gegevensbeschermingsbeleid

 

 Inhoudstafel

1. Het belang van gegevensbescherming

2. Toepassingsgebied

3. De organisatie van gegevensbescherming

4. Bewerkers van cliëntenbestanden en hun bevoegdheden

5. Interne en externe raadpleging van de cliëntenbestanden, rechten en plichten van de bewerkers

6. De aard van de verwerkte gegevens en de wijze waarop ze verkregen worden

7. Het beheer van risico’s

8. Bewaartermijnen

9. Rechten en mogelijkheden van verweer van de patiënt in het kader van de bescherming van de persoonlijke levenssfeer

10. Beleidsdoelstellingen voor gegevensbescherming

11. Inwerkingtreding en wijzigingen

 1 Het belang van gegevensbescherming

 De Federatie hecht grote waarde aan het juist beschermen van de gegevens die zij verwerkt, in het bijzonder persoonsgegevens. Middels dit beleid wil de Federatie op strategisch niveau vastleggen op welke wijze gegevens beschermd worden, welke verantwoordelijkheden hierrond zijn toegewezen en welke prioriteiten de Federatie heeft bepaald rond de bescherming van gegevens.

In het bijzonder wil de Federatie de gegevens van leden en derden die zij ter beschikking stellen stelt, beschermen tegen:

 • verlies: gegevens zijn niet meer beschikbaar

 • lekken: gegevens komen in verkeerde handen terecht

 • fouten: gegevens zijn niet correct, bijvoorbeeld verouderd of onvolledig

 • niet toegankelijk: op het moment zijn gegevens niet toegankelijk

 • onterecht inkijken: ingekeken door personen die hiertoe niet gemachtigd zijn

 • het niet kunnen nagaan wie de gegevens inkeek, wijzigde of verwijderde

• verwerkingen die niet in lijn liggen met regelgeving, richtlijnen en normen

 De Federatie wil in dit gegevensbeschermingsbeleid een beroep doen op iedereen die betrokken is bij de elektronische en papieren verwerking om samen, vanuit een gemeenschappelijke visie én vanuit een gezamenlijke wil om kwaliteitsvolle dienstverlening aan te bieden, de verwerking van persoonsgegevens correct te laten verlopen.

 Het biedt elke belanghebbende, medewerker of betrokken externe een inzage in het gegevensbeschermingsbeleid en de manier waarop we omgaan met persoonsgegevens.

Dit gegevensbeschermingsbeleid is tevens geschreven voor iedereen die een opdracht heeft binnen de Federatie waarbij persoonsgegevens verwerkt worden. Ze gebruiken (delen van) dit beleid voor het ontwerpen van procedures en richtlijnen voor medewerkers, leden en externen, zoals ICT-leveranciers.

 2 Toepassingsgebied

 Het is de Raad van Bestuur die bepaalt tot welke applicaties en met welke rechten een lid van de Federatie toegang mag krijgen tot de website.

Daarnaast is er een autorisatiematrix om de specifieke toegangen te beheren. 

Ledeninformatie: 

- Alle leden die in de uitoefening van hun opdracht in contact komen met persoonlijke gegevens zijn gebonden door het beroepsgeheim.

 3 De organisatie van gegevensbescherming

 Bevoegdheid: Als verantwoordelijke voor de verwerking, ligt de bevoegdheid van dit beleid bij de Federatie. De Federatie is verantwoordelijk voor het formuleren en vaststellen van, en het toezien op, de naleving van de beleidsprincipes hierbij ondersteunt door de Raad van Bestuur en de Algemene Vergadering.

Verantwoordelijke uitvoerder: De Raad van Bestuur fungeert als formeel beslissingsplatform voor gegevensbescherming. Het bestuur is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten: 

• Het ontwikkelen van het gegevensbeschermingsbeleid en de bijhorende richtlijnen; 

• De implementatie van beveiligingsmaatregelen 

• De structurele reactie op gegevensbeschermingsproblemen 

Het aanspreekpunt informatieveiligheid is de voorzitter van de werkgroep GDPR. Zij draagt niet de eindverantwoordelijkheid i.v.m. het naleven van de AVG. Deze ligt bij de Raad van Bestuur. 

Het aanspreekpunt kent idealiter de aard van de data waarover de Federatie beschikt en de datastromen. 

