Privacy Statement

1. Reikwijdte en Beleid 

Stichting Mayoung staat voor optimale databeveiliging en waarborgt het recht op privacy. Daarvoor treft Stichting Mayoung alle noodzakelijke maatregelen om risico’s op schending daarvan beheersbaar te houden. Het bestuur is verantwoordelijk en de medewerkers nemen hierin het voortouw. Waar nodig schakelen we externe expertise in, o.m. als het gaat om het inschatten van risico’s. Jaarlijks wordt de risico-inventarisatie geactualiseerd en maatregelen/beleid zo nodig bijgesteld. Dit als onderdeel van de jaarlijkse managementbeoordeling, die uitgevoerd wordt met het oog op de HKZ voor kleine ondernemingen. Het beleid is verwoord in het privacyreglement en het verwerkingsregister. Beiden zijn openbaar en opvraagbaar. Intern toezicht wordt uitgevoerd door de Bestuurder met Gegevensbescherming in het pakket. Dit reglement is van toepassing binnen Stichting Mayoung en heeft betrekking op de verwerkingen van gegevens van hen die bij Stichting Mayoung ‘onder behandeling’ zijn, zijn geweest, zich hebben aangemeld of contact hebben gezocht. Dit reglement is van toepassing op zowel op papier als elektronisch verwerkte gegevens. 

2.1 Definities 

Persoonsgegevens: Elk gegeven dat is ter herleiden tot een persoon. 

Gezondheidsgegevens: Gegevens over de lichamelijke of geestelijke gezondheid van een persoon. 

Bijzondere gegevens: Gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven. Strafrechtelijke en aanverwante gegevens behoren hier ook toe. 

Verwerking van persoonsgegevens: Alle handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of in een andere vorm beschikbaar stellen, samenbrengen, met elkaar in verband brengen, alsmede het versleutelen, afschermen, uitwissen of vernietigen van gegevens.

Bestand: Elk gestructureerd geheel van persoonsgegevens. 

Medewerker: Degene die betrokken is bij het betreffende dossier. Het betreft hier in alle gevallen een bestuurder, (assistent) begeleider of een medewerker van de administratie. 

Bewerker: Degene die voor Stichting Mayoung zelfstandig en op eigen verantwoordelijkheid persoonsgegevens verwerkt (bijvoorbeeld een externe kwaliteitsauditor). 

Betrokkene: Degene op wie een persoonsgegeven betrekking heeft, meestal de bewoner, of zijn (wettelijk) vertegenwoordiger. 

Derde: Elke persoon of instantie die geen betrokkene, bewerker, of een persoon is die namens Stichting Mayoung of de bewerker persoonsgegevens verwerkt, zoals een hulpverlener. 

Toestemming van de betrokkene: Door betrokkene in vrijheid gegeven, specifieke en op basis van goede informatie berustende toestemming voor de verwerking van zijn persoonsgegevens. 

Autoriteit Persoonsgegevens: (AP): De toezichthouder, de onafhankelijke instantie die erover waakt dat persoonsgegevens zorgvuldig en veilig worden verwerkt en zo nodig sancties kan opleggen als dat niet gebeurt. 

Datalek: inbreuk op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 WBP). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. 

Cookie:  een klein bestandje dat met pagina’s van deze website wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen.

2.2 Goede en veilige verwerking van gegevens van cliënten 

2.2.1 Voor welke doelen mogen gegevens worden verwerkt? 
Binnen Stichting Mayoung worden persoonsgegevens alleen verwerkt: 

1. met een duidelijk doel en niet meer dan nodig: persoonsgegevens worden alleen verwerkt voor welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en moeten toereikend, relevant en niet bovenmatig zijn. 

2. met toestemming van betrokkene; 

3. nodig voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, bijvoorbeeld het ondersteuningsplan; 

4. nodig om een wettelijke verplichting na te komen; 

5. nodig om ernstig gevaar voor de gezondheid van betrokkene te bestrijden, bijvoorbeeld overdrachtsinformatie aan derden bij crisis; 

6. nodig voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan, bijvoorbeeld de informatie die de gemeente nodig heeft in verband met een herindicatie van ondersteuning op grond van de Wmo 2015 of 

7. noodzakelijk voor de belangen van Stichting Mayoung of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert; 

2.2.2 Welke beveiligingsmaatregelen worden getroffen? 
Stichting Mayoung beveiligt persoonsgegevens tegen verlies of enige vorm van onrechtmatige of onnodige verwerking. Bij het treffen van beveiligingsmaatregelen wordt een afweging gemaakt tussen enerzijds de stand van de techniek en de kosten van de tenuitvoerlegging en anderzijds de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Voor de verstrekking van gegevens via e-mail wordt zo mogelijk gebruik gemaakt van de beveiligde emailverbinding. 

