2. Verwerking van persoonsgegevens van cliënten in overeenstemming met de AVG

2.1 Beginselen inzake verwerking van persoonsgegevens

2.2 Rechtmatigheid van de verwerking

2.3 Voorwaarden voor het verwerken van gezondheidsgegevens

2.4 Gegevensverwerking door verwerker

2.5 Aansprakelijkheid verwerkingsverantwoordelijke en/of verwerker

2.6 Verwerking van andere bijzondere gegevens dan de gezondheidsgegevens

2.7 Geheimhoudingsplicht en verstrekking aan derden

2.8 Verstrekking gegevens voor wetenschappelijk onderzoek en statistiek op het gebied van de  volksgezondheid

2.9 Afspraken met de onderzoeker

2.10 Bewaren van persoonsgegevens

3. Rechten van de betrokkenen

3.1 Voorwaarden met betrekking tot de uitvoering van de rechten van de betrokkenen.

3.2 Te verstrekken informatie

3.3 Te verstrekken informatie als de persoonsgegevens niet van de betrokkene zijn verkregen

3.4 Inzage en afschrift/kopie

3.5 Rectificatie (verbetering) of aanvulling van persoonsgegevens en beperking van de verwerking van  persoonsgegevens.

3.6 Recht op gegevenswissing

3.7 Recht van bezwaar

3.8 Recht op gegevensoverdraagbaarheid

4 Vertegenwoordiging

5 Veilige verwerking van persoonsgegevens

5.1 Verantwoordelijkheid van de verwerkingsverantwoordelijke

5.2 Gegevensbescherming door ontwerp en standaardinstellingen

5.3 Gezamenlijke verwerkingsverantwoordelijken

5.4 Register van verwerkingen

5.5 Medewerking verlenen aan/samenwerken met de Autoriteit persoonsgegevens

5.6 Beveiliging van de verwerking

5.7 Melding van een inbreuk in verband met persoonsgegevens aan de Autoriteit Persoonsgegevens en  datalekkenregister

5.8 Melding van een inbreuk in verband met persoonsgegevens aan de betrokkenen

5.9 Gegevensbeschermingseffectbeoordeling.

5.10 Voorafgaande raadpleging van de Autoriteit Persoonsgegevens

6 Functionaris voor gegevensbescherming (FG)

6.1 Aanwijzing van een functionaris voor gegevensverwerking

6.2 Positie van de functionaris voor gegevensbescherming

6.3 Taken van de functionaris voor gegevensverwerking

6.4 Bij een klacht

6.5 Wijzigingen en inzage van dit reglement

1.Definities

AVG of GDPR: Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).  

Gezondheidsgegevens: Gegevens over de lichamelijke of geestelijke gezondheid van een persoon, waaronder gegevens over verleendegezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

Inbreuk in verband met persoonsgegevens: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Onder een ‘datalek’ valt dus niet alleen het vrijkomen (lekken) van
gegevens, maar ook onrechtmatige verwerking van gegevens.

Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Pseudonimisering: Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkenen kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Toestemming van de betrokkene: Door betrokkene, op goede informatie berustende, specifieke, in vrijheid en ondubbelzinnig gegeven toestemming waarbij betrokkene hem betreffende verwerking van persoonsgegevens aanvaardt. Dat kan door middel van een schriftelijke of mondelinge verklaring of een ondubbelzinnige actieve handeling (zoals het
elektronisch aanvinken van een hokje).

Verwerker: Degene die in opdracht van en voor de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verwerking van persoonsgegevens: Alle handelingen met betrekking tot persoonsgegevens,
waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of in een andere vorm beschikbaar stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Verwerkingsverantwoordelijke: Degene die, alleen of samen met anderen, het doel van en de
middelen voor de verwerking van persoonsgegevens vaststelt; meestal de bestuurder van de zorgaanbieder.

Wet BIG: Wet op de beroepen in de individuele gezondheidszorg.

Wgbo: Wet op de geneeskundige behandelingsovereenkomst.

Wzd: Wet zorg en dwang.

Zorgaanbieder: Stichting Geriant, Titanialaan 15A, 1702 AZ Heerhugowaard, 072 5270390, info@geriant.nl.

2. Verwerking van persoonsgegevens van cliënten in overeenstemming met de AVG

2.1 Beginselen inzake verwerking van persoonsgegevens

De zorgaanbieder is verantwoordelijk voor de naleving van onderstaande beginselen bij de verwerking van  persoonsgegevens en moet de naleving van deze beginselen kunnen aantonen (“verantwoordingsplicht”).  Binnen Geriant worden persoonsgegevens alleen verwerkt:  

• op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is; 
• voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en zullen vervolgens niet  verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het  oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische  doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd; 
• voor zover zij toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden  waarvoor zij worden verwerkt;  
• indien de persoonsgegevens juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen  zullen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden  verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;  
• en bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de  doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens zullen  voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op  archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden  worden verwerkt en daarvoor zullen dan de in de AVG vereiste passende technische en organisatorische  maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen;  
• door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier dat  een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen  ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 

2.2 Rechtmatigheid van de verwerking 

De verwerking is alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden, rechtsgrond voor de verwerking, is voldaan:  

