INTERN PRIVACYBELEID
VOOR DE VERWERKING VAN PERSOONSGEGEVENS
Versie 1.0 – december 2017
1. INTRODUCTIE
Dit is het privacybeleid (hierna: het “Privacybeleid”) van Tandartspraktijk Wiebinga (hierna: de “Praktijk”). Dit privacybeleid ziet zowel op het verzamelen en verwerken van persoonsgegevens die in verband met de hulp- en zorgverlening aan patiënten worden verwerkt, als op gegevens van medewerkers die binnen de Praktijk worden gebruikt. Het privacybeleid beschrijft op welke wijze de Praktijk met deze gegevens omgaat en welke protocollen en processen zij binnen de Praktijk heeft geïmplementeerd om ervoor te zorgen dat de veiligheid van de gegevens gewaarborgd is en dat aan de vereisten van de Algemene verordening gegevensbescherming (“AVG”) wordt voldaan.
In dit privacybeleid komen de volgende onderwerpen aan bod.
• Verwerkingsregister
• Type persoonsgegevens en doelen
• Informatieplicht
• Rechten van betrokkenen
• Derde partijen
• Beveiliging
• Datalekken
• Bewaartermijnen
• Privacy Impact Assessment
• Doorgifte van persoonsgegevens
• FG
De protocollen en overige documenten waarnaar in dit Privacybeleid wordt verwezen, zijn als bijlage aan het Privacybeleid gehecht.
Om ervoor te zorgen dat dit Privacybeleid blijft aansluiten bij de verwerking van persoonsgegevens binnen de Praktijk, zal het Privacybeleid elk jaar worden geëvalueerd. Aan de hand van die evaluatie zal, indien vereist, het Privacybeleid en de hieraan gehechte protocollen en documenten worden aangepast. Indien op een moment voor de evaluatie duidelijk wordt dat het Privacybeleid aanpassing behoeft, zal de Praktijk de vereiste aanpassingen op dat moment al doorvoeren.
Verwerkingsverantwoordelijke
degene die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dat is dus de partij die bepaalt wat er met de gegevens gebeurt. De Praktijk is als verwerkingsverantwoordelijke aan te merken.
Verwerker
een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Deze partij bepaalt dus niet voor welk doel gegevens worden verzameld en gebruikt. Voorbeelden zijn de partijen die het salarisadministratiesysteem en het patiëntsysteem aanbieden.
Persoonsgegevens
alle informatie direct of indirect tot een persoon te herleiden is. Hieronder vallen naast de NAW-gegevens ook alle andere patiënt- en behandelgegevens, zoals gebitsfoto’s.
2. PRIVACYBELEID
2.1. Verwerkingsregister
De Praktijk houdt een verwerkingsregister bij. Dit register bevat onder meer een beschrijving van de (categorieën) persoonsgegevens die binnen de Praktijk worden verwerkt, de doelen waarvoor ze worden verwerkt, de derden aan wie de gegevens worden verstrekt, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen die zijn genomen om de gegevens te beschermen.
Binnen de Praktijk hebben de tandarts en de balieassistente toegang tot het register. De assistentes en het overig personeel hebben alleen de mogelijkheid het register te raadplegen. De tandarts kan het register raadplegen en daar wijzigingen in aanbrengen.
Het register wordt door de Praktijk continue en actief bijgehouden. Wijzigingen in de verwerking van persoonsgegevens worden direct in het register doorgevoerd. Tijdens de kwartaalevaluatie zal ook worden beoordeeld of het register nog altijd accuraat is of dat aanpassingen in het register vereist zijn.
2.2. Type persoonsgegevens en doeleinden
Binnen de Praktijk worden persoonsgegevens van twee categorieën personen verwerkt: i) de patiënten en ii) de medewerkers.
Patiënten
Binnen de praktijk worden allereerst persoonsgegevens voor inschrijving verstrekt. Daarnaast worden vragen omtrent de gezondheid gesteld die van belang kunnen zijn voor de behandeling.
Indien een patiënt zich telefonisch of via de website van de Praktijk aanmeldt, wordt de patiënt verzocht de gegevens te verstrekken die vereist zijn voor registratie. Het gezondheidsformulier wordt niet via de website verstrekt en telefonisch worden de vragen op het gezondheidsformulier niet uitgevraagd.
Indien de patiënt afkomstig is van een andere praktijk, kunnen persoonsgegevens van die andere praktijk worden verkregen. De patiënt kan de gegevens zelf meenemen, maar deze kunnen ook per reguliere post of per e-mail aan de Praktijk worden toegezonden. Via e-mail is een niet beveiligde weg, tenzij de zorgverlener dit naar een andere zorgverlener zendt via een beveiligde verbinding zoals b.v. Zorgmail.
Alle gegevens die de Praktijk verkrijgt in het kader van het inschrijven van een patiënt, worden (gescand) opgeslagen in Novadent (hierna: het “Systeem”).
Naast de gegevens vereist voor inschrijving bij de Praktijk, verwerkt de Praktijk gegevens die verband houden met de behandeling van de patiënt. Het gaat daarbij onder meer om afspraken, gegevens omtrent de uitgevoerde handelingen, gemaakte foto’s, kronen en verwijzingen naar andere zorgverleners. Al deze gegevens worden tevens in het Systeem opgeslagen.
In het Systeem worden ook de facturen voor de patiënten aangemaakt. De facturen worden door de Praktijk zelf verzonden.
Alle gegevens die over de patiënt worden verzameld, worden gebruikt met als doel de hulp- en zorgverlening voor de patiënt.
Bij intercollegiale toetsing binnen een praktijk of instelling kunnen gegevens worden gebruikt en verstrekt. De patiënt wordt daar van tevoren van op de hoogte gebracht.
Peilstations
De KNMT doet onderzoek naar voornamelijk de niet-klinische aspecten van de beroepsuitoefening van tandartsen binnen het project Peilstations. In dat verband verstrekt de Praktijk KNMT diverse gegevens, waaronder adresgegevens van de Praktijk, financiële gegevens met betrekking tot de Praktijk en gegevens met betrekking tot patiënten, zoals het aantal behandelde patiënten. Voor zover in de te verstrekken gegevens herleidbaar zijn tot een of meerdere patiënten, vraagt de Praktijk vooraf toestemming.
