Doel
Het zorgdragen voor een zorgvuldige en behoorlijke omgang met persoonsgegevens.
Algemeen
Het privacyreglement ziet toe op de verwerkingen van persoonsgegevens die plaatsvinden binnen Re-ise Up. Binnen Re-ise Up zijn we wettelijk verplicht om een dossier met betrekking tot de hulpverlening van de cliënt in te richten. Het doel van het inrichten van het dossier is het waarborgen van de kwaliteit van de aan de cliënt te leveren zorg. Dit reglement beoogt ervoor te zorgen dat bij de verwerking van de in het dossier aanwezige persoonsgegevens wordt voldaan aan de wettelijke eisen ter bescherming van de privacy. Dit reglement is gebaseerd op de Wet Algemene Verordening Gegevensbescherming.
Dit reglement geeft regels met betrekking tot het verzamelen, vastleggen, ordenen, bewaren, wijzigen, bijwerken, opvragen, raadplegen, gebruiken, verstrekken, verwijderen en vernietigen van persoonsgegevens. Ook geeft dit reglement de regels die gelden ten aanzien van de meldingen die in bepaalde gevallen gedaan moeten worden van verwerkingen van persoonsgegevens bij Autoriteit Persoonsgegevens.
Begripsbepalingen
In dit reglement wordt onder de hierna aangegeven begrippen en termen het volgende verstaan:
- a) De wet: Wet Algemene Verordening Gegevensbescherming;
b) Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
c) Medische of psychologische gegevens: persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening;
d) Persoonsregistratie: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen of vernietigen van gegevens;
e) Verstrekken van gegevens uit de persoonsregistratie: Het bekend maken of ter beschikking stellen van persoonsgegevens die in de persoonsregistratie zijn opgenomen of die door bewerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
f) Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
g) Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens binnen Re-ise Up;
h) Bestand: elk gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
i) Vitaal belang: een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid;
j) Verantwoordelijke: betrokken zorgverlener;
k) Bewerker van de persoonsregistratie: Degene, die ten behoeve van de verantwoordelijke persoons gegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
l) Beheerder: Manager belast met de dagelijkse leiding over de verwerking van persoonsgegevens;
m) Gebruiker van de persoonsregistratie: degene die geautoriseerd is gegevens in de persoonsregistratie in te voeren en/of te muteren dan wel enigerlei uitvoer van de persoonsregistratie kennis te nemen;
n) Organisatie: Re-ise Up;
o) Betrokkene: iedere natuurlijke persoon op wie een gegeven betrekking heeft (de cliënt);
p) Derde: Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
q) Externe opdrachtgever: De persoon of rechtspersoon die de opdracht tot enige vorm van beroepsmatig handelen heeft gegeven, niet zijnde de betrokkene. De opdracht omvat zowel vraagstelling die aan het beroepsmatig handelen ten grondslag ligt, als afspraken omtrent voortgang, procedurele aspecten en rapportage en de financiële afwikkeling van de opdracht;
r) Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
s) Toestemming van betrokkene: Elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
t) Autoriteit Persoonsgegevens: De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.Reikwijdte
Dit reglement is van toepassing binnen Re-ise Up en heeft betrekking op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een dossier zijn opgenomen of die bestemd zijn om daarin te worden opgenomen en die verband houden met de taken van de gecertificeerde instelling.Doel van de verwerking van persoonsgegevens
De verwerking van persoonsgegevens door Re-ise Up heeft als doel het verkrijgen van informatie, het systematisch vastleggen, het opslaan en ter beschikking stellen van gegevens ten behoeve van een goede uitvoering van preventie, zorg en nazorg aan cliënten. Tevens heeft dit reglement betrekking op het door ons op te stellen overzicht van genoemde verwerkingen van persoonsgegevens.Doelstellingen cliënten
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
– Een goede uitvoering van de zorg die door de instelling wordt verleend;
– Het financieel afhandelen van de geboden zorg aan de cliënt met de cliënt dan wel met diens zorgverzekeraar;
– Het evalueren van de zorg;
– Samenwerken met andere zorginstellingen (waar de cliënt toestemming geeft om informatie te delen) om de juiste zorg te kunnen bieden aan de cliënt.Doelstellingen medewerkers
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
– Het financieel afhandelen van salaris en overige vergoedingen;
– Het verantwoorden van de instelling aan de ziektekostenverzekeraars, uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen.Doelstellingen Re-ise Up
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
– Het stimuleren van een permanente vorm van kwaliteitscontrole;
– Het evalueren en bijstellen van beleidstukken ter verbetering van de zorg en werkomgeving;
– Effectiviteit van de zorg inzichtelijk maken door cliëntwaardering.Toegang tot het dossier
Directe toegang tot het dossier hebben alleen die medewerkers die behoren tot de organisatie Re-ise Up of van de verwerker, en uitsluitend voor zover noodzakelijk voor de uitvoering van hun taak. Zoals de ICT-ondersteuning. Re-ise Up heeft met deze verwerkers afspraken gemaakt over een zorgvuldig en veilige verwerking van de persoonsgegevens. Andere personen hebben slechts toegang indien een wettelijk voorschrift Re-ise Up verplicht tot het verlenen van toegang.Vertegenwoordiging
Wanneer de betrokkene jonger dan 16 is, heeft de wettelijk vertegenwoordiger gezag over het kind. Meestal wordt het gezag door één of beide ouders uitgeoefend. Re-ise Up mag de betrokkene vragen aan te tonen of hij/zij daadwerkelijk gezag heeft over het kind.