• de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of  meer specifieke doeleinden; de zorgaanbieder legt de toestemming vast zodat die kan worden  aangetoond en betrokkene heeft het recht de toestemming te allen tijde in te trekken;  
• de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene  partij is, namelijk de behandelovereenkomst of het behandelplan;
• de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen, bijvoorbeeld de  dossierplicht in de Wgbo of gegevensverstrekking bij gedwongen opname en gedwongen behandeling  op grond van de Wzd;  
• de gegevensverwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of  een ander natuurlijk persoon;  
• de gegevensverwerking noodzakelijk is voor de goede vervulling van een taak van algemeen belang, dat  elders in een wet is vastgelegd met eventuele nadere bepalingen;  
• de gegevensverwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de  verwerkingsverantwoordelijke of van een derde én de belangen, grondrechten of fundamentele vrijheden  van degene van wie de gegevens worden verwerkt niet prevaleren. 

1.1 Voorwaarden voor het verwerken van gezondheidsgegevens  

De zorgaanbieder zal alleen gezondheidsgegevens verwerken als de verwerking noodzakelijk is voor  doeleinden van medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of  behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en  diensten, voor zover dit is toegestaan in nationale wetgeving. Gegevens over gezondheid mogen  namelijk alleen worden verwerkt met het doel gezondheidszorg te leveren, onder de  verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim gebonden is of door een  ander persoon die op grond van de wet of overeenkomst tot geheimhouding is gehouden.

2.1 Gegevensverwerking door verwerker

• De zorgaanbieder kan de verwerking (extern) uitbesteden aan een verwerker en legt dan in een  verwerkersovereenkomst de verplichtingen uit de AVG op aan de verwerker. De zorgaanbieder  doet uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het  toepassen van passende technische en organisatorische maatregelen bieden opdat de  verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten  van de betrokkene is gewaarborgd.  
• De verwerking door een verwerker wordt geregeld in een (verwerkers)overeenkomst die de  verwerker ten aanzien van de zorgaanbieder bindt en waarin het onderwerp, de duur van de  verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de  categorieën van betrokkenen en de rechten en verplichtingen van de zorgaanbieder worden  omschreven. Een dergelijke overeenkomst dient te voldoen aan de eisen die de AVG daaraan  stelt.  
• De verwerker en eenieder die onder het gezag van de zorgaanbieder of van de verwerker  handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de  zorgaanbieder, tenzij hij door wet- of regelgeving tot verwerking gehouden is.

1.3 Aansprakelijkheid verwerkingsverantwoordelijke en/of verwerker  

1. De zorgaanbieder (verwerkingsverantwoordelijke) is verantwoordelijk en aansprakelijk voor  schade die voortvloeit uit het toerekenbaar tekortschieten of niet voldoende naleven van de AVG,  waaronder het wel/niet naleven van de beveiligingseisen.  
2. De verwerker, waaraan de zorgaanbieder (een deel van) de gegevensverwerking heeft uitbesteed,  kan daarnaast zelfstandig aansprakelijk zijn voor schade of een deel van de schade die voortvloeit  uit zijn werkzaamheden. Hoe die aansprakelijkheid wordt verdeeld, wordt beoordeeld door de  schadeverzekeraar of de rechter. De zorgaanbieder maakt hierover afspraken met de verwerker  en legt deze vast in een verwerkersovereenkomst. 1.4 Verwerking van andere bijzondere gegevens dan de gezondheidsgegevens

1.4 Verwerking van andere bijzondere gegevens dan de gezondheidsgegevens

Andere bijzondere gegevens, bijvoorbeeld gegevens met betrekking tot ras/etniciteit of  godsdienst/levensovertuiging mogen alleen als aanvulling op gezondheidsgegevens worden  verwerkt als dat nodig is voor een goede behandeling of verzorging van de betrokkene. Een voorbeeld is vastlegging van land van herkomst voor de inschakeling van een tolk/vertaler als dat  voor de uitleg van de behandeling aan cliënt nodig is.

1.5 Geheimhoudingsplicht en verstrekking aan derden  

1. Persoonsgegevens verkregen in de uitoefening van een beroep in de gezondheidszorg vallen  onder de geheimhoudingsplicht van de hulpverlener. Deze geheimhoudingsplicht is onder andere  vastgelegd in de Wgbo en de wet BIG en in verschillende beroepscodes.  
2. Bij de verstrekking van gegevens aan derden wordt de wet nageleefd. 

1.6 Verstrekking gegevens voor wetenschappelijk onderzoek en statistiek op het gebied van de  volksgezondheid 

De gegevensverwerking met het oog op archivering in het algemeen belang, wetenschappelijk of  historisch onderzoek of statistische doeleinden zal alleen geschieden volgens de voorschriften uit de  AVG. Dat wil zeggen dat de zorgaanbieder technische en organisatorische maatregelen treft om de  beginselen van minimale gegevensverwerking te garanderen. De zorgaanbieder kan alleen afwijken  van bepaalde rechten van betrokkenen uit de AVG voor zover die rechten de verwezenlijking van de  specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke  afwijkingen noodzakelijk zijn om die doeleinden te bereiken. Uitgangspunt is dat voor het verstrekken  van niet geanonimiseerde gegevens toestemming is vereist van betrokkene of diens wettelijk  vertegenwoordiger. In afwijking van dit uitgangspunt kan de zorgaanbieder ook zonder toestemming  van de betrokkene of diens wettelijk vertegenwoordiger ten behoeve van statistiek of wetenschappelijk  onderzoek op het gebied van de volksgezondheid aan een ander desgevraagd inlichtingen over de  betrokkene of inzage in de bescheiden, worden verstrekt indien:  