Veilig Incident Melden (VIM)
Binnen de praktijk is de tandarts degene die zorgdraagt voor de procedure om incidenten te melden, zich inzet voor een cultuur binnen de praktijk dat incidenten worden gemeld en die ervoor zorgt dat meldingen worden geanalyseerd (“de Functionaris”).
Meldingen van incidenten kunnen op papier of digitaal worden gedaan. De melding bevat zowel persoonsgegevens van de betreffende medewerker van de Praktijk als de patiënt in kwestie.
De Functionaris brengt de meldingen in voor nadere oorzakenanalyse in de analysegroep. De analysegroep analyseert vervolgens de melding en behandelt deze vertrouwelijk. Indien nodig vraagt de analysegroep nadere informatie aan de melder.
Van het incident wordt aantekening gemaakt in het patiëntendossier van de patiënt, waarin wordt vermeld: de aard en toedracht van het incident; het tijdstip waarop het incident heeft plaatsgevonden; en de namen van de bij het incident betrokken zorgverleners.
De Praktijk zorgt dat meldingen vertrouwelijk worden behandeld en dat de meldingen zo worden bewaard dat deze niet toegankelijk zijn voor anderen.
Toezicht en handhaving
Op grond van de Wkkgz maakt de Praktijk bij de IGZ melding van eventuele calamiteiten die bij de zorgverlening hebben plaatsgevonden. Ook meldt de Praktijk het bij de IGZ als er geweld bij de zorgverlening heeft plaatsgevonden of als de arbeidsrelatie met een individuele zorgverlener is beëindigd vanwege ernstige functioneringsproblemen.
Op grond van de wet komt aan de IGZ een aantal bevoegdheden toe bij het houden van toezicht op specifieke volksgezondheidswetten. Bij onderzoek dat specifiek is gericht op individuele casuïstiek, heeft de IGZ recht op inzage in medische dossiers voor zover deze inzage nodig is voor de uitvoering van haar taken. De Praktijk is dan gehouden om de IGZ inzage te verlenen.
De Nederlandse Zorgautoriteit (NZa) is onder meer belast met markttoezicht, marktontwikkelingen, tarief- en prestatieregulering en met toezicht op de uitvoering van de Zorgverzekeringswet en de Wet langdurige zorg (Wlz). In dat kader kan de Praktijk in sommige gevallen verplicht zijn om op verzoek bepaalde gegevens aan de NZa te verstrekken. Het kan hier gaan om identificerende gegevens die hemzelf betreffen, om andere identificerende persoonsgegevens en om medische persoonsgegevens van patiënten.
Medewerkers
In het kader van de uitvoering van de arbeidsovereenkomst, verwerkt de Praktijk ook persoonsgegevens van haar medewerkers. De arbeidsovereenkomst en daarmee samenhangende gegevens worden opgeslagen in het personeelsdossier in de kast. Deze gegevens worden in eerste instantie gebruikt voor het vaststellen en uitbetalen van het salaris van de medewerkers. Hiervoor maakt de Praktijk gebruik van het salarisadministratiekantoor van Complan (CAS).
In het personeelsdossier kunnen ook gegevens omtrent eventuele klachten, waarschuwingen, beoordelingen en verzuimfrequentie worden opgeslagen. Voor zover aan medewerkers een mobiele telefoon, leaseauto, laptop en/of toegangspas ter beschikking wordt gesteld, wordt dit voor administratieve doeleinden geregistreerd.
De toegang tot de personeelsdossiers is beveiligd. Binnen de Praktijk heeft de tandarts toegang tot het personeelsdossier.
De Praktijk is wettelijk gehouden bepaalde persoonsgegevens van medewerkers aan derde partijen te verstrekken. Deze verstrekking aan derde partijen heeft de volgende doeleinden:
• Bij indiensttreding wordt aan de collectieve zorgverzekeraars en andere collectieve verzekeraars de datum van indiensttreding, NAW-gegevens en het BSN van medewerkers doorgegeven.
• Ziek- en herstelmeldingen worden doorgegeven aan de Arbodienst.
• Bij uitdiensttreding vanwege ziekte en bij zwangerschapsverlof worden gegevens van medewerkers aan het UWV doorgegeven in verband met het verkrijgen van een vangnetuitkering, waaronder salaris, pensioenpremie, prepensioen, hiaatverzekering, de NAW-gegevens en het BSN.
• Aan pensioenfondsen en andere daaraan gelieerde instellingen en organisaties worden eveneens gegevens verstrekt.
Gegevens omtrent het functioneren van medewerkers worden ook verwerkt in het kader van individuele kwaliteitsverbetering. De verzamelde gegevens worden dan gebruikt voor het coachen en trainen van medewerkers met het doel hen beter te laten functioneren.
Gegevens omtrent het functioneren van medewerkers kunnen ook gebruikt worden voor de beoordeling van de medewerker, bijvoorbeeld in het kader van functioneringsgesprekken. De gegevens die de Praktijk verzamelt om medewerkers te beoordelen, kunnen door de medewerkers worden ingezien waarbij de medewerker kans krijgt om hierop te reageren. De verslaglegging van functioneringsgesprekken dient als uitgangspunt bij een volgend gesprek en wordt benut als managementinformatie.
Tot slot kan het zo zijn dat, in het kader van het verbeteren van de bedrijfsprocessen, binnen de Praktijk, persoonsgegevens van medewerkers worden verwerkt.
Deze categorieën van persoonsgegevens, van zowel de patiënten als de medewerkers, staan vermeld in het verwerkingsregister.
ZZP’ers
In het kader van de uitvoering van een overeenkomst van opdracht met een ZZP’er, verwerkt de Praktijk ook persoonsgegevens van ingeschakelde ZZP’ers. De overeenkomst van opdracht en daarmee samenhangende gegevens worden opgeslagen in de map AVG. De Praktijk vraagt de ZZP’ers niet om een kopie of scan van hun identiteitsbewijs te verstrekken.
2.3. Informatieplicht
De Praktijk stelt de patiënten bij inschrijving op de hoogte van de persoonsgegevens die zij over de patiënt verzamelt en voor welke doeleinden deze persoonsgegevens vervolgens worden gebruikt.
