Privacyverklaring medewerkers, stagiaires, leerlingen en vrijwilligers

1. Medewerker/stagiaire/leerling/vrijwilliger: een natuurlijke persoon die met ons een arbeids-/stage-/leerwerk- of vrijwilligersovereenkomst is aangegaan. 
2. Betrokkene: degene van wie wij persoonsgegevens verwerken. In deze context is dat de (toekomstige) medewerker/stagiair/leerling/vrijwilliger.
3. Persoonsgegevens: alle gegevens over of van de medewerker/stagiair/leerling/vrijwilliger als individu en die direct of indirect (in combinatie met andere gegevens) naar de persoon leiden, zoals naam, geboortedatum, geslacht, telefoonnummer, adres, e-mailadres, een foto, het BSN nummer, een bankrekeningnummer. 
4. Bijzondere persoonsgegevens: persoonsgegevens waaruit iemands ras of etnische, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische (1) gegevens, gegevens over iemands gezondheid en ook gegevens over iemands seksueel gedrag of seksuele gerichtheid. Voor de verwerking van bijzondere persoonsgegevens gelden strengere eisen en voorwaarden.
5. Gegevens over de gezondheid: hieronder worden verstaan gegevens die betrekking hebben op  fysieke of mentale gezondheid. 
6. Verwerking van persoonsgegevens: elke bewerking of elk geheel van bewerkingen van persoonsgegevens. Zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen of combineren, en ook het afschermen, wissen of vernietigen van gegevens. Het maakt niet uit of dat handmatig of geautomatiseerd gebeurt.
   Salarisgegevens, overeenkomsten, verklaringen worden door ons verzameld en bewaard volgens de hiervoor geldende wettelijke bepalingen die in de fiscale wetgeving zijn beschreven.
7. Verwerkingsverantwoordelijke: degene die alleen of samen met anderen vaststelt waarom en hoe persoonsgegevens worden verwerkt. In dit reglement is dat onze Raad van Bestuur.
8. Verwerker: degene die in onze opdracht persoonsgegevens verwerkt (zoals softwareleveranciers, website hosts, clouddiensten, externe kwaliteitsauditor).
9. Bestand: een gestructureerde verzameling persoonsgegevens die via een bepaalde logica toegankelijk zijn. 
10. Personeelsdossier: het dossier dat wij over de medewerker inrichten. Daarin staat o.a. informatie over de salarisgegevens, functieomschrijving, functioneringsgesprekken, geheimhoudingsverklarig, VOG, verlofgegevens, verzuimgegevens. 
11. Datalek: een inbreuk op de beveiliging waarbij persoonsgegevens per ongeluk of op onrechtmatige wijze in handen van onbevoegden zijn gekomen, voor onbevoegden toegankelijk waren, of zijn vernietigd, gewijzigd of verloren.
12. Functionaris Gegevensbescherming: een onafhankelijk en deskundig persoon binnen onze zorginstelling, die is aangesteld voor het informeren en adviseren over en het toezicht houden op de naleving van de AVG en andere wettelijke bepalingen op het gebied van de bescherming van persoonsgegevens.
13. Toestemming van betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige verklaring of actieve handeling waarmee de medewerker, stagiair, leerling, vrijwilliger als betrokkene accepteert dat wij zijn/haar persoonsgegevens verwerken. De toestemming mag niet voor verschillende interpretaties vatbaar zijn. Wij moeten aantoonbaar de toestemming hebben gekregen. (2) 
14. Wij: de Raphaëlstichting; wij verlenen zorg- en dienstverlening en/of maatschappelijke ondersteuning en/of jeugdhulp op het gebied van de gehandicaptenzorg. Tevens verlenen wij verpleeghuiszorg.

In dit privacyreglement staan regels over onze verwerking van persoonsgegevens. Het reglement heeft als doel:
1. a. om vast te stellen met welk doel en op welke grondslag wij de persoonsgegevens verwerken;
1. b. om de persoonlijke levenssfeer van de medewerker te beschermen tegen verkeerd en onbedoeld gebruik van persoonsgegevens.
2. Het reglement is van toepassing op alle persoonsgegevens die wij van de medewerker, stagiair, leerling, vrijwilliger verwerken. Daarvoor maakt het niet uit of wij dat (geheel of gedeeltelijk) geautomatiseerd doen, of handmatig.