1. het vragen van toestemming in redelijkheid niet mogelijk is en bij de uitvoering van het onderzoek  zodanige waarborgen gelden, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig  wordt geschaad, of  
2. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet  kan worden verlangd en de hulpverlener ervoor zorgt dat gegevens in zodanige vorm worden  verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen.  Verder moet:  

1. het onderzoek een algemeen belang dienen;  
2. aangetoond zijn dat het onderzoek niet zonder de gegevens kan worden uitgevoerd; en 
3. de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar hebben gemaakt.  

Verstrekking is alleen mogelijk als aan alle voorwaarden is voldaan.

1.7 Afspraken met de onderzoeker 

De zorgaanbieder (verwerkingsverantwoordelijke) en de onderzoeker zullen schriftelijke afspraken  maken over de maatregelen die de onderzoeker neemt om de privacy van betrokkenen te  beschermen.

1.8 Bewaren van persoonsgegevens  

De zorgaanbieder bewaart de papieren en elektronische persoonsgegevens op een veilige wijze in overeenstemming met de geldende wet- en regelgeving. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt, tenzij  de gegevens worden geanonimiseerd of indien het noodzakelijk is voor de uitoefening van het recht  op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting,  voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het  openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen  belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang,  wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering. De zorgaanbieder stelt dan vast hoelang de  vastgelegde/geregistreerde persoonsgegevens bewaard blijven in overeenstemming met de geldende  wet- en regelgeving. 

3. Rechten van betrokkenen

3.1 Voorwaarden met betrekking tot de uitvoering van de rechten van de betrokkenen

1. Het verstrekken van de in deze paragraaf 3 bedoelde informatie, het verstrekken van de  communicatie en het treffen van de maatregelen geschieden kosteloos. Indien het verzoek  kennelijk ongegrond of buitensporig is, vooral vanwege het repetitieve karakter, mag de  zorgaanbieder:  

1. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het  verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde  maatregelen gepaard gaan; ofwel  
2. weigeren gevolg te geven aan het verzoek.  

Het is aan de zorgaanbieder om de kennelijk ongegronde of buitensporige aard van het verzoek  aan te tonen.  

2. De zorgaanbieder verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na  ontvangst van het verzoek krachtens deze paragraaf informatie over het gevolg dat aan het  verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek en van het aantal verzoeken  kan die termijn indien nodig met nog eens twee maanden worden verlengd. De zorgaanbieder  stelt de betrokkene binnen één maand, na ontvangst van het verzoek, in kennis van een dergelijke  verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien  mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.  3. Betrokkene kan een verzoek indienen voor het verstrekken van in deze paragraaf 3 bedoelde  informatie schriftelijk indienen via een e-mail via info@geriant.nl of brief aan Geriant, ter attentie  van de functionaris gegevensbescherming, Titanialaan 15A, 1702 AZ Heerhugowaard.

3.2 Te verstrekken informatie 

1. Als de zorgaanbieder gegevens bij de betrokkene zelf opvraagt om te verwerken, informeert hij de  betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm  voorafgaand aan het verkrijgen van zijn persoonsgegevens, over:  

1. de identiteit en de contactgegevens van de zorgaanbieder;  
2. indien van toepassing de contactgegevens van de functionaris voor gegevensbescherming; 
3. de verwerkingsdoelen waarvoor de gegevens zijn bestemd, alsook de rechtsgrond voor de  verwerking;  
4. in voorkomend geval, de ontvangers of categorieën van ontvangers van de  persoonsgegevens.  

2. Daarnaast dient onderstaande aanvullende informatie te worden verstrekt om behoorlijke en  transparante verwerking te waarborgen:  

1. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat  niet mogelijk is, de criteria ter bepaling van die termijn;  
2. de mogelijkheden die de betrokkene heeft om een verzoek om inzage, rectificatie of wissing  van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het  recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;  
3. indien de gegevensverwerking op toestemming is gebaseerd, dient de betrokkene  geïnformeerd te worden over het recht om te allen tijde die toestemming in te trekken, zonder  dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming  voor de intrekking daarvan.
4. het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens en op welke wijze de  betrokkene deze rechten kan inroepen.  
5. of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan  wel een noodzakelijke voorwaarde om een overeenkomst te sluiten en of de betrokkene  verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer  deze gegevens niet worden verstrekt. 

3. Wanneer de zorgaanbieder voornemens heeft de persoonsgegevens verder te verwerken voor  een ander doel dan waarvoor de persoonsgegevens zijn verzameld, verstrekt de zorgaanbieder  de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante  verdere informatie als bedoeld in het tweede lid van deze bepaling.  
4. De leden 1, 2 en 3 van dit artikel zijn niet van toepassing wanneer en voor zover de betrokkene  reeds over de informatie beschikt. 