Bij de inschrijving aan de balie in de Praktijk wordt bij de inschrijving en/of het gezondheidsformulier het privacy statement van de Praktijk aan de patiënt verstrekt. Bij een telefonische inschrijving wordt de patiënt verteld dat zijn gegevens worden gebruikt voor inschrijving. Vervolgens wordt bij het invullen van het gezondheidsformulier het privacy statement verstrekt. Het privacy statement is als Bijlage 1 aan dit Privacybeleid gehecht.
Bij indiensttreding wordt aan de medewerkers kenbaar gemaakt voor welke doeleinden hun persoonsgegevens worden verwerkt en wat er van hun in het kader van privacy mag worden verwacht. Het gebruik van persoonsgegevens is vastgelegd in het werknemers privacybeleid van de Praktijk dat als Bijlage 2 aan dit Privacybeleid is gehecht.
2.4. Rechten van betrokkenen
Alle verzoeken, op welke wijze ook binnengekomen (telefonisch, per e-mail, per brief), van een patiënt of medewerker waarin rechten ten aanzien van persoonsgegevens worden ingeroepen, worden verzonden aan de tandartsvia admin@tandartswiebinga.nl. Verzoeken en alle overige afhandeling worden opgeslagen in de map AVG.
Na ontvangst van een verzoek zal de Praktijk eerst de identiteit van de verzoeker verifiëren. De Praktijk kan de verzoeker vragen een kopie van een identiteitskaart mee te zenden. De Praktijk zal daarbij aan de verzoeker aangegeven dat het BSN niet mag worden verstrekt en dus van de kopie van de identiteitskaart verwijderd moet worden.
Indien de identiteit van de betrokkene is vastgesteld, zal de Praktijk de verzoeker laten weten dat er binnen één maand op het verzoek zal worden gereageerd. Indien het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Indien dit het geval is, zal de Praktijk dit binnen de initiële maand aan de verzoeker laten weten.
De tandarts zal vervolgens vaststellen welk recht precies wordt ingeroepen en verzamelt de in dat kader vereiste informatie. Op basis van deze informatie wordt een verslag opgesteld. Op basis van dit verslag wordt besloten of, en zo ja, op welke wijze aan het verzoek van de verzoeker kan worden voldaan.
Voor de communicatie richting de verzoeker en het treffen van maatregelen naar aanleiding van een verzoek zullen in beginsel geen kosten in rekening worden gebracht bij de verzoeker. Slechts in bepaalde gevallen zal de Praktijk kosten in rekening brengen (een redelijke vergoeding in het licht van de administratieve kosten). Bijvoorbeeld wanneer verzoeker meerdere inzageverzoeken of herhaaldelijk ongegronde verzoeken indient. De Praktijk mag in uitzonderingsgevallen ook weigeren om gevolg te geven aan het verzoek.
Indien gevolg wordt gegeven aan het verzoek van een verzoeker, dienen in bepaalde gevallen ook derde partijen op de hoogte te worden gesteld. Het verslag dient daarom ook de derde partijen te beschrijven die betrokken zijn bij het honoreren van een verzoek van de verzoeker. Dergelijke kennisgevingen laat de Praktijk achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.
De Praktijk heeft zodanige technische maatregelen genomen dat aan verzoeken van verzoekers kan worden voldaan. Zo kan de Praktijk een verzoeker inzage verlenen in de gegevens die over hem/haar worden verzameld, kunnen gegevens worden verwijderd of verbeterd, kan de verwerking van gegevens tijdelijk worden gestaakt, kunnen deze gegevens makkelijk overgezet worden naar een nieuwe aanbieder en wordt er bij de intrekking van toestemming zorg voor gedragen dat de gegevens vanaf dat moment niet weer voor dat doel worden gebruikt.
2.5. Derde partijen
De Praktijk maakt voor het verwerken van persoonsgegevens gebruik van derde partijen. Het gaat daarbij onder meer om partijen die louter ten behoeve van de Praktijk gegevens verwerken (hierna: “Verwerkers”).
Met deze Verwerkers heeft de Praktijk een verwerkersovereenkomst afgesloten waarin onder meer de mate van beveiliging van de persoonsgegevens die de Verwerker voor de Praktijk verwerkt wordt beschreven. Ook bevat de verwerkersovereenkomst bepalingen omtrent het uitvoeren van een audit bij de Verwerker en de procedure die moet worden gevolgd als van een incident omtrent persoonsgegevens sprake is. De standaard-verwerkersovereenkomst die de Praktijk hanteert, is als Bijlage 3 aan dit privacybeleid gehecht.
In de Praktijk wordt van de volgende Verwerkers gebruikgemaakt:
• Complan-Novadent
• KPN
• Incassobureaus De Kluijver
• Outlook of Zorgmail
• Complan Administratie Service
• TTL Nuyens
• TTL Wisker
• Romexis
• TTL Ortholab
Persoonsgegevens van patiënten of medewerkers worden aan andere verwerkingsverantwoordelijken doorgegeven wanneer dat wettelijke vereist is, noodzakelijk is in het kader van hulp- en zorgverlening van de patiënt (verwijzingen) en voor intercollegiaal overleg. Buiten deze situatie worden persoonsgegevens niet aan andere verwerkingsverantwoordelijken verstrekt zonder voorafgaande uitdrukkelijke toestemming van de patiënt of medewerker. Dat is alleen anders indien er een wettelijke verplichting tot verstrekking bestaat of indien de gegevens in het verlengde van de zorg- en hulpverlening gedeeld moeten worden, bijvoorbeeld in het kader van intercollegiaal overleg. Daarbij geldt dat alleen de strikt noodzakelijk geachte gegevens worden verstrekt.
2.6. Beveiliging
De Praktijk hecht veel waarde aan de beveiliging van zowel de patiëntgegevens als de gegevens van haar medewerkers. De Praktijk heeft daarom passende technische en organisatorische maatregelen genomen om deze persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.
Voor zover de Praktijk gebruikmaakt van Verwerkers zijn met deze Verwerkers afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Hierbij wordt een risicoanalyse gemaakt. Op grond van de risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, wordt het gewenste beveiligingsniveau bepaald.
De Praktijk heeft op grond van de verwerkersovereenkomst het recht de door de Verwerker getroffen maatregelen periodiek te auditen, testen, beoordelen en evalueren om zo te bepalen of de overeengekomen maatregelen worden nageleefd en of deze nog doeltreffend zijn en om deze zo nodig aan te laten passen.