1. 1. Als wij uw persoonsgegevens verwerken, doen wij dat rechtmatig, netjes en transparant.
   2. Wij verwerken uw persoonsgegevens alleen voor van tevoren bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. U leest meer over deze doelen in artikel 4 van dit reglement.
   3. Wij verwerken uw persoonsgegevens alleen voor het doel waarvoor we ze nodig hebben en verwerken niet meer gegevens dan daarvoor noodzakelijk is.
   4. Willen wij uw persoonsgegevens op enig moment voor een ander doel gebruiken? Dan mogen wij dat alleen doen als dat nieuwe doel verenigbaar is met het oorspronkelijke doel waarvoor wij ze hebben verzameld. Is dat niet het geval? En is ook niet een van de andere grondslagen voor het verwerken van persoonsgegevens van toepassing (zie voor deze grondslagen artikel 5 van dit reglement)? Dan vragen wij u opnieuw om toestemming voor de verwerking.
   5. De persoonsgegevens die we van u verwerken moeten juist zijn. Daarom nemen wij alle redelijke maatregelen om ervoor te zorgen dat uw gegevens correct en actueel zijn. Gegevens die dat niet (meer) zijn, zullen wij wissen of corrigeren.
   6. Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor wij ze verwerken. Is dit niet langer het geval? Dan wissen of vernietigen wij ze.
   7. Uw persoonsgegevens moeten door ons goed beveiligd worden en vertrouwelijk blijven. Wij beschermen uw gegevens tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
   8. Persoonsgegevens die wij hebben gekregen in de uitoefening van ons beroep als hulpverlener vallen onder de geheimhoudingsplicht van de hulpverlener. Deze plicht is opgeschreven in meerdere wetten zoals de Wet maatschappelijke ondersteuning 2015, de Jeugdwet en de Wet op de geneeskundige behandelingsovereenkomst. Deze wetten leven wij na. Binnen de Raphaëlstichting mogen medewerkers alleen persoonsgegevens verwerken als dat noodzakelijk is voor de uitvoering van hun werkzaamheden. De medewerkers van de Raphaëlstichting hebben allemaal een geheimhoudingsplicht. 

Ad 6: Bewaarperiode
Wij zullen uw sollicitatiegegevens uiterlijk vier weken na het eindigen van de sollicitatieprocedure verwijderen, tenzij u ons toestemming heeft gegeven om uw gegevens voor een periode van maximaal een jaar te bewaren. De persoonsgegevens uit de salarisadministratie die fiscaal van belang zijn, zullen wij bewaren gedurende een periode van zeven jaar nadat u uit dienst bent getreden. Deze bewaartermijn hangt samen met een voor ons geldende wettelijke verplichting. Loonbelastingverklaringen en een kopie van uw identiteitsbewijs zullen wij vijf jaar na het einde van uw dienstverband bewaren. Ook deze bewaartermijn hangt samen met een voor ons geldende wettelijke verplichting. Voor andere gegevens uit de personeels- of loonadministratie hanteren wij een bewaartermijn van uiterlijk twee jaar nadat uw dienstverband is beëindigd, tenzij blijkt dat bepaalde persoonsgegevens voor ons noodzakelijk zijn om te voldoen aan een wettelijke (bewaar)plicht of als sprake is van een arbeidsconflict of rechtszaak. Bij ‘andere gegevens uit de personeels- of loonadministratie’ moet u bijvoorbeeld denken aan arbeidsovereenkomsten, verslagen van beoordelings- en functioneringsgesprekken, correspondentie over benoeming, promotie, degradatie en ontslag, getuigschriften en administratieve verzuimgegevens.

Wij verwerken uw persoonsgegevens specifiek voor:

1. 1. het aangaan en naleven van de arbeidsovereenkomst of stage-/leerwerk-/vrijwilligersovereenkomst, bijvoorbeeld voor het vaststellen en uitbetalen van het salaris, vergoedingen en andere geldbedragen en voor het vaststellen en uitbetalen van belastingen, premies en andere fiscale verplichtingen ten behoeve van u als medewerker, stagiair, leerling of vrijwilliger;
   2. het aangaan en onderhouden van de relatie met u als u bij ons wilt komen werken (zowel betaald als vrijwillig) en/of leren;
   3. zorgondersteunende functies, zoals dossierbeheer, intercollegiale toetsing, intervisie, supervisie, opleiding, kwaliteitsbewaking, kwaliteitsbevordering (waaronder ook de behandeling en verwerking van klachten en geschillen) en (wetenschappelijk) onderzoek en advisering;
   4. een verantwoorde bedrijfsvoering (4) , zoals o.a. het regelen van de bekostiging van de zorg;
   5. de uitvoering of toepassing van wettelijke taken of verplichtingen;
   6. de beveiliging van de omgeving van cliënten, medewerkers en bezoekers (hiertoe zijn op verschillende locaties camera’s geplaatst, deze zijn zichtbaar en worden aangeduid.