2.2.3 Wie mag gezondheidsgegevens verwerken? 
Hulpverleners en medewerkers van Stichting Mayoung mogen alleen gezondheidsgegevens verwerken die voor een goede begeleiding van de betrokkene of het beheer van Stichting Mayoung noodzakelijk zijn. Iedere medewerker binnen Stichting Mayoung heeft voor geheimhoudingsplicht getekend in de arbeidsvoorwaarden. Mochten er stagiaires of andere externen (tijdelijk) werkzaam zijn, dient er ook getekend te worden voor geheimhouding. 

2.2.4 Gegevensverwerking door (extern) Bewerker 
Stichting Mayoung kan de verwerking (extern) uitbesteden aan een bewerker. De bewerker, waaraan een deel van gegevensverwerking is uitbesteed, is daarnaast zelfstandig aansprakelijk zijn voor schade of een deel van de schade die voortvloeit uit zijn werkzaamheden. Hoe die aansprakelijkheid wordt verdeeld, wordt beoordeeld door de schadeverzekeraar of de rechter. Stichting Mayoung heeft goede afspraken vastgelegd in een bewerkersovereenkomst. 

2.2.5 Aansprakelijkheid Stichting Mayoung en/of bewerker / bewerkersovereenkomst. 
Stichting Mayoung is in beginsel verantwoordelijk en aansprakelijk voor schade die voortvloeit uit het toerekenbaar tekortschieten of niet voldoende naleven van de Wbp, waaronder de beveiligingseisen in artikel 13. 

2.2.6 Wanneer mogen bijzondere gegevens worden verwerkt? 
Bijzondere gegevens mogen alleen als aanvulling op gezondheidsgegevens worden verwerkt als dat nodig is voor goede begeleiding van de betrokkene. 

2.2.7 Wanneer mogen gegevens aan een ander worden verstrekt voor wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid?
Als de gegevens geanonimiseerd zijn, waarmee deze gegevens niet tot de betrokkene herleidbaar zijn en dan alleen met toestemming van betrokkene, tenzij: a. het vragen van toestemming in redelijkheid niet mogelijk is maar bij de uitvoering van het onderzoek zodanige waarborgen gelden, dat de persoonlijke levenssfeer van de cliënt niet onevenredig wordt geschaad, of b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener ervoor zorgt dat gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. Verder moet: het onderzoek een algemeen belang dienen en aangetoond zijn dat het onderzoek niet zonder de gegevens kan worden uitgevoerd. 

2.2.8 Afspraken met de onderzoeker 
Stichting Mayoung en de onderzoeker maken schriftelijke afspraken over de maatregelen die de onderzoeker neemt om de privacy van de betrokkene te beschermen. 

2.2.9 Geheimhoudingsplicht 
Persoonsgegevens worden alleen verwerkt door personen met een plicht tot geheimhouding op grond van de wet of overeenkomst. Bij de verstrekking van gegevens aan derden worden de voorschriften van GGZ Nederland gevolgd: Wegwijzer Beroepsgeheim in samenwerkingsverbanden en Handreiking Beroepsgeheim. 

2.2.10 Hoe worden persoonsgegevens bewaard? 
Stichting Mayoung bewaart gegevens op een veilige wijze, die in overeenstemming is met de geldende wet- en regelgeving. 

2.2.11 Hoe lang worden persoonsgegevens bewaard? 
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt, tenzij a. zij geanonimiseerd worden of b. voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. In de Wgbo geldt als algemene regel dat gegevens vijftien jaren na beëindiging van de behandeling worden bewaard. Stichting Mayoung hanteert dit tevens als maximum. Camerabeelden gemaakt voor de beveiliging zijn bedoeld om live te bekijken en worden uiterlijk binnen 1 week gewist.