Wanneer de betrokkene 16 jaar of ouder is, heeft hij/zij zelf recht om inzage te vragen in zijn/haar dossier.
Indien de betrokkene ouder is dan 16 jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:
De persoonlijke gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
2. De echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of deze ontbreekt;
3. Een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.
4. Indien de betrokkene wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen en in diens plaats als vertegenwoordiger te treden. De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken;
5. De persoon, die in plaats treedt van de betrokkene, betracht de zorg van een goede vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken. Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.Voorwaarden voor een rechtmatige verwerking
Persoonsgegevens worden in overeenstemming met dit reglement en bijbehorende wet- en regelgeving op behoorlijke en zorgvuldige wijze verwerkt.
Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
Persoonsgegevens worden slechts verwerkt voor zover zij toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de uitvoering van de taken van Re-ise Up.
De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement.
Re-ise Up neemt passende maatregelen om persoonsgegevens te beveiligen.
Grondslag voor de verwerking van persoonsregistratie
De verwerker die wordt gekozen biedt voldoende waarborgen met betrekking tot de technische en organisatorische beveiliging.
Met de verwerker wordt een overeenkomst gesloten of een regeling getroffen waardoor afdwingbare verbintenissen ontstaan.
In deze overeenkomst of regeling moet de verantwoordelijke bedingen dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht van de verantwoordelijke.
De verantwoordelijke moet bedingen dat de verwerker de beveiligingsverplichtingen nakomt die op de schouders rusten van de verantwoordelijke op grond van de AVG.
De verantwoordelijke moet daadwerkelijk toezien op de naleving van de beveiligingsverplichtingen. Ook het recht hiertoe moet de verantwoordelijke in de overeenkomst of de regeling bedingen.
De persoonsgegevens mogen alleen worden verwerkt in opdracht van de verantwoordelijke.
De verwerker is naast de verantwoordelijke verantwoordelijk en aansprakelijk voor haar eigen handelen.
De verwerker en degenen die onder diens gezag handelen zijn verplicht om persoonsgegevens waarvan zij kennis nemen geheim te houden.
Informatieverstrekking aan derden
Uitgangspunt binnen de uitvoering van de taken is de geheimhoudingsplicht die de medewerker heeft ten behoeve van de cliënt. Deze geheimhoudingsplicht houdt in dat de medewerker geen informatie aan derden geeft zonder uitdrukkelijke toestemming van de cliënt. Bij het verstrekken van gegevens aan derden, ook wel ‘derdenverstrekking’ genoemd kan gedacht worden aan informatieverstrekking aan andere (externe) hulpverleners, aan een ouder zonder gezag, maar ook aan verstrekking van informatie aan ouders over hun kind dat 16 jaar of ouder is.
Re-ise Up verstrekt alleen met toestemming van de cliënt informatie over de cliënt aan anderen, tenzij bij of krachtens de wet anders is bepaald. Verstrekking mag verder alleen plaatsvinden voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad.
Verstrekking kan zonder inachtneming van het voorgaande plaatsvinden indien het bij of krachtens de wet bepaalde daartoe verplicht.
Indien de cliënt minderjarig is, is in plaats van diens toestemming de toestemming van zijn wettelijke vertegenwoordiger vereist, indien hij:
- jonger is dan twaalf jaren,
- de leeftijd van twaalf jaren heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
Indien de cliënt meerderjarig is en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, is in plaats van diens toestemming de toestemming van de wettelijke vertegenwoordiger of de schriftelijke gemachtigde van deze cliënt vereist. Indien ten aanzien van de cliënt een gemachtigde ontbreekt, dan is de toestemming vereist van de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon dat niet wenst. Bij het ontbreken van een echtgenoot, geregistreerde partner of ander levensgezel van de betrokkene, dient toestemming te worden gevraagd van een ouder, kind, broer of zus van de jeugdige, tenzij deze persoon dat niet wenst.
Re-ise Up kan zonder toestemming van de cliënt informatie over de cliënt verstrekken aan:
- degene die rechtstreeks betrokken is bij de uitvoering van de taken en degene die optreedt als vervanger van de medewerker, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden,
- de wettelijk vertegenwoordiger van de minderjarige cliënt,
- beroepskrachten die over informatie beschikken die noodzakelijk is voor de uitvoering van de ondertoezichtstelling.