3.3 Te verstrekken informatie als de persoonsgegevens niet van de betrokkene zijn verkregen

1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de zorgaanbieder de  betrokkene alle informatie conform hierboven (artikel 2.2) onder lid 1 en 2 en bovendien de  betrokken categorieën van persoonsgegevens alsmede de bron waar de persoonsgegevens  vandaan komen.  
2. De zorgaanbieder verstrekt de in het eerste lid van dit artikel bedoelde informatie: 

1. binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de  persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de  persoonsgegevens worden verwerkt;  
2. indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene,  uiterlijk op het moment van het eerste contact met de betrokkene; of  
3. indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op  het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.  
4. wanneer de zorgaanbieder voornemens heeft om de persoonsgegevens verder te verwerken  voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de  zorgaanbieder de betrokkene vóór die verdere verwerking informatie over dat andere doel en  alle relevante verdere informatie als bedoeld in het eerste lid van dit artikel.  

3. De zorgaanbieder hoeft de betrokkene niet te informeren over de hiervoor genoemde informatie  indien:  

1. de betrokkene al over de informatie beschikt;  
2. het informeren van betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In het  bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk  of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1 van de  AVG, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking  onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen  neemt de zorgaanbieder passende maatregelen om de rechten, de vrijheden en de  gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar  maken van de informatie;  
3. het verkrijgen of verstrekken van informatie (zoals hiervoor genoemd) op grond van wet- en  regelgeving verplicht is voor de zorgaanbieder en die wet- en regelgeving voorziet in  passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen;  of  
4. de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het  kader van wet- en regelgeving, waaronder een statutaire geheimhoudingsplicht.

3.4 Inzage en afschrift/kopie  

1. De betrokkene heeft het recht op inzage en een kopie van de op zijn persoon betrekking  hebbende verwerkte gegevens. De inzage of afschriftverstrekking vindt plaats voor zover daarbij  de persoonlijke levenssfeer van een ander niet wordt geschaad.  
2. Een wettelijk vertegenwoordiger van een wilsonbekwame volwassene, heeft recht op inzage in of  afschrift van het dossier met dezelfde uitzondering voor informatie over of verstrekt door derden  (familie, naastbetrokkenen en omstanders) voor zover van die vertegenwoordigers toestemming  voor de behandeling is vereist. De vertegenwoordiger krijgt alleen die informatie die noodzakelijk  is voor het uitoefenen van zijn taken als vertegenwoordiger.  
3. Indien de hulpverlener door inlichtingen over de cliënt dan wel inzage in of afschrift van de  bescheiden aan de (wettelijk) vertegenwoordiger te verstrekken niet geacht kan worden de zorg  van een goed hulpverlener in acht te nemen, laat hij zulks achterwege.  
4. Indien de zorgaanbieder van mening is dat de gevraagde inzage en/of de kopieën moeten worden  verstrekt, dient dat zo spoedig mogelijk plaats te vinden/te worden verstrekt, doch uiterlijk binnen  één maand. Afhankelijk van de complexiteit van het verzoek/de verzoeken en van het aantal  verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De  zorgaanbieder stelt de betrokkene binnen één maand, na ontvangst van het verzoek, in kennis  van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de  informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.  
5. Betrokkene kan een verzoek indienen voor het verstrekken van in deze paragraaf 3 bedoelde  informatie schriftelijk indienen via een e-mail info@geriant.nl of brief aan Geriant, ter attentie van  de functionaris gegevensbescherming, Titanialaan 15A, 1702 AZ Heerhugowaard.

3.5 Rectificatie (verbetering) of aanvulling van persoonsgegevens en beperking van de verwerking van  persoonsgegevens

1. De betrokkene kan de zorgaanbieder vragen om rectificatie (verbetering) van hem of haar  betreffende persoonsgegevens als die onjuist zijn of de zorgaanbieder verzoeken om  vervollediging van zijn persoonsgegevens, met in acht neming van het doel van de verwerking,  onder meer door een eigen aanvullende verklaring toe te voegen aan zijn dossier.  
2. De betrokkene kan een verzoek als bedoeld in lid 1 van dit artikel schriftelijk indienen via een e mail aan info@geriant.nl of brief aan Geriant, ter attentie van de functionaris gegevensbescherming, Titanialaan 15A, 1702 AZ Heerhugowaard.  
3. De zorgaanbieder informeert de verzoeker onverwijld en ten laatste binnen één maand na  ontvangst van een verzoek tot aanvulling, rectificatie of wissing (verwijdering) van gegevens of en  op welke manier aan het verzoek wordt voldaan. De zorgaanbieder heeft de mogelijkheid om de  termijn van één maand te verlengen met nog eens twee maanden afhankelijk van de complexiteit  van het verzoek. In dat geval dient de betrokkene wel binnen één maand van die verlenging in  kennis te worden gesteld.  
4. Als de zorgaanbieder het verzoek van betrokkene afwijst, geeft hij daarvan schriftelijk de reden.  De zorgaanbieder deelt een afwijzing van het verzoek onverwijld en uiterlijk binnen één maand na  ontvangst van het verzoek aan de verzoeker mee. Ook informeert de zorgaanbieder  de verzoeker over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens  en de mogelijkheid om beroep in te stellen bij de rechter.  
5. De betrokkene kan de zorgaanbieder vragen om bepaalde gegevens voor bepaalde personen af  te schermen en hen de toegang tot die gegevens te laten blokkeren.  
6. Het verzoek van een betrokkene en beslissing van de zorgaanbieder tot rectificatie (verbetering),  wissing of aanvulling van gegevens blijft bewaard in het dossier van de betrokkene.