Het aanspreekpunt helpt mee aan het bewustmakingsproces over hoe de Federatie veilig moet omgaan met persoonsgegevens en helpt mee om samen met de Raad van Bestuur het informatieveiligheids- en privacybeleid toe te passen. 

Zij is het eerste aanspreekpunt bij gegevenslekken.

De DPO: De inhoudelijke opvolging van het gegevensbeschermingsbeleid ligt bij de Data Protection Officer (DPO). De opdracht van DPO wordt ingevuld door een externe consultant. 

De leden: Iedereen (intern of extern) die gegevens verwerkt doet dit volgens onze gegevensverwerkingprincipes. Het lid verwerkt gegevens in overeenstemming met de discretieplicht, en conform volgende principes: 

• Is verantwoordelijk voor de persoonsgegevens die hij/zij verwerkt • Voert de veiligheidsrichtlijnen uit tijdens zijn/haar verwerkingsopdracht. 

• Verwerkt enkel die gegevens die horen bij de taak. 

• Draagt zorg voor de gegevens. 

• Meldt inbreuken. 

• Leeft artikel 458 van het Strafwetboek na: De gebruiker respecteert het (gedeeld) beroepsgeheim.

 ICT-leverancier: De ICT-leverancier heeft volgende verantwoordelijkheden: 

• De implementatie van de technische maatregelen. 

• De veiligheidsinstellingen te implementeren in lijn met onze policy. 

• De veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICT-middelen te melden het aan aanspreekpunt. 

• Wijst hij op veiligheidsrisico’s van geleverde toepassingen. 

• Wijst de instelling op de op te nemen veiligheidstaken. 

• Streeft naar een transparant gegevensbeschermingsbeleid door te communiceren over het eigen actuele veiligheidsniveau en bij de afhandeling van veiligheidsincidenten.

 4 Bewerkers van ledenbestanden en hun bevoegdheden 

Alle leden van de Federatie die voor de uitvoering van hun taken toegang nodig hebben tot persoonsgegevens, zijn ertoe gehouden het vertrouwelijk karakter van de betrokken gegevens strikt in acht te nemen. 

De volgende personen zijn belast met de bewerking van de persoonsgegevens van leden, binnen de perken van hun opdracht en de doeleinden eigen aan deze opdracht (niet limitatief): 

• De PR-leden zijn verantwoordelijk voor de verzameling van de identificatiegegevens van de centra. Deze gegevens , verkregen na lidmaatschap bij de Federatie, dienen voor interne gegevensuitwisseling tussen de leden. De gegevens zelf worden geactualiseerd door de aangesloten leden van de Federatie.

 5 Interne en externe raadpleging van de ledenbestanden, rechten en plichten van de bewerkers 

5.1 Intern 

• De interne raadpleging en bewerking van het ledenbestand geschiedt door de personen zoals omschreven punt 4. Dit recht is echter beperkt in het kader van hun opdracht en de verwerkers hebben geen toegang tot de persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van hun opdracht. 

• Bij de verwerking van de persoonsgegevens hebben de verwerkers de plicht om de persoonsgegevens eerlijk en rechtmatig te verwerken. Ze hebben de plicht om de persoonsgegevens niet te verwerken dan voor de doeleinden zoals vermeld in punt 4 van dit reglement. 

5.2 Extern 

Binnen het kader van art. 7, lid 4 W.B.P.L . zijn volgende categorieën van instanties gerechtigd tot het verkrijgen van gegevens uit het ledenbestand: 

• Overheidsinstanties die door een overheidsbeslissing daartoe gemachtigd zijn; 

• Andere instanties, voor zover opgelegd door of krachtens de wet of met toestemming van het lid; 

• Software en hardware leveranciers ter ondersteuning. Hiervoor wordt een specifieke verklaring ondertekend (gegevensverwerkersovereenkomst) om de privacy van deze data te garanderen.

 6 De aard van de verwerkte gegevens en de wijze waarop ze verkregen worden

 De aard van de gegevens zijn als volgt vastgelegd: Identificatie- en administratieve gegevens.