2.2.12 Meldplicht datalekken 
Stichting Mayoung is verplicht een datalek te melden aan de AP als het datalek/de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Dit gebeurt via het meldloket datalekken. Stichting Mayoung is verplicht de betrokkene(n) over een datalek te informeren als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens/hun persoonlijke levenssfeer. Bij het bepalen of sprake is van ernstige nadelige gevolgen voor de algemene privacy of in het bijzonder de privacy van betrokkene(n), wordt de Beleidsregels meldplicht datalekken van de AP gebruikt. 

2.3 Rechten van de betrokkenen 

2.3.1 Informatieplicht 
Als Stichting Mayoung gegevens bij de betrokkene zelf opvraagt, informeert hij de betrokkene voorafgaand aan het verkrijgen van zijn persoonsgegevens over: 
a. de identiteit van de verzoeker; 
b. de doelen waarvoor zijn gegevens zijn bestemd en 
c. waarom het nodig is dat de verzochte gegevens verwerkt. 
d. extra informatie als dat voor goede zorg nodig is. 
e. de rechten van de betrokkene en op welke wijze de betrokkene deze rechten kan inroepen. 

Als Stichting Mayoung (medewerker) gegevens van de betrokkene opvraagt bij een ander, informeert hij de betrokkene, voor zover deze dat nog niet weet, over zijn identiteit en de doeleinden van de verwerking en geeft hem de nodige nadere informatie: a. op het moment van vastlegging van de hem betreffende gegevens, of b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking. Stichting Mayoung hoeft de betrokkene niet te informeren als het informeren van betrokkene onmogelijk blijkt of een onevenredige inspanning kost of als de verstrekking op grond van wet- en regelgeving verplicht is. In dat geval moet Stichting Mayoung de betrokkene op diens verzoek informeren over het wettelijk voorschrift dat hem tot de vastlegging of verstrekking van de hem betreffende gegevens verplicht. 

2.3.2 Inzage en afschrift/kopie 
De betrokkene van 12 jaar of ouder heeft het recht op inzage en een kopie van de op zijn persoon betrekking hebbende verwerkte gegevens. Het gaat hier om informatie in zowel het digitale als het papieren patiëntendossier. Aantekeningen van begeleider  vallen hier niet onder. Hetzelfde geldt voor degene die als wettelijk vertegenwoordiger toestemming moet geven voor de behandelingsovereenkomst. De gevraagde inzage en/of de gevraagde kopie moet zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. Voor de verstrekking van een kopie kan Stichting Mayoung een vergoeding in rekening brengen. Inzage of afschrift kan worden geweigerd als dat noodzakelijk is in het belang van cliënt  of wanneer de persoonlijke levenssfeer van een ander wordt geschaad, bijvoorbeeld bij een vermoeden van kindermishandeling kan een ouder inzage in het dossier worden geweigerd en gescheiden ouders hebben geen inzage in informatie over elkaar. 

2.3.3 Aanvulling, verbetering of verwijdering, vernietiging en afscherming van persoonsgegevens 
De betrokkene kan schriftelijk of per mail via info@mayoung.nl vragen om a. zijn gegevens aan te vullen of van een eigen verklaring toe te voegen aan zijn dossier, b. correctie van zijn gegevens als deze onjuist, onvolledig of niet relevant zijn, of in strijd met de wet, in de verwerking voorkomen, c. bepaalde gegevens voor bepaalde personen af te schermen en hen de toegang tot die gegevens te laten blokkeren, d. om vernietiging van op hem betrekking hebbende gegevens. Het vernietigingsrecht geldt alleen voor de gegevens die in het kader van de dossierplicht vanuit de wet zijn opgeslagen en geldt niet voor financiële en administratieve gegevens.

De verzoeker wordt gevraagd het documentnummer van zijn identiteitsbewijs door te geven, zodat wij de identiteit van de verzoeker kunnen verifiëren. Het verzoek tot vernietiging wordt opgeslagen in het dossier voor een eventuele materiële controle of fraude-onderzoek.