3.6 Recht op gegevenswisseling

1. De betrokkene heeft het recht van de zorgaanbieder zonder onredelijke vertraging wissing van  hem betreffende persoonsgegevens te verkrijgen en de zorgaanbieder is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende  gevallen van toepassing is: 

1. de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of  anderszins verwerkt;  
2. de betrokkene trekt de toestemming waarop de verwerking berust in en er geen andere  rechtsgrond is voor de verwerking;  
3. de persoonsgegevens zijn onrechtmatig verwerkt;  
4. op basis van een wettelijke verplichting, die op de zorgaanbieder rust, de persoonsgegevens  moeten worden gewist.

2. De betrokkene kan een verzoek als bedoeld in lid 1 van dit artikel schriftelijk indienen via een e mail aan info@geriant.nl of brief aan Geriant, ter attentie van de functionaris  gegevensbescherming, Titanialaan 15A, 1702 AZ Heerhugowaard.  
3. De zorgaanbieder stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van  de wissing (verwijdering) van persoonsgegevens tenzij dit onmogelijk blijkt of onevenredig veel  inspanning vergt. De zorgaanbieder verstrekt de betrokkene informatie over deze ontvangers  indien de betrokkene hierom verzoekt.  
4. Wanneer de zorgaanbieder de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid  1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare  technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen,  om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te  stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling  naar, of kopie of reproductie van die persoonsgegevens te wissen.  
5. Indien het gezondheidsgegevens betreft, wist de zorgaanbieder de gegevens zonder onredelijke  vertraging en verstrekt de betrokkene in ieder geval binnen een maand na ontvangst van het  verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de  complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog  eens twee maanden worden verlengd. De zorgaanbieder stelt de betrokkene binnen één maand  na ontvangst van het verzoek in kennis van een dergelijke verlenging.
6. Een verzoek tot gegevenswissing mag alleen worden geweigerd als:  

a) de wet zich tegen de vernietiging verzet;  

b) een derde een aanmerkelijk belang heeft bij bewaring van die gegevens;  

c) de cliënt heeft een procedure tegen de hulpverlener aangespannen of het is waarschijnlijk dat  hij dit zal doen;  

d) de zorgaanbieder de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing  van een rechtsvordering;  

e) om redenen van algemeen belang op het gebied van volksgezondheid.  

7. Het verzoek tot wissing van gezondheidsgegevens en de reactie daarop worden bewaard door de  zorgaanbieder.  

3.7 Recht van bezwaar

1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband  houdende redenen bezwaar te maken tegen de verwerking van hem betreffende  persoonsgegevens op basis van de noodzakelijkheid voor de vervulling van een taak van  algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan  de zorgaanbieder is opgedragen of op basis van de noodzakelijkheid voor de behartiging van de  gerechtvaardigde belangen van de zorgaanbieder of van een derde;  
2. De zorgaanbieder beoordeelt onverwijld en in ieder geval binnen één maand na ontvangst van het  bezwaar of het bezwaar gerechtvaardigd is. Indien het bezwaar gerechtvaardigd is, beëindigt hij  onmiddellijk de verwerking, tenzij er sprake is van dwingende gerechtvaardigde gronden voor de  verwerking die zwaarder wegen dan de belangen, vrijheden en rechten van de betrokkene of die  verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

3.8 Recht op gegevensoverdraagbaarheid  

1. De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een  zorgaanbieder heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te  verkrijgen en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te  dragen, zonder daarbij te worden gehinderd door de zorgaanbieder aan wie de  persoonsgegevens waren verstrekt, indien de verwerking berust op toestemming of op uitvoering  van een overeenkomst en de verwerking geautomatiseerd wordt verricht.  

2. Bij de uitoefening van het recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat  de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene zorgaanbieder  naar de andere worden doorgezonden.  

3. Bij de uitoefening van dit recht mag dit geen afbreuk doen aan de rechten en vrijheden van  anderen. 

4. Vertegenwoordiging

1. Is de betrokkene ouder dan achttien jaar en wilsonbekwaam ter zake, dan treedt als  vertegenwoordiger voor hem op:  

1. een (toegewezen) curator of mentor;  
2. indien er geen curator of mentor is, de persoon die de betrokkene schriftelijk heeft  gemachtigd;  
3. indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of levensgezel  van de betrokkene;  
4. indien de echtgenoot of levensgezel ontbreekt of niet optreedt: een kind, broer of zus van de  betrokkene.  

2. In het uiterste geval treedt de zorgaanbieder op als goed hulpverlener; hij zorgt er voor dat er zo  snel mogelijk een wettelijk vertegenwoordiger voor betrokkene optreedt. Zo nodig, als familie of  naaste dat niet kan of wil, verzoekt hij de rechter om een vertegenwoordiger te benoemen.

5 Veilige verwerking van persoonsgegevens  

5.1 Verantwoordelijkheid van de verwerkingsverantwoordelijke  

1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook  met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van  natuurlijke personen, treft de zorgaanbieder passende technische en organisatorische  maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming  met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig  geactualiseerd.  
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de hierboven  bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de zorgaanbieder  wordt uitgevoerd.