De Praktijk hanteert in aanvulling op het bovenstaande ook interne beveiligingsmaatregelen. Het gaat daarbij onder meer om de volgende maatregelen:
• Persoonsgegevens worden op een beveiligde wijze uitgewisseld.
• Persoonsgegevens worden niet op USB sticks of andere mobiele dragers gekopieerd tenzij de persoonsgegevens versleuteld worden
• Alleen de tandarts, mondhygiëniste en de assistentes hebben toegang tot de patiëntgegevens
• Alleen de tandarts heeft toegang tot personeelsdossiers
• Wachtwoorden zijn voldoende sterk en worden periodiek vervangen
• Toegang tot het Systeem op afstand is alleen mogelijk via een beveiligde VPN verbinding op basis van twee-staps authenticatie
• Binnen de Praktijk zijn processen ingericht die aangeven wat er moet gebeuren indien een incident inzake persoonsgegevens zich voordoet of indien patiënten of medewerkers een beroep op hun rechten doen
• Devices als laptops en mobiele telefoons worden niet onbeheerd achtergelaten, worden versleuteld opgeslagen en verlies/diefstal dient direct te worden gemeld bij de Praktijk
• Het is medewerkers niet toegestaan, zonder toestemming van de Praktijk, software te downloaden en/of om firewalls of virusscanner aan te passen of te verwijderen
• Toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte code’s en sleutels.
Teneinde de veiligheid van patiënten en medewerkers te garanderen zijn er (zichtbaar en/of onzichtbaar) camera’s geplaatst in en buiten de Praktijk. Aan de hand van deze camera’s kan, op afstand, in de gaten gehouden worden of er zich onveilige of niet gewenste situaties voordoen. Tevens kan middels deze camera diefstal worden gesignaleerd. Deze camerabeelden kunnen vervolgens door de Praktijk als bewijsmateriaal worden aangewend.
Binnen de Praktijk worden elke dag back-ups gemaakt. Hiermee realiseert de Praktijk dat in het geval van een incident met persoonsgegevens (bijvoorbeeld in het geval van ransomware) een recente back-up teruggezet kan worden zodat persoonsgegevens niet blijvend verloren gaan.
De interne beveiligingsmaatregelen kunnen door de Praktijk steekproefsgewijs worden gecontroleerd. Controle zal altijd zo kort en zo beperkt mogelijk uitgevoerd worden. Indien er een gerichte verdenking bestaat tegen een medewerker kan tot gerichte controle worden overgegaan. Aan de hand van de uitkomst van steekproeven kunnen door de Praktijk disciplinaire maatregelen genomen worden.
Uitgangspunt binnen de Praktijk is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld. Zo vraagt de Praktijk niet meer informatie uit bij de patiënt dan noodzakelijk is voor zorg- en hulpverlening. Ook bij het inschakelen van derde partijen, beoordeelt de Praktijk of de door die derde partij aangeboden dienst aansluit bij het doel dat de Praktijk voor ogen heeft en er niet meer persoonsgegevens worden verzameld dan daarvoor nodig is (privacy by design en privacy by default).
2.7. Datalekken
De Praktijk heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, heeft de Praktijk een incident response protocol opgesteld. De Praktijk maakt eveneens gebruik van een stappenplan datalek melden en het document “datalek melden of niet’ van de KNMT, welke als Bijlage 4 bij dit privacybeleid zijn gevoegd.
Elk incident met betrekking tot persoonsgegevens moet worden gemeld aan de tandarts via admin@tandartswiebinga.nl. De tandarts zal vervolgens bepalen of:
• er inderdaad sprake is van een incident dat betrekking heeft op persoonsgegevens
• welke maatregelen genomen moeten worden om het incident te stoppen en de gevolgen te beperken
• er een externe partij moet worden ingeschakeld om bij de oplossing van het incident te assisteren
• het incident aan de Autoriteit Persoonsgegevens moet worden gemeld. De melding aan de Autoriteit Persoonsgegevens zal vervolgens binnen 72 uur nadat de Praktijk op de hoogte is geraakt van het incident plaatsvinden
• degenen op wie de persoonsgegevens betrekking hebben, moeten worden geïnformeerd over het incident
• welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen
De bovenstaande voorwaarden zijn verder uitgewerkt in het incident response protocol dat als Bijlage 4 bij dit privacybeleid is gevoegd.
Aangezien de kans bestaat dat een Verwerker als eerste op de hoogte raakt van een (potentieel) incident, is in de Verwerkersovereenkomst afgesproken dat de Verwerker de Praktijk zo snel mogelijk op de hoogte stelt van een incident. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.
De Praktijk documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Dit logboek wordt opgeslagen in de map AVG.
2.8. Bewaartermijnen
De Praktijk hanteert een beleid voor het bewaren van persoonsgegevens. Persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden, worden door de Praktijk verwijderd. De persoonsgegevens dienen in dat geval ook uit eventuele back-ups, archieven en andere systemen te worden verwijderd.
Patiëntgegevens
Patiëntgegevens worden op grond van de bewaarplicht van medische behandelgegevens bewaard gedurende een periode van vijftien (15) jaar.
Gegevens medewerkers
De Praktijk bewaart gegevens van medewerkers voor zover vereist op basis van fiscale boekhoud- en administratieplicht gedurende een periode van 7 jaar.
Voor zover de betreffende gegevens niet vallen onder de fiscale boekhoud- en administratieplicht, hanteert de Praktijk de volgende bewaartermijnen:
• Loonadministratie (gedurende 5 jaar)
• Loonbelastingverklaring (gedurende 5 jaar na uitdiensttreding)
• Kopie identiteitsbewijs werknemer (gedurende 5 jaar na uitdiensttreding)
Overige persoonsgegevens
Gegevens die met behulp van camerabeelden worden verzameld, worden gedurende vier (4) weken bewaard tenzij langer bewaren noodzakelijk is in verband met geconstateerde strafbare feiten.
Ten aanzien van facturen die niet als medische behandelgegevens kwalificeren, bijvoorbeeld facturen aan/van derde partijen, bewaart de Praktijk deze in verband met de omzetbelasting gedurende een periode van zeven (7) jaar.
2.9. Privacy impact assessment n.v.t.
2.10. Doorgifte buiten EER
De Praktijk slaat gegevens van patiënten en medewerkers in beginsel niet op buiten de Europese Economische Ruimte (EER).