Wij verwerken uw persoonsgegevens alleen als aan één van de hierna genoemde voorwaarden (1 t/m 6) is voldaan:

1. 1. u heeft toestemming gegeven voor de verwerking;
   2. de verwerking is noodzakelijk voor de bescherming van uw vitale belangen of de vitale belangen van iemand anders;
   3. de verwerking is noodzakelijk voor de behartiging van ons eigen gerechtvaardigd belang of het gerechtvaardigd belang van een derde, behalve als uw belangen of grondrechten en fundamentele vrijheden zwaarder wegen;
   4. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij u partij bent, bijvoorbeeld de arbeidsovereenkomst;
   5. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
   6. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang. 

Wij verwerken van medewerkers en betaalde stagiaire/leerlingen) onder meer de volgende persoonsgegevens:

1. 1. achternaam en voornamen;
   2. geboortedatum;
   3. burgerservicenummer (BSN);
   4. geslacht;
   5. e-mailadres;
   6. telefoonnummer;  
   7. adresgegevens; 
   8. het bankrekeningnummer;

Van vrijwilligers verwerken wij het BSN nummer alleen wanneer zij een vergoeding hoger dan 1500 euro per jaar ontvangen, omdat dit dan verplicht is door de Belastingdienst…

1. Wij mogen in principe geen bijzondere persoonsgegevens verwerken, behalve wanneer de verwerking daarvan noodzakelijk is voor de uitvoering van de arbeidsovereenkomst, of als de verwerking noodzakelijk is voor het beheer van onze zorginstelling of de beroepspraktijk. In het bijzonder bij de – ons door de wet verplichte – screening middels de VOG is sprake van een bijzonder persoonsgegeven.
2. In het geval zoals genoemd in lid 1 mogen de bijzondere persoonsgegevens alleen worden verwerkt als ook een van de grondslagen genoemd in artikel 5 van dit privacyreglement van toepassing is. (5)

1. Wij zijn verplicht uw persoonsgegevens geheim te houden.
2. Wij verstrekken uw persoonsgegevens dus ook niet aan derden, behalve als:
   a.door u uitdrukkelijk toestemming is gegeven voor het verstrekken van de persoonsgegevens. Uitdrukkelijke toestemming betekent dat u expliciet, duidelijk en zonder twijfel hebt aangegeven dat wij uw persoonsgegevens mogen verstrekken.
   b.onze collega’s, zoals administratieve medewerkers, uw gegevens nodig hebben voor de uitvoering van de arbeidsovereenkomst (t.b.v. de financiële en administratieve afhandeling);
   c.betrokkenen er ernstig nadeel van kunnen ondervinden als wij persoonsgegevens niet verstrekken (bijvoorbeeld bij een besmettelijke ziekte);
   d.wij dat op grond van een wet verplicht zijn. 

2b: bij verstrekking van uw gegevens aan onze verzuimdienst hebben wij een gerechtvaardigd belang, namelijk dat wij daardoor aanspraak kunnen maken op een verzekeringsuitkering. 

2b: in sommige gevallen is het noodzakelijk om de (arbeids)overeenkomst met u te kunnen uitvoeren zoals bijvoorbeeld bij doorgifte aan een softwareleverancier of leasemaatschappij. Bij deze doorgifte van uw gegevens hebben wij een gerechtvaardigd belang. Deze werkzaamheden zijn uitbesteed vanwege (onder meer) de kennis en expertise die deze partijen bezitten. Om de (arbeids)overeenkomst met u uit te voeren, hebben deze partijen uw persoonsgegevens nodig. Verder maken wij gebruik van externe serverruimte voor de opslag van (delen van) onze personeels- en loonadministratie waar uw persoonsgegevens onderdeel van uitmaken. Uw persoonsgegevens worden om die reden aan onze serverprovider verstrekt. Daarnaast maken wij gebruik van Apple en de bijbehorende opslagmogelijkheden voor e-mails en andere bestanden. Wij hebben bij deze doorgiften een gerechtvaardigd belang omdat wij gegevens digitaal willen opslaan en verwerken en uitbesteding hiervan verschillende voordelen heeft.