5.2 Gegevensbescherming door ontwerp en standaardinstellingen  

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang,  de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst  uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de  verwerking zijn verbonden, treft de zorgaanbieder, zowel bij de bepaling van de  verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische  maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende  manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de  voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De zorgaanbieder treft passende technische en organisatorische maatregelen om ervoor te  zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk  specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde  persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden  opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen vooral ervoor dat  persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal  natuurlijke personen toegankelijk worden gemaakt. 

5.3 Gezamenlijke verwerkingsverantwoordelijken  

1. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen  van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op  transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de  verplichtingen uit hoofde van deze AVG vast, vooral met betrekking tot de uitoefening van de  rechten van de betrokkene en hun respectieve verplichtingen om de verplichte informatie te  verstrekken, door middel van een onderlinge regeling. In de regeling kan een contactpunt voor  betrokkenen worden aangewezen.  
2. Uit de bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken  respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke  inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.  
3. Ongeacht een dergelijke regeling kan een betrokkene zijn rechten uit de AVG met betrekking tot  en jegens iedere verwerkingsverantwoordelijke uitoefenen.

5.4 Register van verwerkingen  

1. De zorgaanbieder dient een register bij te houden van de verwerkingsactiviteiten die onder hun  verantwoordelijkheid plaatsvinden. Dat register bevat in ieder geval de volgende gegevens:

1. de  naam en de contactgegevens van de zorgaanbieder en eventuele gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
2. de  verwerkingsdoeleinden;  
3. een beschrijving van de categorieën van betrokkenen en van de categorieën van  persoonsgegevens;  
4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt,  onder meer ontvangers in derde landen of internationale organisaties;  
5. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een  internationale organisatie, met inbegrip van de vermelding van dat derde land of die  internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, van de AVG bedoelde doorgiften, de documenten inzake de passende waarborgen;  
6. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van  gegevens moeten worden gewist;  
7. indien mogelijk, een algemene beschrijving van de technische en organisatorische  beveiligingsmaatregelen.  

2. De verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een  register van alle categorieën van verwerkingsactiviteiten bij die zij ten behoeve van een  verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

1. de  naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor  rekening waarvan de verwerker handelt en, in voorkomend geval, van de vertegenwoordiger van  de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;  
2. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke  zijn uitgevoerd;  
3. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een  internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, eerste lid, tweede alinea, van de AVG bedoelde  doorgiften, de documenten inzake de passende waarborgen;
4.  indien mogelijk, een algemene beschrijving van de technische en organisatorische  beveiligingsmaatregelen.

3. Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. 
4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker het register ter beschikking  van de Autoriteit Persoonsgegevens.

5.5 Medewerking verlenen aan/samenwerken met de Autoriteit persoonsgegevens 

De zorgaanbieder en de verwerker en, in voorkomend geval, hun vertegenwoordigers, werken  desgevraagd samen met de Autoriteit Persoonsgegevens bij het vervullen van haar taken.

5.6 Beveiliging van de verwerking  

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de  omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst  uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de zorgaanbieder en  de verwerker passende technische en organisatorische maatregelen om een op het risico  afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende  omvatten:  

1. de pseudonimisering en versleuteling van persoonsgegevens;  
2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en  veerkracht van de verwerkingssystemen en diensten te garanderen;  
3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang  tot de persoonsgegevens tijdig te herstellen;  
4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de  doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de  verwerking.  

2. Bij de beoordeling van het passende beveiligingsniveau wordt vooral rekening gehouden met de  verwerkingsrisico’s, met name als gevolg van vernietiging, verlies, wijziging of ongeoorloofde  verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins  verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.  
3. De zorgaanbieder en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke  persoon die handelt onder het gezag van de zorgaanbieder of van de verwerker en toegang heeft  tot persoonsgegevens, deze slechts in opdracht van de zorgaanbieder verwerkt, tenzij hij daartoe  volgens wet- en regelgeving is gehouden.  

5.7 Melding van een inbreuk in verband met persoonsgegevens aan de Autoriteit Persoonsgegevens en  datalekkenregister

1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de  zorgaanbieder dit zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er  kennis van heeft genomen, aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is  dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Autoriteit  Persoonsgegevens niet binnen 72 uur plaatsvindt, wordt de vertraging gemotiveerd. 
2. De verwerker informeert de zorgaanbieder zonder onredelijke vertraging zodra hij kennis heeft  genomen van een inbreuk in verband met persoonsgegevens.  
3. In de melding aan de Autoriteit Persoonsgegevens wordt ten minste het volgende omschreven of  meegedeeld:  

1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding  van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij  benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
2. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander  contactpunt waar meer informatie kan worden verkregen;  
3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; 
4. de maatregelen die de zorgaanbieder heeft voorgesteld of genomen om de inbreuk in  verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de  maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de  informatie zonder onredelijke vertraging in stappen worden verstrekt.  
5. De zorgaanbieder houdt alle inbreuken in verband met persoonsgegevens bij in een overzicht,  met inbegrip van de feiten omtrent die inbreuk, de gevolgen daarvan en de genomen corrigerende  maatregelen. Die documentatie stelt de Autoriteit Persoonsgegevens in staat de naleving van dit  artikel te controleren.  