Stichting Mayoung informeert de verzoeker binnen vier weken na ontvangst van een schriftelijk verzoek tot aanvulling, correctie of vernietiging van zijn gegevens, of en op welke manier aan het verzoek voldaan wordt, met opgave van redenen. De beslissing tot verwijdering en/of vernietiging van gezondheidsgegevens wordt geregistreerd in het dossier van patiënt. Een verzoek tot gegevensvernietiging mag alleen worden geweigerd als: a. de wet zich tegen de vernietiging verzet; b. een derde een aanmerkelijk belang heeft bij bewaring van die gegevens, bijvoorbeeld de afdeling WMO van de gemeente; c. de patiënt heeft een procedure tegen de hulpverlener aangespannen of het is waarschijnlijk dat hij dit zal doen; d. in het dossier gegevens over (vermoedens van) kindermishandeling staan dan kunnen deze op grond van de Meldcode Huiselijk Geweld en Kindermishandeling alleen op verzoek van het kind zelf worden vernietigd en uitsluitend als het kind de leeftijd van 16 jaar heeft bereikt en wilsbekwaam kan worden geacht. 

2.3.4 Recht van verzet 
Betrokkene kan verzet aantekenen tegen een verwerking als nodig voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan, of in het belang van Stichting Mayoung of van een derde, tenzij het wettelijke openbare registers zijn. Stichting Mayoung beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij onmiddellijk de verwerking. 

2.4 Vertegenwoordiging 

De wilsbekwame jeugdige van twaalf jaar of ouder oefent zelfstandig zijn rechten over zijn persoons en gezondheidsgegevens uit. Vernietiging van gegevens over (vermoedens van) kindermishandeling vindt uitsluitend plaats met toestemming van een wilsbekwame jeugdige van zestien jaar en ouder. 

Is de betrokkene ouder dan achttien jaar en wilsonbekwaam, dan treedt als vertegenwoordiger voor hem op: de curator of mentor; indien er geen curator of mentor is; de persoon die de betrokkene schriftelijk heeft gemachtigd; indien er geen gemachtigde is, de echtgenoot of levensgezel van de betrokkene en indien deze ook ontbreekt een kind, broer of zus van de betrokkene. In het uiterste geval zorgt Stichting Mayoung ervoor dat er zo snel mogelijk een wettelijk vertegenwoordiger voor betrokkene optreedt. Zo nodig, als familie of naaste dat niet kan of wil, verzoekt hij de rechter om een vertegenwoordiger te benoemen. 

2.5 Verplichte melding van gegevensverwerkingen 

Verwerkingen van persoons- en gezondheidsgegevens binnen Stichting Mayoung worden gemeld bij de AP voor zover dit vereist is. 

2.6 Online gegevens

2.6.1 Hoe gaan wij om met cookies?
Stichting Mayoung plaatst “analytics cookies” van Google op uw computer. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken en of onze site naar behoren werkt. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten.

2.6.2 Hoe gaan wij om met formulieren?
Bij het versturen van dit formulier geef u toestemming dat deze gegevens mogen worden gebruikt ten behoeve van het doel van het formulier. Dat kan zijn de aanmelding voor een behandeling, het contactformulier, het klachtenformulier of een formulier om u aan te melden voor een informatiebijeenkomst. Deze gegevens zullen niet worden gebruikt voor andere doeleinden dan waarvoor u toestemming heeft gegeven en niet worden verstrekt aan derden. De gegevens zullen niet langer worden bewaard dan nodig is voor een goede afhandeling van het ingevulde formulier en de opvolging hiervan. De gegevens kunnen te allen tijde weer worden verwijderd als u ons hiertoe verzoekt.

2.7 Bij een klacht 

Bij een klacht over de naleving van dit reglement of een andere klacht, kan de betrokkene zich melden via de klachtenprocedure, zoals beschreven op deze website.

2.8 Wijzigingen en inzage van dit reglement 

Dit reglement geldt per 1 januari 2022 en is in te zien op de website van Stichting Mayoung.

Bronnen: Wet- en regelgeving via: http://wetten.overheid.nl/zoeken/ De website van de AP 6 Het naslagwerk Persoonsgegevens AP Beleidsregels handhaving door de AP, Hooghiemstra/Nouwt, Sdu Commentaar Wet bescherming persoonsgegevens, Sdu Uitgevers, Den Haag 2014, GGZ Nederland (redactie), Vraagbaak Psychiatrie en recht, 400 veelgestelde vragen, tweede druk (2007) GGZ Nederland, Handreiking WGBO (2013) GGZ Nederland, Handreiking beroepsgeheim. stappen voor zorgvuldig handelen (2012). GGZ Nederland, Over sommige patiënten moet je praten (2012) KNMG, GGZ Nederland c.s. Wegwijzer beroepsgeheim in samenwerkingsverbanden (2014)