Indien de Praktijk persoonsgegevens toch buiten de EER opslaat, bijvoorbeeld omdat een Verwerker van de Praktijk daar gevestigd is, zorgt de Praktijk er voor dat de doorgifte alleen plaatsvindt als:
• de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt;
• de EU standard contractual clauses zijn overeengekomen;
• het privacy shield van toepassing is; of
• een andere vrijstelling van toepassing is.
2.11. FG
Binnen de Praktijk is E.J. Wiebingaals functionaris voor de gegevensbescherming (FG) aangesteld en getraind. Binnen de Praktijk zijn maatregelen genomen om te waarborgen dat de FG voldoende wordt ondersteund zodat hij/zij in staat is om zijn/haar rol effectief in te vullen. De FG heeft in ieder geval kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming, begrip van de gegevensverwerkingen die de Praktijk uitvoert, begrip van IT en informatiebeveiliging en vaardigheden om binnen de Praktijk een cultuur van gegevensbescherming te ontwikkelen.
Om intern toezicht te houden op het naleven van de AVG, zal de FG informatie verzamelen over gegevensverwerkingen binnen de Praktijk, deze verwerkingen analyseren en beoordelen of ze aan de AVG voldoen en informatie, adviezen en aanbevelingen geven aan de Praktijk. Om zijn/haar werk goed te kunnen doen, wordt de FG actief ondersteund door de Praktijk, krijgt de FG voldoende tijd om zijn taken uit te voeren en is er heldere communicatie aan al het personeel over de benoeming van de FG.
Bijlage 1
Bijlage 2
Bijlage 1
Privacy- en cookieverklaring Website
Bij Tandartspraktijk Wiebinga hechten wij groot belang aan de privacy van de gebruikers van de
website. Om uw privacy zo goed mogelijk te waarborgen, hanteren wij een aantal kernwaarden.
• Informeren: Wij willen u zo goed mogelijk informeren hoe en waarom wij persoonsgegevens verwerken. Dat doen wij via deze privacyverklaring.
• Verzameling beperken: Wij letten er nauw op dat onze verzameling van persoonsgegevens beperkt blijft tot alleen datgene wat echt nodig is voor de goede werking van de website en de door u gebruikte diensten.
• Geen marketing op basis van persoonsgegevens: Wij geven persoonsgegevens niet uit handen voor marketingdoeleinden en sturen alleen na uw uitdrukkelijke toestemming commerciële mailings.
• Uw gegevens blijven bij ons: Wij geven uw persoonsgegevens niet door aan andere partijen, tenzij dat nodig is om de gebruikte dienst te kunnen leveren of wanneer wij daar wettelijk toe verplicht zijn.
• Beveiligen: Wij nemen passende beveiligingsmaatregelen om uw persoonsgegevens te beschermen en eisen dat ook van partijen die in onze opdracht persoonsgegevens verwerken.
• Wij respecteren uw wettelijke rechten: Op basis van de wet heeft u verschillende rechten. In deze privacyverklaring informeren wij u daarover.
In deze privacyverklaring kunt u lezen hoe wij deze kernwaarden in de praktijk brengen en uw recht op privacy respecteren en beschermen.
Waarvoor gebruiken wij uw persoonsgegevens?
Afhankelijk van de door ons via de website aangeboden diensten kunnen de persoonsgegevens die u via onze website kunt achterlaten worden gebruikt voor de onderstaande doelen.
• Beheren van uw account en profiel: Indien u ervoor kiest om een account aan te maken vragen wij van u enkele gegevens om dit te realiseren. Denk hierbij aan uw e-mailadres, zelfgekozen wachtwoord, NAW-gegevens, geslacht en uw geboortedatum. Deze gegevens maken het mogelijk voor u om bepaalde diensten op onze website te gebruiken. Door een account aan te maken hoeft u de gegevens niet telkens opnieuw in te vullen.
• Inschrijven en afspraak maken: Indien u zich via onze website bij ons inschrijft of een afspraak maakt, dan worden de gegevens die u verstrekt in het betreffende formulier of afspraakservice uitsluitend gebruikt voor het beheren van uw inschrijving en het maken van een afspraak.
• Anamnese- of (herhaal)receptformulier: Vult u via onze website een anamneseformulier in, of vraagt u (herhaal)medicatie aan via een formulier dan bieden de gegevens die u daar geeft ons een algemeen inzicht in uw gezondheid, medicijngebruik, aandoeningen en allergieën. Deze informatie behandelen wij vertrouwelijk en gebruiken wij uitsluitend om aan u de juiste zorg te kunnen bieden.
• Aanvragen medicatie of herhaalrecept: Vraagt u via onze website medicatie aan door in te loggen in uw persoonlijke omgeving, dan krijgt u inzicht in uw online medicatieprofiel zoals dat bij ons bekend is. Vervolgens kunt u medicatie bestellen en herinneringen instellen.
• eConsult: Gebruikt u het eConsult voor uw vragen aan ons dan behandelen we de gegevens die u verstrekt vertrouwelijk. Om gebruik te maken van deze dienst moet u inloggen op uw persoonlijke omgeving.
• Uw medisch dossier: In het geval u medische gegevens aan ons verstrekt kunnen deze worden opgenomen in uw medisch dossier. Dit doen wij slechts indien dat wettelijk is toegestaan of wij daarvoor uw uitdrukkelijke toestemming hebben verkregen.
• Contactformulier: Indien u vragen heeft kunt u ons altijd benaderen door het contactformulier in te vullen. Gevraagd wordt om uw naam en contactgegevens in te vullen met daarbij een omschrijving van uw vraag. Deze gegevens worden uitsluitend gebruikt om uw vraag te behandelen en om onze dienstverlening te verbeteren.
• Bestellen via de website: Gegevens die u verstrekt bij het plaatsen van een bestelling worden door ons gebruikt om de bestelling af te handelen. Waar nodig worden er gegevens verstrekt aan andere partijen die betrokken zijn bij het afhandelen van de bestelling, zoals de bezorgdienst.
• Nieuwsbrief: Indien u ons toestemming geeft voor het versturen van een nieuwsbrief, gebruiken wij uw e-mailadres en naam om de nieuwsbrief aan u te versturen. Een eerder gegeven toestemming kunt u altijd intrekken, bijvoorbeeld door op de uitschrijflink te klikken die onder aan elke commerciële mailing is opgenomen.