5.8 Melding van een inbreuk in verband met persoonsgegevens aan de betrokkenen

1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt  voor de rechten en vrijheden van natuurlijke personen, deelt de zorgaanbieder de betrokkene de  inbreuk in verband met persoonsgegevens onverwijld mee.  
2. De bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige  taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in het vorige  artikel (5.7, derde lid, onder b), c) en d), bedoelde gegevens en maatregelen.  
3. De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is  vervuld:  

1. de zorgaanbieder heeft passende technische en organisatorische beschermingsmaatregelen  genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk  in verband met persoonsgegevens betrekking heeft, vooral die welke de persoonsgegevens  onbegrijpelijk maken voor onbevoegden, zoals versleuteling;  
2. de zorgaanbieder heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge  risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal  voordoen;  
3. de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats  daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even  doeltreffend worden geïnformeerd.  

4. Indien de zorgaanbieder de inbreuk in verband met persoonsgegevens nog niet aan de  betrokkene heeft gemeld, kan de Autoriteit Persoonsgegevens, na beraad over de kans dat de  inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de zorgaanbieder  daartoe verplichten of besluiten dat aan een van de in lid 3 van dit artikel, bedoelde voorwaarden  is voldaan.

5.9 Gegevensbeschermingseffectbeoordeling  

1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën  worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan  waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert  de zorgaanbieder vóór de verwerking een beoordeling uit van het effect van de beoogde  verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een  reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.  
2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de zorgaanbieder bij  het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.  
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in het eerste lid is vooral vereist in de  volgende gevallen:  

1. indien sprake is de verwerking van persoonsgegevens met het oog op het nemen van  besluiten met betrekking tot specifieke natuurlijke personen na een systematische en  uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden  gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de  natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; 
2. er sprake is van een grootschalige verwerking van bijzondere categorieën van  persoonsgegevens, zoals gezondheidsgegevens;  
3. er sprake is van stelselmatige en grootschalige monitoring van openbaar toegankelijke  ruimten.  

De beoordeling bevat ten minste:  

1. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden; 
2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking  tot de doeleinden;  
3. een beoordeling van het eerste lid van dit artikel bedoelde risico’s voor de rechten en  vrijheden van betrokkenen; en  
4. de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen,  veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te  garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van  de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in  kwestie.

4. Bij het beoordelen van het effect van de door een zorgaanbieder of verwerker verrichte  verwerkingen en vooral ter wille van een gegevensbeschermingseffectbeoordeling, wordt de  naleving van goedgekeurde gedragscodes naar behoren in aanmerking genomen.  
5. De zorgaanbieder vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar  hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van  commerciële of algemene belangen of de beveiliging van verwerkingen.  
6. Indien nodig verricht de zorgaanbieder een toetsing om te beoordelen of de verwerking  overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste  wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.

5.10 Voorafgaande raadpleging van de Autoriteit Persoonsgegevens

1. Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico  zou opleveren indien de zorgaanbieder geen maatregelen neemt om het risico te beperken,  raadpleegt de zorgaanbieder voorafgaand aan de verwerking de Autoriteit Persoonsgegevens.  
2. Wanneer de Autoriteit Persoonsgegevens van oordeel is dat de bedoelde voorgenomen  verwerking inbreuk zou maken op deze verordening, vooral wanneer de zorgaanbieder het risico  onvoldoende heeft onderkend of beperkt, geeft de Autoriteit Persoonsgegevens binnen maximaal  acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de  zorgaanbieder en in voorkomend geval aan de verwerker, en mag zij al haar bevoegdheden  uitoefenen. Die termijn kan, naar gelang de complexiteit van de voorgenomen verwerking, met zes  weken worden verlengd. Bij een dergelijke verlenging stelt de Autoriteit Persoonsgegevens de  zorgaanbieder en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het  verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen  kunnen worden opgeschort totdat de Autoriteit Persoonsgegevens informatie heeft verkregen  waarom zij met het oog op de raadpleging heeft verzocht.  
3. Bij de raadpleging verstrekt de zorgaanbieder de nodige informatie zoals benoemd in de AVG. In  ieder geval dienen de volgende gegevens te worden verstrekt:  

1. indien van toepassing, de verantwoordelijkheden van de zorgaanbieder, bij de verwerking  betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder ten  aanzien van een verwerking binnen een concern;  
2. de doeleinden en middelen van de voorgenomen verwerking;  
3. de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en  vrijheden van betrokkenen uit hoofde van de AVG;
4. de contactgegevens van de functionaris voor gegevensbescherming;  
5. de gegevenseffectbeoordeling ten aanzien van die verwerking;  
6. alle andere informatie waar de Autoriteit Persoonsgegevens om verzoekt.