2c en 2d: op grond van zorgwetgeving is de Raphaëlstichting verplicht persoonsgegevens te verstrekken aan de Inspectie Gezondheidszorg en Jeugd over iedere calamiteit die heeft plaatsgevonden in de zorgverlening en als er sprake is van geweld binnen de zorgrelatie. Ook is de Raphaëlstichting verplicht persoonsgegevens te verstrekken aan de Gemeentelijke Gezondheidsdienst (GGD) bij het voorkomen van bepaalde infectieziekten. 

2d: de wet verplicht ons als werkgever aan de Belastingdienst, het UWV, de arbodienst/bedrijfsarts, het Pensioenfonds, en de Inspectie voor Sociale Zaken en Werkgelegenheid bepaalde in de wet vastgestelde gegevens te verstrekken.

2d: i.v.m. onze verplichtingen tot doorbetaling van het loon gedurende ziekte, kunnen wij een WGA hiaatverzekering afsluiten, welke niet verplicht is maar waarbij wij een gerechtvaardigd belang hebben als werkgever.

1. Voor wetenschappelijk onderzoek of statistiek mogen wij zonder uw toestemming gegevens aan een derde verstrekken, maar alleen:
a. als het in redelijkheid niet mogelijk is om uw toestemming te vragen en er bij de uitvoering van het onderzoek voor wordt gezorgd dat uw privacy niet wordt geschaad; of
b. als in redelijkheid, gelet op de aard en het doel van het onderzoek, niet van ons kan worden verlangd dat we uw toestemming vragen en wij er zo veel mogelijk voor zorgen dat uw gegevens niet naar u zijn te herleiden.

2. Het zonder toestemming verstrekken zoals genoemd in artikel 9.1 mag alleen als:
a. het onderzoek het algemeen belang dient; en
b. het onderzoek niet zonder deze gegevens kan worden uitgevoerd; en
c. u niet uitdrukkelijk bezwaar hebt gemaakt tegen een verstrekking (zie hiervoor artikel 11.7). 

1. Wij zijn verplicht om zorgvuldig met uw persoonsgegevens om te gaan. Bijzondere persoonsgegevens worden alleen verwerkt door personen die uit hoofde van hun functie of beroep, of op grond van een overeenkomst tot geheimhouding zijn verplicht. Zij hebben alleen toegang tot deze gegevens als dat noodzakelijk is voor de goede uitoefening van hun functie en werkzaamheden. 
2. Wij houden een register bij van de verwerkingsactiviteiten waarvoor wij verantwoordelijk zijn. In dit register geven wij informatie over de verwerkingsactiviteiten die wij uitvoeren. In dit register nemen wij geen persoonsgegevens op. 
3. Wij hebben een Functionaris Gegevensbescherming (FG) aangesteld:
   a. die ons informeert en adviseert over de omgang met persoonsgegevens en toezicht houdt op de naleving van dit privacyreglement. De FG krijgt daarvoor voldoende tijd, middelen en scholing.
   b. met wie u contact kunt opnemen over alle onderwerpen die verband houden met de verwerking van uw persoonsgegevens en voor de uitoefening van uw rechten (zie hiervoor artikel 11 van dit reglement).
   Contactgegevens Functionaris Gegevensbescherming: fg@raphaelstichting.nl .
4. Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor wij ze verwerken, behalve als wij de gegevens op grond van wet- of regelgeving langer moeten bewaren. Wij mogen uw gegevens ook langer bewaren voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, maar dan moeten wij daarvoor passende waarborgen nemen (zie artikel 9 van dit reglement).
5. Wij nemen passende technische en organisatorische maatregelen om te waarborgen en aan te tonen dat de verwerking van uw gegevens in overeenstemming met de AVG en andere van toepassing zijnde wet- en regelgeving wordt uitgevoerd.
6. Wij nemen passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat uw persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Bij deze beveiligingsmaatregelen houden wij rekening met de stand van de techniek, uitvoeringskosten, aard, omvang, context en de verwerkingsdoeleinden. Ook houden wij rekening met de waarschijnlijkheid dat risico’s zich voordoen en de ernst daarvan voor uw rechten en vrijheden.
7. Als wij de verwerking van persoonsgegevens willen aanpassen en/of wijzigen (6) en dit houdt een hoog risico in voor uw rechten, dan beoordelen wij altijd eerst het effect van de nieuwe verwerking op de bescherming van persoonsgegevens. (7)
8. Bij een datalek hebben en hanteren wij een procedure om daarmee om te gaan. 
9. Besteden wij de verwerking van persoonsgegevens uit aan een ander (een verwerker)? Dan sluiten wij een verwerkersovereenkomst met deze verwerker, waarin wij onder meer afspraken maken over het gebruik en de beveiliging van de persoonsgegevens.
10. Wij hebben een informatieplicht en moeten u op eigen initiatief op de hoogte stellen van het feit dat wij uw persoonsgegevens verwerken. Dat doen wij met dit privacyreglement.