 7 Het beheer van risico’s 

De Federatie brengt de risico’s inzake gegevensbescherming in kaart aan de hand van een risico analyse. Deze werd uitgevoerd op basis van volgende criteria: 

• De richtlijnen met betrekking tot de informatiebeveiliging van persoonsgegevens, zoals deze werden gepubliceerd door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer 

• De Algemene Verordening Gegevensbescherming 

• De ISO 27001 norm rond informatiebeveiliging 

De analyse brengt operationele, tactische en technische risico’s in kaart. De bevindingen uit de risico analyse werden besproken en worden opgenomen in een actieplan om de gevonden risico’s te behandelen. De Federatie onderkent vier mogelijk risicobehandelingen: 

• Accepteren: een risico wordt geaccepteerd, er worden geen aanvullende maatregelen genomen. De Federatie streeft er naar zo min mogelijk risico’s te accepteren. 

• Overdragen: een risico wordt overgedragen waardoor de verantwoordelijkheid ten aanzien van het risico niet langer de Federatie rust. 

• Beperken: De Federatie neemt de noodzakelijke maatregelen om een risico te beperken zodat het risico wordt teruggebracht tot een niveau waarop het te accepteren is. 

• Uitsluiten: De Federatie neemt maatregelen om te voorkomen dat een risico zich überhaupt kan voordoen. 

Alle nodige voorzieningen worden getroffen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Tevens worden de nodige technische en organisatorische maatregelen getroffen ter beveiliging van het ledenbestand tegen verlies of aantasting van de gegevens en tegen ongeoorloofde kennisneming, wijziging of verstrekking daarvan. 

De Federatie heeft een autorisatiematrix uitgewerkt waarin is aangegeven wie bevoegdheid heeft op vlak van digitale toegangen.

 8 Bewaartermijnen 

Een jaar na het beëindigen van het lidmaatschap of op vraag van een aangesloten lid.

 9 Rechten en mogelijkheden van verweer van het lid in het kader van de bescherming van de persoonlijke levenssfeer

 • Het lid, dat zijn identiteit bewijst, heeft het recht vanwege de verantwoordelijke voor de verwerking kennis te krijgen van: 

- het al dan niet bestaan van verwerkingen van op hem betrekking hebbende gegevens, 

- de doeleinden van deze verwerkingen, 

- de categorieën gegevens waarop deze verwerkingen betrekking hebben, 

- de categorieën ontvangers aan wie de gegevens worden verstrekt, 

- de gegevens zelf die worden verwerkt en alle beschikbare informatie over de oorsprong van die gegevens tenzij de inzage van deze gegevens via de wet van het recht op inzage worden uitgesloten. 

• Eenieder mag zich kosteloos en zonder enige motivering verzetten tegen het verwerken van gegevens met het oog op directe marketing. 

• Onverminderd alle hierboven opgesomde interne rechts- en verweermiddelen, kan het lid zich overeenkomstig de art. 13, 14 en 63 e.v. W.B.P.L. respectievelijk wenden tot de Voorzitter van de Rechtbank van Eerste Aanleg en tot de Commissie voor de bescherming van de Persoonlijke Levenssfeer, Hoogstraat 139 – 1000 BRUSSEL 

 10 Beleidsdoelstellingen voor gegevensbescherming 

De Federatie zowel in haar rol als verwerkingsverantwoordelijke als verwerker: 

1. Is transparant over de persoonsgegevens die ze verwerkt en het verwerkingsdoel. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. 

2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent onder meer dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van de Federatie. 

3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de activiteiten. Zo worden identificatoren die horen bij de persoonsgegevens tot een minimum herleid. 

4. Kijkt toe op de integriteit van de persoonsgegevens gedurende de ganse verwerkingscyclus. 

5. Bewaart gegevens niet langer dan noodzakelijk. 

6. Voorkomt inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake. 

7. Is in staat om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping uit te voeren. 

8. Waakt er actief over dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden van de betrokkene gevrijwaard blijven. 

9 Verwerkt gegevens in lijn met de rechten en vrijheden die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten. De Federatie leeft bijgevolg alle wettelijke en normerende kaders na (i.e. zowel Vlaamse, Federale als Europese regels) bij het verwerken van persoonsgegevens en heeft daartoe haar verantwoordelijkheid over de persoonsgegevens en die van andere duidelijk in kaart gebracht. 

10. Kan aantonen dat het alle beleidsdoelstellingen naleeft, conform de wettelijke bepalingen. Deze verantwoordingsplicht wordt bewaakt door interne toezicht en controle en is uitvoerbaar volgens de wettelijk geldende principes. 

 11 Inwerkingtreding en wijzigingen

 De versie van dit gegevensbeschermingsbeleid treedt in werking op 25 mei 2018.