6 Functionaris voor gegevensbescherming (FG)  

6.1 Aanwijzing van een functionaris voor gegevensverwerking  

1. De zorgaanbieder en de verwerker wijst een functionaris voor gegevensbescherming aan  wanneer de zorgaanbieder of de verwerker, hoofdzakelijk is belast met grootschalige verwerking  van bijzondere categorieën van gegevens, namelijk voor zorgaanbieders: gezondheidsgegevens.  
2. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele  kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk  inzake gegevensbescherming en zijn vermogen de hieronder bedoelde taken te vervullen. De  vereiste expertise en vaardigheden omvatten in ieder geval:  

1. kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming; 
2. begrip van de gegevensverwerkingen die de organisatie uitvoert;  
3. begrip van IT en informatiebeveiliging;  
4. kennis van de organisatie en de sector waarin die actief is;  
5. vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te  ontwikkelen.  

3. De functionaris voor gegevensbescherming kan een personeelslid van de zorgaanbieder of de  verwerker zijn of kan de taken op grond van een dienstverleningsovereenkomst verrichten. 
4. De zorgaanbieder of de verwerker maakt de contactgegevens van de functionaris voor  gegevensbescherming bekend en deelt die mee aan de Autoriteit Persoonsgegevens. Binnen  Geriant is een functionaris voor gegevensbescherming werkzaam. Deze kan worden bereikt via  info@geriant.nl of 072 5270390.

6.2 Positie van de functionaris voor gegevensbescherming  

1. De zorgaanbieder en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming  naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de  bescherming van persoonsgegevens. Concreet heeft een functionaris voor gegevensbescherming  onder meer het volgende nodig om de functie in te vullen:

1. de actieve steun vanuit het  management;  
2. voldoende tijd om de taken uit te voeren;  
3. voldoende praktische ondersteuning (budget, faciliteiten en personeel);  
4. heldere communicatie aan al het personeel over de benoeming van de FG; e) scholing. 

2. De zorgaanbieder en de verwerker ondersteunen de functionaris voor gegevensbescherming bij  de vervulling van hieronder bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter  beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn  deskundigheid.  
3. De zorgaanbieder en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming  geen instructies ontvangt met betrekking tot de uitvoering van die taken; de functionaris voor  gegevensbescherming werkt zelfstandig en onafhankelijk. De functionaris voor gegevensbescherming wordt door de zorgaanbieder of de verwerker niet ontslagen of gestraft  voor de uitvoering van zijn taken en ondervindt geen nadeel van de uitoefening van zijn taak. De  functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste  leidinggevende – de bestuurder – van de zorgaanbieder of de verwerker. 
4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle  aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en met de  uitoefening van hun rechten uit de AVG.  
5. De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken tot  geheimhouding of vertrouwelijkheid gehouden.  
6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De  zorgaanbieder of de verwerker zorgt ervoor dat deze taken of plichten niet tot een  belangenconflict leiden. Om belangenverstrengeling te voorkomen, mag de functionaris voor gegevensverwerking binnen de organisatie niet ook een functie hebben waarin hij het doel en de  middelen van een gegevensverwerking bepaalt. 

6.3 Taken van de functionaris voor gegevensverwerking  

1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken: 

1. de zorgaanbieder of de verwerker en de werknemers die verwerken, informeren en adviseren  over hun verplichtingen uit hoofde van de privacywetgeving (de AVG en andere  gegevensbeschermingsbepalingen zoals uit sectorspecifieke wet- en regelgeving); 
2. toezien op naleving van deze AVG, van andere gegevensbeschermingsbepalingen en van het  beleid van de zorgaanbieder of de verwerker met betrekking tot de bescherming van  persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking  en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; 
3. desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan;  
4. met de Autoriteit Persoonsgegevens samenwerken;  
5. optreden als contactpunt voor de Autoriteit Persoonsgegevens inzake met verwerking  verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging, en,  waar passend, overleg plegen over enige andere aangelegenheid.  

2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren  rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en  de verwerkingsdoeleinden.

6.4 Bij een klacht

Bij een klacht over de naleving van dit reglement kan de betrokkene zich wenden tot: De www.geriant.nl of e-mail-adres info@geriant.nl verwerkingsverantwoordelijke/- of telefoon 072 5270390 of zorgaanbieder en de Post- en bezoekadres functionaris gegevens 

Bezoek alleen volgens afspraak bescherming van Geriant Titanialaan 15A, 1702 AZ Heerhugowaard  

De Autoriteit Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl

Bezuidenhoutseweg 30 (alleen volgens afspraak),
2594 AV Den Haag

Postadres:
Postbus 93374
2509 AJ Den Haag
Telefonisch spreekuur voor privacyvragen
Heeft u als burger een vraag over de AVG? En vindt u het
antwoord niet op de website van de Autoriteit Persoonsgegevens? Dan kunt u contact opnemen met het Informatie- en Meldpunt Privacy van de AutoriteitPersoonsgegevens
via telefoonnummer 088 – 1805 250

U kunt ons bellen van maandag tot en met vrijdag van 9.00 tot 15.00 uur. U betaalt uw gebruikelijke telefoonkosten.

Voor andere klachten raadpleegt de betrokkene de klachtenregeling van Geriant, zie daarvoor de website www.geriant.nl/client en mantelzorger/uw-belangen/klachten.

6.5 Wijzigingen en inzage van dit reglement

Dit reglement geldt per 25 mei 2018 en is bij de functionaris gegevensbescherming in te zien. Dit reglement is ook beschikbaar via de website www.geriant.nl/cliënt en mantelzorger/Uw belangen/privacy.