- de Raad voor de Kinderbescherming, indien dit noodzakelijk kan worden geacht voor de uitoefening van de taken van de Raad voor de Kinderbescherming.
- Veilig Thuis, indien dit noodzakelijk is om een situatie van huiselijk geweld of kindermishandeling te beëindigen of een redelijk vermoeden daarvan te onderzoeken. Indien er sprake is van acute of structurele onveiligheid is Re-ise Up verplicht hiervan een melding te doen bij Veilig Thuis.
- de Inspectie Gezondheidszorg en Jeugd ingeval van een calamiteit.
- de rechterlijke macht en het openbaar ministerie als dat noodzakelijk is voor een goede uitoefening van de taken van Re-ise Up of bij rechterlijke procedures.
- de Centrale Autoriteit Internationale Kinderaangelegenheden als dat noodzakelijk om de jeugdige te beschermen.
- aan de klachtencommissie of tuchtcollege in het geval de cliënt of andere betrokkene daar een klacht heeft ingediend.
- aan de gemeente, ter controle en voor de facturering of als dit noodzakelijk is voor de toegang tot hulp.
Indien Re-ise Up door het verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij het verstrekken achterwege.
De persoonsgegevens van een jeugdige kunnen zonder toestemming van de jeugdige en/of diens wettelijk vertegenwoordiger en zo nodig met doorbreking van de geheimhoudingsplicht van de verwijsindex worden gemeld indien wordt voldaan aan de wettelijke vereisten.
Het in afwijking van de voorgaande leden verstrekken van inlichtingen over de cliënt aan anderen dan de cliënt, is uitsluitend toegestaan in een situatie van conflict van plichten.
Met inachtneming van de bepalingen uit dit reglement, verschaft Re-ise Up aan de vertrouwenspersoon van de cliënt alle inlichtingen en toont Re-ise Up alle stukken die deze voor een juiste uitoefening van zijn taak nodig heeft.
De in het dossier aanwezige originele stukken blijven in het bezit van Re-ise Up.
Persoonlijke werkaantekeningen en rapporten die in bewerking zijn, zijn niet ter inzage.
Recht op inzage en afschrift van opgenomen persoonsgegevens
Re-ise Up verstrekt aan de cliënt desgevraagd zo spoedig mogelijk en in ieder geval binnen een maand na ontvangst van een (mondeling of schriftelijk) verzoek, inzage in en afschrift van het dossier. Bij complexe of meerdere verzoeken kan de termijn met twee maanden worden verlengd. De mededeling aan de cliënt dat de termijn wordt verlengd dient binnen een maand nadat het verzoek is ingediend te worden gedaan. Inzage in- of afschrift van stukken uit het dossier kan worden geweigerd voor zover de persoonlijke levenssfeer van een ander, waaronder die van de jeugdige zelf, daardoor zou worden geschaad.
Inzage in of afschrift van het dossier wordt geweigerd, indien de cliënt:
- jonger is dan twaalf jaar,
- de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
Is de cliënt jonger is dan zestien jaar, of zestien jaar of ouder is maar niet in staat tot een redelijke waardering van zijn belangen ter zake? Dan worden aan de wettelijke vertegenwoordiger of aan de schriftelijke gemachtigde van de jeugdige boven de achttien jaar, inlichtingen dan wel inzage in of afschrift uit het dossier verstrekt. Indien ten aanzien van de jeugdige boven de achttien jaar een gemachtigde ontbreekt, dan gelden de verplichtingen in dit reglement jegens de echtgenoot, de geregistreerde partner of ander levensgezel van de betrokkene, tenzij deze persoon daar bezwaar tegen heeft. Is er geen sprake van een echtgenoot, geregistreerde partner of ander levensgezel? Dan gelden de verplichtingen in dit reglement jegens een ouder, kind, broer of zus van de jeugdige boven de achttien jaar, tenzij deze personen dat eveneens niet wensen.
Inlichtingen over, inzage in of afschrift van het dossier aan de wettelijke vertegenwoordiger of betrokkene zelf kan worden geweigerd, indien Re-ise Up hierdoor niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen.
Weigering van een verzoek om inzage in of afschrift van, deelt Re-ise Up zo spoedig mogelijk en ieder geval binnen een maand na ontvangst van het verzoek, aan de cliënt mede met daarbij de reden van de weigering. Bij complexe of meerdere verzoeken kan de termijn met twee maanden worden verlengd. De mededeling aan de cliënt dat de termijn wordt verlengd dient binnen een maand nadat het verzoek is ingediend te worden gedaan.