• Verbeteren van onze dienstverlening: Uw gegevens kunnen wij gebruiken voor het verbeteren van onze dienstverlening. Dat doen wij echter alleen indien u de gegevens met dat doel heeft verstrekt, of ons daar toestemming voor heeft gegeven. Denk hierbij bijvoorbeeld aan uw feedback die u via een klachtenformulier aan ons heeft toegezonden of de toestemming die heeft gegeven voor het gebruik van cookies.
Wij zullen uw persoonsgegevens niet voor andere dan bovengenoemde doeleinden verwerken, tenzij u daar vooraf toestemming voor heeft gegeven of wij dit op grond van de wet mogen of moeten doen.
Op welke grondslagen verwerken wij uw persoonsgegevens?
Wij verwerken uw persoonsgegevens enkel op basis van een wettelijke grondslag. Voor de hierboven
genoemde doeleinden verwerken wij uw persoonsgegevens op basis van de volgende grondslagen:
• Uitvoering van de overeenkomst: voor de doeleinden die gericht zijn op het aanbieden van onze dienstverlening, bijvoorbeeld om uw inschrijving af te handelen;
• (Uitdrukkelijke) toestemming: voor de doeleinden die gericht zijn op het verlenen van toegang tot- en het gebruik maken van de functionaliteiten van onze website, het plaatsen van cookies, het versturen van onze nieuwsbrief, of het verwerken van uw medische gegevens nadat wij daar uw (uitdrukkelijke) toestemming voor hebben verkregen;
• Gerechtvaardigd belang: in bepaalde gevallen hebben wij een gerechtvaardigd belang bij het verwerken van uw persoonsgegevens. Dat is bijvoorbeeld het geval als wij gebruik maken van cookies ter verbetering van onze dienstverlening en die geen of een beperkte invloed hebben op uw persoonlijke levenssfeer;
• Wettelijke verplichting: voor de doeleinden die gericht zijn op het verwerken van uw medische gegevens en het bijhouden van uw medisch dossier kunnen wij een wettelijke grondslag hebben. Daarnaast zijn wij wettelijk verplicht bepaalde gegevens te bewaren van de bestelling die u in onze webshop heeft geplaatst.
Welke persoonsgegevens hebben wij nodig?
Door het gebruiken van de website en de daarop beschikbare diensten laat u bepaalde gegevens bij ons achter. Wij bewaren en gebruiken uitsluitend de persoonsgegevens die rechtstreeks door u worden opgegeven of waarvan bij opgave duidelijk is dat ze aan ons worden verstrekt om te verwerken. Afhankelijk van de dienst die u gebruikt kunnen wij de volgende gegevens via de website verzamelen:
• Uw contactgegevens (e-mailadres, telefoonnummer);
• Uw naam, adres een woonplaats;
• Accountgegevens;
• Verzekeringsgegevens (naam verzekeraar, polisnummer, aanvangsdatum verzekering);
• De naam van uw zorgverleners of apotheek;
• Tijdstip van uw afspraak;
• Betalingsgegevens en factuuradres;
• Gegevens betreffende uw gezondheid;
• Burgerservicenummer (BSN);
• Klik- en bezoekgedrag;
• Apparaatgegevens / (gepseudonimiseerd) IP-adres.
Gegevens van personen jonger dan 16 jaar
Onze website en/of dienst heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar. We kunnen echter niet controleren of een bezoeker ouder dan 16 is. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming. Als u ervan overtuigd bent dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact met ons op.
Verstrekking aan derden
Uw gegevens worden uitdrukkelijk niet aan derden verstrekt, anders dan derden die direct betrokken zijn bij de uitvoering van de overeenkomst tussen u en ons, of tenzij enige wettelijke bepaling ons hiertoe verplicht. De partijen die wij mogelijk nodig hebben voor de uitvoering van de door u aangevraagde diensten zijn:
• Hostingpartijen en onze softwareleveranciers;
• Betaaldienstverleners en bezorgdiensten;
• Uw zorgverzekeraar.
Beveiliging
Wij nemen de bescherming van uw gegevens serieus en nemen passende maatregelen om misbruik,
verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met ons.
Bewaartermijn
Uw persoonsgegevens worden nimmer langer bewaard dan nodig is voor de in deze privacyverklaring of op de website omschreven doelen, behoudens de gevallen waarin enige wettelijke verplichting zich verzet tegen verwijdering van de persoonsgegevens.
Websites van derden
Deze privacyverklaring is niet van toepassing op websites van derden die door middel van links met deze website zijn verbonden. Wij kunnen niet garanderen dat deze derden op een betrouwbare of veilige manier met uw persoonsgegevens omgaan. Daarom raden wij u aan de privacyverklaring van deze websites te lezen alvorens van deze websites gebruik te maken.
Cookies
Wij maken op deze website gebruik van cookies. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan deze website wordt opgeslagen in de browser van uw computer, tablet of smartphone. Deze zorgen ervoor dat de website naar behoren werkt en dat bijvoorbeeld uw voorkeursinstellingen onthouden worden.
Deze cookies worden ook gebruikt om de website goed te laten werken en deze te kunnen optimaliseren. Bij uw eerste bezoek aan onze website hebben wij u al geïnformeerd over deze cookies en toestemming gevraagd voor het plaatsen ervan. U kunt zich afmelden voor cookies door uw internetbrowser zo in te stellen dat deze geen cookies meer opslaat. Daarnaast kunt u ook alle informatie die eerder is opgeslagen via de instellingen van uw browser verwijderen.
Gebruik van permanente cookies
Met behulp van permanente cookies kunnen wij u herkennen bij een nieuw bezoek op onze website. De website kan daardoor speciaal op uw voorkeuren worden ingesteld. Ook wanneer u toestemming hebt gegeven voor het plaatsen van cookies kunnen wij dit door middel van een cookie onthouden. Hierdoor hoeft u niet steeds uw voorkeuren te herhalen waardoor u dus tijd bespaart en een prettiger gebruik van onze website kunt maken. Permanente cookies kunt u verwijderen via de instellingen van uw browser.
Gebruik van sessie cookies
Met behulp van sessie cookies kunnen wij zien welke onderdelen van de website u met dit bezoek hebt bekeken. Wij kunnen onze dienst daardoor zoveel mogelijk aanpassen op het surfgedrag van onze bezoekers. Deze cookies worden automatisch verwijderd zodra u uw webbrowser afsluit.
