Privacy Protocol

Stichting Therapieënfonds Aurum en de Algemene Verordening Gegevensbescherming

In het kader van de Algemene Verordening Gegevensbescherming (AVG) dient de Stichting Therapieënfonds Aurum (STF) duidelijk en in eenvoudige taal vast te leggen welke bepalingen voor haar van toepassing zijn en hoe die bepalingen in de praktijk worden uitgewerkt. Daartoe dient het volgende

PRIVACY PROTOCOL

1. Wie is de verwerkingsverantwoordelijke en wat is het adres van de STF?

De verwerkingsverantwoordelijke is het bestuur van de STF in de persoon van haar webmaster, te bereiken via info@therapieënfondsaurum.nl of Frits de Zwerverhove 1, 2717 TP Zoetermeer.

2. Welke persoonsgegevens worden verwerkt?

De gegevens die worden verwerkt zijn afhankelijk van de relatie tot de STF.

a. Deelnemer

Deelnemer zijn zij die zich als zodanig hebben aangemeld. Aanmelding kan individueel of als samenlevingsverband (partners en inwonende minderjarige kinderen, allen woonachtig op het zelfde adres). Deelnemers verstrekken de volgende gegevens:

i. Voor- en achternaam

ii. Geboortedatum

iii. Adresgegevens

iv. Telefoonnummer (niet verplicht)

v. E-mailadres

vi. Bankrekeningnummer (niet verplicht)

Indien de deelname betrekking heeft op een samenlevingsverband bovendien voor elke persoon die daar deel van uitmaakt

vii. Achternaam, voornaam en geboortedatum.

Indien een deelnemer gebruik maakt van zijn recht een declaratie in verband met niet vergoede kosten van in aanmerking komende medische behandelingen in te dienen stelt de deelnemer ook de daarvoor relevante gegevens beschikbaar aan de STF.

b. Donateur

Donateurs steunen financieel het werk van de STF maar kunnen geen beroep doen op een uitkering. Donateurs verstrekken de volgende gegevens:

i. Voor- en achternaam

ii. Adresgegevens

iii. Telefoonnummer (niet verplicht)

iv. E-mailadres

v. Bankrekeningnummer (niet verplicht)

Bovenstaande opsomming impliceert dat geen bijzondere persoonsgegevens (bijvoorbeeld betrekking hebbend op ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen).worden verwerkt. Evenmin worden persoonsgegevens verwerkt die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

3. Op welke grondslag(en) is het recht op het verwerken van persoonsgegevens gebaseerd?

Aanmelding als deelnemer of donateur geschiedt door gebruik te maken van een registratieformulier dat beschikbaar is gemaakt op de website of door het invullen en opsturen van een papieren equivalent daarvan. Om dat formulier geldig te laten zijn dienen tenminste alle verplichte velden te worden ingevuld. Bovendien moet expliciet worden verklaard dat de inzender toestemming geeft tot verwerking van alle in het formulier verstrekte (persoons)gegevens conform dit privacy protocol.

4. Is een functionaris gegevensbescherming nodig?

STF verwerkt slechts een beperkt aantal gegevens van haar relaties en wel uitsluitend ten behoeve van het goed kunnen realiseren van de doelstellingen van de stichting. Er vindt geen grootschalige regelmatige of stelselmatige observatie van betrokkenen plaats en dat is ook geen kernactiviteit van de stichting. Op grond van deze overwegingen is het niet nodig een functionaris gegevensbescherming aan te stellen.

5. Is het verplicht een Data Protection Impact Assessment (DPIA) uit te voeren?

Wanneer de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert dient een DPIA te worden uitgevoerd. Om de noodzaak hiertoe te beoordelen is door de wetgever een lijst met 9 criteria opgesteld:

a. Worden mensen op basis van persoonskenmerken beoordeeld?

b. Worden er geautomatiseerde beslissingen genomen?

c. Vindt stelselmatige en grootschalige monitoring plaats?

d. Worden gevoelige gegevens verwerkt?

e. Vinden grootschalige gegevensverwerkingen plaats?

f. Worden gekoppelde databases gebruikt?

g. Worden gegevens over kwetsbare personen verwerkt?

h. Worden nieuwe technologieën gebruikt?

i. Kan de gegevensverwerking leiden tot blokkering van een recht, dienst of contract?