1. Het recht op transparante informatie 

U heeft het recht om te weten of, en zo ja welke persoonsgegevens wij verwerken en waarom wij dat doen. Dit brengt met zich mee dat:  

1. Zodra wij uw persoonsgegevens hebben ontvangen, wij u op een duidelijke en toegankelijke wijze informeren over de verwerking van uw persoonsgegevens. Dit doen wij onder meer met dit privacyreglement.
2. Als wij uw persoonsgegevens van iemand anders dan van uzelf krijgen (bijvoorbeeld van uw huisarts), wij u dat binnen een redelijke termijn laten weten. Dit doen we altijd binnen uiterlijk één maand nadat wij uw persoonsgegevens hebben ontvangen. 
3. Wij hebben deze informatieplicht niet:

• hebben gekregen; 
• als wij uw persoonsgegevens buiten u om hebben verkregen maar u hiervan weet; 
• verstrekken; 
• als uw persoonsgegevens vertrouwelijk moeten blijven in verband met een beroepsgeheim; 
• als in de wet is voorgeschreven dat wij uw persoonsgegevens mogen verkrijgen en in die wet uw gerechtvaardigde belangen zijn gewaarborgd. 

2. Het recht op inzage en afschrift van uw persoonsgegevens 

U heeft het recht om de persoonsgegevens die wij van u verwerken in te zien. U heeft ook recht op een afschrift (kopie) van die gegevens. Hierop gelden de volgende uitzonderingen:

• U heeft geen recht op informatie over anderen. 
• Wij verlenen geen inzage en/of verstrekken geen afschrift uit het personeelsdossier als de persoonlijke levenssfeer van een ander daardoor wordt geschaad. 
• Voor een afschrift van uw persoonsgegevens brengen wij geen kosten in rekening. Verzoekt u om meerdere kopieën van dezelfde persoonsgegevens? Dan kunnen wij daarvoor een redelijke vergoeding vragen.

3. Het recht op rectificatie van de persoonsgegevens

U heeft het recht om ons te vragen uw persoonsgegevens te verbeteren als ze niet meer kloppen of aan te vullen als ze niet volledig zijn. Ook mag u ons vragen om een verklaring aan uw personeelsdossier toe te voegen.

4. Het recht op het beperken van gebruik van de persoonsgegevens 

U mag ons vragen tijdelijk uw persoonsgegevens niet te gebruiken zolang een bepaald probleem of bezwaar dat gaat over de verwerking van uw persoonsgegevens nog niet is opgelost.

5. Het recht op wissen, verwijderen, vernietigen van persoonsgegevens (recht om vergeten te worden)

U heeft het recht om vergeten te worden. Dit betekent dat u ons mag vragen uw persoonsgegevens te wissen, verwijderen of vernietigen als:

• wij uw persoonsgegevens niet langer nodig hebben voor het doel waarvoor zij zijn verwerkt;
• u toestemming voor verwerking intrekt en er geen andere juridische grond voor verwerking aanwezig is;
• wij uw persoonsgegevens onterecht hebben verwerkt;
• er sprake is van een wettelijke bepaling die verplicht tot het wissen of verwijderen van uw persoonsgegevens;
• u gegrond bezwaar heeft gemaakt tegen de gegevensverwerking (zie artikel 11.7 van dit reglement). 

Wij hoeven gegevens over uw gezondheid niet te verwijderen, wissen of vernietigen: 

• gegevens niet vernietigen;
• als iemand anders (een derde) een aanmerkelijk belang heeft bij het bewaren van uw gegevens; 
• als dit ervoor zou zorgen dat uw hulpverlener zijn werk niet meer goed kan doen.