Gebruik van analytische cookies
Wij houden statistieken bij op onze website, maar dit gebeurt te allen tijde geheel geanonimiseerd dan wel gepseudonimiseerd. Er worden geen statistieken bijgehouden op delen van de website waar uw gezondheidsgegevens uitgewisseld worden. Voor het bijhouden van statistieken kunnen wij gebruikmaken van onderstaande toepassingen.
Wijzigingen in deze privacy- en cookieverklaring
Wij behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring. Het verdient
aanbeveling om deze verklaring geregeld te raadplegen, zodat u van deze wijzigingen op de hoogte bent.
Inzage, wijzigen en verwijderen van uw gegevens
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Tandartspraktijk Wiebinga en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen. U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar de onderstaande contactgegevens. We reageren zo snel mogelijk op uw verzoek. Zorg ervoor dat u duidelijk aangeeft wie u bent, zodat wij zeker weten dat we geen gegevens van de verkeerde persoon aanpassen of verwijderen.
Autoriteit Persoonsgegevens
Tandartspraktijk Wiebinga wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht
in te dienen bij de toezichthouder in het land waar u bent gevestigd. In Nederland heet de toezichthouder de Autoriteit Persoonsgegevens.
Vragen en feedback
We controleren regelmatig of we aan dit privacybeleid voldoen. Als u vragen heeft over dit privacybeleid, kunt u contact met ons opnemen door middel van de onderstaande contactgegevens.
Contact
Tandartspraktijk Wiebinga
Saffierstraat 57
2403 XM Alphen aan den Rijn
info@tandartswiebinga.nl
Functionaris gegevensbescherming
Naam: E.J. Wiebinga
Bijlage 2
Privacyverklaring voor werknemers en sollicitanten
Uw privacy wordt door ons gerespecteerd. Tandartspraktijk Wiebinga streeft ernaar om uw privacy zo goed mogelijk te waarborgen en zal vertrouwelijk omgaan met de informatie die u bij ons aanlevert. Bij de verwerking van persoonsgegevens nemen wij de geldende wet- en regelgeving op het gebied van privacy in acht. In deze privacyverklaring informeren wij u over de wijze waarop wij met uw gegevens omgaan. In deze privacyverklaring kunt informatie vinden over:
– de gronden waarop wij uw persoonsgegevens verwerken ;
– de categorieën persoonsgegevens die wij van u verwerken;
– de doeleinden op grond waarvan wij uw persoonsgegevens verwerken;
– of wij uw persoonsgegevens aan derden verstrekken;
– hoelang wij uw persoonsgegevens bewaren;
– op welke wijze wij uw persoonsgegevens beveiligen;
– welke privacyrechten u als werknemer of sollicitant heeft;
1. Grondslag voor gegevensverwerking
Wij mogen alleen rechtmatig persoonsgegevens van u verwerken als wij dat doen op basis van een juridische grondslag. Wij verwerken uw persoonsgegevens omdat dit noodzakelijk is voor het aangaan en uitvoeren van de arbeidsovereenkomst. Daarnaast kunnen wij uw persoonsgegevens verwerken om te kunnen voldoen aan een wettelijke plicht (bijvoorbeeld het afdragen van belastingen of voldoen aan de identificatieplicht) voor een gerechtvaardigd belang (u bent bijvoorbeeld met ons in een juridische procedure verwikkeld, zoals een ontslagprocedure), een vitaal belang (een noodsituatie, zoals een ongeval of aandoening) of u heeft duidelijk en ondubbelzinnig toestemming gegeven voor het verwerken van bepaalde persoonsgegevens.
2. Categorieën persoonsgegevens en doeleinden van de verwerking
Voor het aangaan of uitvoeren van de arbeidsovereenkomst hebben wij persoonsgegevens van u nodig. Wij verwerken de volgende persoonsgegevens:
3.a U bent sollicitant
– uw achternaam, voornamen, initialen, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke communicatie zoals bijvoorbeeld uw e-mailadres;
– nationaliteit en geboorteplaats;
– uw bankrekeningnummer, indien wij een vergoeding verstrekken voor de reiskosten die u maakt in verband met de sollicitatieprocedure;
– gegevens over de door u gevolgde en nog te volgen opleidingen, cursussen en stages;
– gegevens over de functie binnen onze praktijk waarnaar u solliciteert;
– gegevens betreffende de aard en inhoud van uw huidige dienstverband en gegevens over de beëindiging daarvan;
– gegevens over de aard en inhoud van vorige dienstverbanden en beëindiging daarvan;
– andere gegevens die met het oog op het vervullen van de functie die door u zijn verstrekt of van u bekend zijn;
– andere gegevens die nodig zijn voor de uitvoering of toepassing van een wet.
3.b Doeleinden gegevensverwerking
Wij hebben deze gegevens van u nodig om te beoordelen of u geschikt bent voor een functie die beschikbaar is of kan komen binnen onze praktijk, de afhandeling van de door u gemaakte onkosten met betrekking tot de sollicitatieprocedure, interne controle en bedrijfsbeveiliging, het laten uitvoeren van een aanstellingskeuring of uitvoering of toepassing van een wet.
4.a U bent werknemer
Bovenstaande gegevens verwerken wij ook als u bij ons in de praktijk werkzaam bent. Daarnaast verwerken wij extra persoonsgegevens:
– uw bankrekeningnummer voor uitbetaling van het salaris;
– gegevens met het oog op de administratie van uw aanwezigheid op de plaats waar de werkzaamheden plaatsvinden (bijvoorbeeld een tijdregi-stratiesysteem);
– gegevens met het oog op de administratie van uw afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
– gegevens die in uw belang worden opgenomen met het oog op arbeidsomstandigheden (bijvoorbeeld de vaccinatiestatus hepatitis B);
– gegevens die noodzakelijk zijn met het oog op een overeengekomen ar-beidsvoorwaarde. Het kan hierbij ook gaan om gegevens over uw gezinsleden of voormalige gezinsleden;
– gegevens met het oog op (het organiseren van) uw beoordeling of begeleiding, voor zover deze gegevens bij u bekend zijn;
– gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies;
– gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura;
– gegevens met betrekking tot vaststelling van pensioen en het berekenen, vastleggen en innen van pensioenpremies
– gegevens die nodig zijn voor de uitvoering of toepassing van een wet.