De gegevensverwerking door STF voldoet aan geen van deze criteria. Het is dus niet noodzakelijk een Data Protection Impact Assessment uit te (laten) voeren.

6. Wordt er gewerkt volgens de AVG-uitgangspunten van privacy by design en privacy by default?

Bij ontwerp en implementatie van de website van STF is gebruik gemaakt van G Suite van Google welke software geacht wordt conform de eisen van de AVG te zijn. Er worden zo min mogelijke gegevens verwerkt zonder de realisatie van de doelstellingen van de stichting onmogelijk te maken. Bovendien worden de gegevens opgeslagen in slechts twee enkelvoudige, niet gekoppelde, databases. Eén ten behoeve van de opslag van de aanmeldingsgegevens en één ten behoeve van de afhandeling van declaraties. Voor zover gegevens over deelnemers en declaraties op papier zijn aangeleverd worden die slechts in enkelvoud bewaard.

STF zal de gegevens van haar relaties slechts bewaren zolang dat dienstig is.

Bovenstaande houdt in dat sprake is van privacy by default.

7. Is het verplicht een register van verwerkingsactiviteiten op te stellen?

De verwerking van de persoonsgegevens is inherent incidenteel zodat het niet nodig is een register van verwerkingsactiviteiten op te stellen.

8. Zijn de juiste maatregelen genomen om persoonsgegevens te beveiligen?

Alle informatie betreffende informatiebeveiliging en de getroffen technische en organisatorische maatregelen zijn bevat in dit protocol.

9. Zijn er vereiste overeenkomsten met partijen die persoonsgegevens verwerken?

Er zijn geen andere partijen die persoonsgegevens van STF verwerken dus is het niet nodig verwerkingsovereenkomsten af te sluiten.

10. Wordt voldaan aan de informatieplicht?

Ter voldoening aan de informatieplicht naar betrokkenen (de relaties van STF) is het onderhavige document opgesteld.

Dit protocol is ook te vinden op de website.

11. Hoe zijn de (nieuwe) privacy rechten geborgd?

Onder de AVG gelden de volgende rechten:

a. Recht op inzage

Alle relaties kunnen een overzicht van alle van hen opgenomen persoonsgegevens verkrijgen middels een verzoek daartoe aan het adres van de STF.

b. Recht op rectificatie en aanvulling

Alle relaties hebben het recht om rectificatie en aanvulling van de van hen bekende gegevens te verzoeken. Een dergelijk verzoek zal altijd worden ingewilligd.

c. Recht op vergetelheid

Zodra een relatie daartoe een verzoek indient aan het adres van de STF zal de STF alle gegevens betreffende die relatie verwijderen.

d. Recht op dataportabiliteit

Op verzoek van een relatie, te richten aan het adres van de STF, kunnen de van die relatie bekende gegevens beschikbaar worden gesteld in een gestructureerd, veelgebruikt en machine leesbaar formaat.

e. Recht op beperking van de verwerking

Omdat er geen andere partijen zijn die de gegevens verwerken heeft dit recht geen betekenis.

f. Rechten met betrekking tot geautomatiseerde besluitvorming en profilering

STF maakt geen gebruik van geautomatiseerde besluitvorming en profilering.

g. Recht van bezwaar

Relaties kunnen bij de STF bezwaar maken tegen de verwerking van hun gegevens. Een dergelijk bezwaar dient gericht te worden aan het adres van de stichting. Het bestuur van de stichting zal binnen een termijn van 1 maand een besluit nemen over een dergelijk bezwaar en de betrokkene in kennis stellen van haar standpunt.

12. Hoe wordt omgegaan met datalekken?

Zodra wordt vastgesteld dat er sprake is van een ernstig datalek zal dat conform de daarvoor geldende regels via het meldloket datalekken gemeld worden aan de Autoriteit Persoonsgegevens en indien nodig ook aan de betrokkenen.