De in het dossier aanwezige originele stukken blijven in het bezit van Re-ise Up. Aan de cliënt wordt een kopie verstrekt. Persoonlijke werkaantekeningen en rapporten die in bewerking zijn niet ter inzage.
Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens
De betrokkene aan wie inzage is verleend dan wel mededeling is gedaan omtrent zijn persoonsgegevens, kan Re-ise Up schriftelijk verzoeken de persoonsgegevens die over hem gaan te verbeteren, aan te vullen of te verwijderen indien deze feitelijk onjuist zijn, of voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
Het verzoek wordt door de wettelijk vertegenwoordiger gedaan, indien de betrokkene:
- jonger is dan twaalf jaren,
- de leeftijd van twaalf jaren heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
Re-ise Up bericht de betrokkene zo spoedig mogelijk en in ieder geval binnen een maand na ontvangst van het verzoek schriftelijk of Re-ise Up aan het verzoek voldoet. Bij complexe of meerdere verzoeken kan de termijn met twee maanden worden verlengd. De mededeling aan de cliënt dat de termijn wordt verlengd dient binnen een maand nadat het verzoek is ingediend te worden gedaan. Bij (een gedeeltelijke) afwijzing van een verzoek om rectificatie, motiveert Re-ise Up de reden van de afwijzing.
Bij rectificatie van persoonsgegevens stelt Re-ise Up degene die deze persoonsgegevens heeft ontvangen hiervan in kennis, tenzij dit onmogelijk is of onevenredig veel inspanning vergt.
Recht op beperking van verwerking van gegevens
Een betrokkene heeft het recht Re-ise Up te verzoeken om verwerking van persoonsgegevens te beperken. Dit verzoek kan worden toegewezen indien:
- de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die Re-ise Up in staat stelt de juistheid van de persoonsgegevens te controleren;
- de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en in plaats daarvan verzoekt om beperking van het gebruik daarvan;
- Re-ise Up de persoonsgegevens niet meer nodig heeft voor het doel waarvoor de persoonsgegevens zijn verzameld, maar de betrokkene deze nodig heeft voor het instellen/uitoefenen of de onderbouwing van een rechtsvordering;
Re-ise Up bericht de betrokkene zo spoedig mogelijk en in ieder geval uiterlijk binnen een maand na ontvangst van het verzoek schriftelijk of Re-ise Up aan het verzoek om gegevensbeperking voldoet. Bij complexe of meerdere verzoeken kan de termijn met twee maanden worden verlengd. De mededeling aan de cliënt dat de termijn wordt verlengd dient binnen een maand nadat het verzoek is ingediend te worden gedaan. Bij (een gedeeltelijke) afwijzing van een verzoek om rectificatie, motiveert Re-ise Up de reden van de afwijzing. Indien Re-ise Up de beperking opheft, stelt zij de betrokkene hierover vooraf in kennis.
Bewaren en beveiligen van gegevens
De bewaartermijn van persoonsgegevens per individuele betrokkene vangt aan bij beëindiging van het contract.
De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is:
- Voor medische en zorggegevens in beginsel vijftien jaren;
- Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.
Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
De verantwoordelijke biedt passende technische en organisatorische maatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan.
De (technische en organisatorische) maatregelen garanderen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht om onnodige verzameling of verdere verwerking te voorkomen.
Indien de betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
De zorgverlener draagt zorg voor de naleving van de wet en het reglement en treft daartoe voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
Meldplicht datalekken
Indien zich binnen Re-ise Up of bij een door Re-ise Up ingeschakelde verwerker een inbreuk op de beveiliging voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens die Re-ise Up worden verwerkt, dan wel dit verlies of onrechtmatige verwerking zich daadwerkelijk voordoet, zal Re-ise Up daarvan melding doen bij de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt.
Re-ise Up zal iedere inbreuk op de beveiliging als bedoeld in het voorgaande artikel documenteren, ongeacht of deze wordt gemeld bij de Autoriteit Persoonsgegevens.
Indien de inbreuk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt, stelt Re-ise Up ook betrokkene onverwijld in kennis van de inbreuk. Deze mededeling kan achterwege blijven indien:
- de persoonsgegevens versleuteld zijn en niet toegankelijk voor derden;
- er inmiddels maatregelen getroffen zijn die het hoge risico hebben weggenomen;
- de mededeling een onevenredige inspanning vergt. Een openbare mededeling kan dan volstaan.
Bij het vaststellen of er sprake is van een inbreuk op de beveiliging en of melding daarvan moet worden gedaan bij de Autoriteit Persoonsgegevens, hanteert Re-ise Up: “Stappenplan: kom in actie bij een datalek” van Autoriteit Persoonsgegevens.
Klachten
Als Re-ise Up een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen.
Deze zal via de klachtenregeling (contactgegevens) van Re-ise Up worden behandeld. In gevallen waar het reglement niets over zegt, beslist directie.