4.b Doeleinden gegevensverwerking
Wij hebben deze gegevens nodig voor het uitvoeren van de personeelsadministratie/salarisadministratie, het verstrekken van uitkeringen bij ontslag en in het kader van pensioen en vervroegde uittreding. De gegevens worden uitsluitend gebruikt voor:
– het geven van leiding aan uw werkzaamheden;
– de behandeling van personeelszaken;
– het vaststellen en doen uitbetalen van uw salaris;
– het regelen van aanspraken op uitkeringen in verband met de beëindiging van het dienstverband,;
– uw opleiding;
– bedrijfsmedische zorg/bedrijfsmaatschappelijk werk;
– de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
– de interne controle en de bedrijfsbeveiliging;
– de uitvoering van een voor u geldende arbeidsvoorwaarde;
– het opstellen van een lijst van verjaardagen en andere feestelijkheden en gebeurtenissen;
– het verlenen van ontslag;
– de administratie van de personeelsvereniging en van de vereniging van oud- personeelsleden;
– het innen van vorderingen (en overdracht aan derden);
– het behandelen van geschillen en het uitoefenen van accountantscontrole;
– uw tijdelijke tewerkstelling op een andere praktijklocatie of een ander onderdeel van groep van bedrijven waarmee wij zijn verbonden;
– het berekenen, vastleggen en betalen van belasting en premies;
– vaststelling van de hoogte van uw pensioenaanspraken en het berekenen, vastleggen en innen van pensioenpremies vastgelegd;
– de uitvoering of toepassing van een andere wet.
5. Gevolg niet verstrekken persoonsgegevens
Het niet verstrekken van persoonsgegevens kan ertoe leiden dat wij u niet in dienst kunnen nemen of wij u niet kunnen aanmelden voor bepaalde dien-sten/voorzieningen. Denk hierbij aan het aanmelden bij het Pensioenfonds Zorg en Welzijn of een collectieve verzekering.
6. Verstrekking van persoonsgegevens aan derden
Wij gebruiken uw persoonsgegevens in beginsel alleen voor onze eigen bedrijfsvoering in het kader van de sollicitatieprocedure en (uitvoering van) de arbeidsovereenkomst. Wij gebruiken uw persoonsgegevens alleen voor de doeleneinden waarvoor deze persoonsgegevens door ons zijn verkregen. In sommige gevallen is het echter nodig om uw persoonsgegevens aan derden te verstrekken. Wij verstrekken uw persoonsgegevens aan de volgende derden:
– salarisadministrateur;
– de bedrijfsarts en/of arbo-arts;
– Pensioenfonds Zorg en Welzijn (indien van toepassing);
– Verzekeringen, zoals ziekteverzuimverzekering
Met deze derden sluiten wij, indien noodzakelijk, verwerkingsovereenkomsten. In deze overeenkomsten maken wij afspraken over de wijze waarop er met uw persoonsgegevens moet worden omgaan.
Tandartspraktijk Wiebinga maakt geen gebruik van geautomatiseerde besluitvor-ming die is gebaseerd op persoonsgegevens of met toepassing van profilering.
7. Bewaartermijnen
Wij zullen uw gegevens niet langer bewaren dan noodzakelijk is voor de in deze privacyverklaring beschreven doeleinden, tenzij dat nodig is op grond van een wettelijke verplichting. Wij hanteren de volgende bewaartermijnen:
– Boekhoudkundige en administratieve gegevens: 7 jaren;
– Loonbelastingverklaring: 5 jaren na het kalenderjaar dat u uit dienst bent getreden;
– Kopie identiteitsbewijs: 5 jaren na het kalenderjaar dat u uit dienst bent getreden;
– Gegevens van sollicitanten: 4 weken;
8. Beveilingsmaatregelen
Om uw persoonsgegevens zo goed mogelijk te beschermen hebben wij passende beveiligingsmaatregelen getroffen.
9. Uw privacyrechten
U heeft op grond van de AVG verschillende rechten die u kunt uitoefenen:
– Recht op inzage/kopie: inzage in uw persoonsgegevens (bijvoorbeeld uw personeelsdossier, behalve persoonlijke aantekeningen van uw leidinggevende en/of anderen). U heeft ook recht op een kopie van uw persoonsgegevens;
– Recht op rectificatie: het recht om onjuist verwerkte persoonsgegevens te corrigeren, bijvoorbeeld in uw personeelsdossier;
– Recht op verwijdering: het recht op verwijdering van uw persoonsgege-vens (LET OP: wij hoeven geen gehoor te geven aan uw verzoek indien wij de persoonsgegevens moeten bewaren op grond van een wettelijke plicht, een gerechtvaardigd belang hebben of de gegevens nodig zijn voor de uitvoering van de arbeidsovereenkomst);
– Recht op beperking: het recht om verwerking van uw persoonsgegevens te beperken;
– Recht van bezwaar: het recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens;
– Toestemming intrekken: indien u toestemming heeft gegeven voor ver-werking van bepaalde persoonsgegevens, kunt u deze toestemming ten alle tijden intrekken;
– Klachtrecht: een klacht in te dienen bij Autoriteit Persoonsgegevens (Adres: Postbus 93374, 2509 AJ Den Haag).
Indien u ontevreden bent over de verwerking van uw persoonsgegevens kunt u schriftelijk contact met ons opnemen. Indien u gebruik wilt maken van boven-staande rechten, kunt u een e-mail sturen naar E.J. Wiebinga via mail: info@tandartswiebinga.nl. U kunt het verzoek ook per post verzenden naar het adres: Saffierstraat 57, 2403 XM te Alphen aan den Rijn.
Wij streven ernaar om binnen 14 werkdagen op uw verzoek te reageren.
10. Wijzigingen in deze privacyverklaring
Wij behouden ons het recht voor om deze privacyverklaring aan te passen. Deze wijzigingen zullen aan u worden medegedeeld.
11. Onze contactgegevens
Heeft u nog vragen of opmerkingen na het lezen van deze privacyverklaring? Neem hiervoor contact met ons op via de onderstaande contactgegevens:
E.J. Wiebinga
Saffierstraat 57
2403 XM Alphen aan den Rijn