5. Het recht op dataportabiliteit 

U mag ons verzoeken uw persoonsgegevens aan u te verstrekken op een manier die het voor u makkelijk maakt om de gegevens te hergebruiken en door te geven aan een andere organisatie. 

6. Het recht op bezwaar (8)

U mag bezwaar maken tegen de gegevensverwerking op grond van een gerechtvaardigd belang of een taak van een algemeen belang (sub e en f van artikel 5 van dit reglement).

7. Behandelingstermijn

Wij laten u zo snel mogelijk, maar in ieder geval binnen één maand na ontvangst van een verzoek zoals genoemd in lid 2 tot en met 7, schriftelijk weten of en in hoeverre we aan uw verzoek voldoen. Als we aan uw verzoek voldoen voeren we dit binnen één maand na ontvangst van het verzoek uit. (9)

We mogen deze termijn met twee maanden verlengen, afhankelijk van de complexiteit van het verzoek. We informeren u hier schriftelijk over, binnen één maand na ontvangst van uw verzoek.

U kunt de hierboven genoemde rechten niet onder alle omstandigheden uitoefenen omdat wij soms aan wettelijke verplichtingen zijn gehouden.

Heeft u een klacht over de uitvoering van dit privacyreglement? Dan kunt u hiervoor terecht bij:

• Functionaris Gegevensbescherming van de Raphaëlstichting: bereikbaar per mail via fg@raphaelstichting.nl en telefonisch via de receptie van het Centraal Bureau op nummer 072-509 9000.
• Wanneer om een of andere reden de voorkeur bestaat de klacht via de vertrouwenspersoon van de instelling, kan dit door via het intranet of het secretariaat van de instelling of dat van het Centraal Bureau de contactgegevens van de vertrouwenspersoon op te vragen. 
• Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag.

Als wij dit privacyreglement wijzigen laten wij dit weten. Dit doen wij via de website https://www.raphaelstichting.org
Wijzigingen gaan vier weken nadat ze bekend zijn gemaakt in.

Dit reglement is met ingang van 15 juni 2020 in werking getreden en vervangt de privacyverklaring die wij in 2018 hebben gepubliceerd.

1. Persoonsgegevens verkregen uit iemands fysieke, fysiologische of gedragsgerelateerde kenmerken die eenduidige identificatie mogelijk maken zoals irisscans of vingerafdrukken.

2. Bijvoorbeeld via een mondelinge of schriftelijke verklaring of door een ondubbelzinnige handeling, zoals het online plaatsen van een vinkje in een hokje.

3. Deze opsomming kan uiteraard worden aangepast naar gelang daaraan de behoefte bestaat of om deze nog meer toe te spitsen op de zorgpraktijk. Dit geldt overigens ook voor overige artikelen waaronder artikel 6 van dit reglement.

4. Hieronder wordt onder meer verstaan de betaling van een rekening voor een medische behandeling en het uitwisselen van gegevens met het CAK welke nodig zijn voor het vaststellen van de wettelijke eigen bijdrage.

5. In de praktijk zullen de uitzonderingen op dit verbod tot verwerking vrijwel altijd samenvallen met een grondslag genoemd in artikel 5.
In het geval van bijzondere persoonsgegevens (waaronder dus ook gezondheidsgegevens) is het toestemmingsvereiste strenger. Er moet dan sprake zijn van een uitdrukkelijk gegeven toestemming door de betrokkene (of zijn/haar wettelijk vertegenwoordiger, schriftelijk gemachtigde of belangenbehartiger). Uitdrukkelijke toestemming betekent: een expliciete (duidelijke) uiting van iemands wil. Het geven van toestemming voor verwerking van andere persoonsgegevens kan worden afgeleid uit een handeling, een activiteit. Bij uitdrukkelijke toestemming moet dit heel duidelijk, zonder twijfel, blijken uit woord, schrift of gedrag.

6 Bijvoorbeeld bij de aanschaf van een nieuw automatiseringssysteem.

7 Een verwerker kan bijvoorbeeld een softwareleverancier zijn van wiens automatiseringsdiensten de zorginstelling gebruik maakt. De VGN heeft in samenwerking met de andere leden van de Brancheorganisaties Zorg (BoZ) een model-verwerkersovereenkomst ontwikkeld, zie: https://www.vgn.nl/artikel/26167.

8 Geen bezwaar is mogelijk als de betrokkene toestemming heeft gegeven voor de verwerking, betrokkene kan wel zijn toestemming intrekken waarna de verwerking zal moeten worden gestaakt.