- AVG

 

AVG verklaring

Hierbij verklaart  de Stichting AVG voor Verenigingen dat J.Lodewijk Pedicure het AVG-programma geheel of gedeeltelijk heeft doorlopen. J.Lodewijk Pedicure verklaart  hiermee dat de inspanningen zijn verricht zoals die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).

 

Indien niet alle programmaonderdelen zijn afgewerkt en de verklaring toch wordt aangevraagd, dan  is geen volledige invulling gegeven aan  de eisen van de wetgever. De Stichting AVG voor Verenigingen adviseert de openstaande punten alsnog zo snel mogelijk af te werken  en in elk geval in het programma een  aantekening te maken wanneer dit zal gebeuren.

 

In de hierna volgende verklaring staan alle onderdelen/stappen die J.Lodewijk Pedicure heeft doorlopen om te voldoen aan  de AVG-wetgeving.  Per onderdeel is duidelijk aangegeven welke gegevens en onderdelen van de wet van toepassing zijn en hoe daar  aan  voldaan is. Waar nodig is additionele informatie verstrekt ter verduidelijking van de situatie.

 

J.Lodewijk Pedicure begrijpt dat AVG-wetgeving  continu van toepassing is en dat wij regelmatig de gegevens moeten controleren en updaten.

 

Met het volledig doorlopen van het AVG-programma van de Stichting AVG voor Verenigingen heeft J.Lodewijk Pedicure kennis over de materie ontvangen die door de AVG wordt geraakt, en verklaart  zelf naar  eer en geweten aan de wet te voldoen. De onderdelen van de zelfverklaring door J.Lodewijk Pedicure zijn te vinden op de volgende pagina('s) van deze verklaring.

 

Aldus opgemaakt te Gorinchem,

d.d. 17-5-2018,

 

door Stichting AVG voor Verenigingen

gevestigd aan  de Stephensonweg 14 te Gorinchem.

 

2.1 Inventarisatie persoonsgegevens.

 

Geef hieronder aan  welke persoonsgegevens binnen de organisatie gebruikt worden.

 

Gewone persoonsgegevens

 

x Naam/  voorletters/ tussenvoegsel

 

x Adres

 

x Postcode

 

x Plaats

 

x Land

 

x Woonplaats

 

x Telefoonnummer

 

 

x E-mailadres

 

x Geslacht

 

x Geboortedatum

 

x Gegevens over gezondheid

 

x BSN-nummer Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Ook in het onderwijs en kinderopvang wordt het BSN gebruikt.

 

Aantekeningen bijzondere persoonsgegevens:

 

ivm declaratie zorgverzekeraars

 

Andere  gewone persoonsgegevens:

 

 

3.1 Inventarisatie doelbinding.

 

Welke persoonsgegevens verwerk je, met welk doel en heb  je ze daar  ook voor gekregen? Dat noemen we

‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de doeleinden waarvoor je deze hebt verkregen.

Voor de inventarisatie van de vormen  van doelbinding binnen de onderneming hebben wij onderstaand schema gemaakt. Voor doelbindingen die veel voorkomen, hebben wij het schema al ingevuld en die kun je dus zo aanvinken. Komen er binnen je onderneming nog andere doelbindingen voor, dan  kun je deze in de open  vorm noteren bij 3.3.

 

Grondslag: Grondslag is een  reden op basis waarvan je de persoonsgegevens mag verwerken. Een  reden kan zijn een  verkregen toestemming (b.v. het krijgen van een  visitekaartje of een  inschrijving voor een  nieuwsbrief). Een reden kan ook zijn dat je deze persoonsgegevens nodig hebt voor het uitvoeren van een  overeenkomst (b.v. een koopcontract of een  lidmaatschapsovereenkomst).

 

LET OP: Het is verstandig zo min mogelijk persoonsgegevens te hanteren. Vraag dus alleen de gegevens die je echt nodig hebt voor het goed  functioneren van je organisatie.

 

(N = Naam, A = Adres, W = Woonplaats, T = Telefoon, E = e-mailadres)

 

x Klant of leverancier

 

Persoonsgegevens:  NAWTE.

 

Grondslag:                Opdracht of contract.

 

Verwerkingen:           Administratie, bevestiging, uitlevering.

 

Verwerkt door:            Afdeling administratie, afdeling sales en afdeling inkoop. Bewaartermijn:           Gedurende de looptijd van de overeenkomst.

 

Beschrijf hieronder kort uw situatie:

 

Pedicure behandelingen

 

x Klant en BSN

 

Organisaties buiten de overheid mogen het BSN (burger-servicenummer) alleen gebruiken als dat volgens de wet is toegestaan. Anders mag het niet! Het is toegestaan voor bijvoorbeeld zorgverleners, zoals huisartsen en apotheken en ook voor zorgverzekeraars. Ook in het onderwijs wordt het BSN gebruikt. Hier heet  het ook wel onderwijsnummer of persoonsgebonden  nummer. Organisaties kunnen niet onder  het verbod  uitkomen door mensen toestemming te vragen voor het gebruik van hun BSN!

 

Persoonsgegevens:  NAWTE + BSN.

 

Grondslag:               Overeenkomst met handtekening op papier.

 

Verwerkingen:           Interactie met de overheid in het belang van (en met toestemming van) de klant. Verwerkt door:            Afdeling administratie.

Bewaartermijn:           Gedurende de looptijd van de overeenkomst.

 

Beschrijf hieronder kort uw situatie:

 

medisch pedicure en voer hiervoor behandelingen uit, voor declaraties met de zorgverzekeraars ivm de diabetisch voet gebruik ik de BSN nummers

 

 

 

x Digitale  direct marketing (e-mail, facebook, LinkedIn, fax, SMS etc.)

 

Persoonsgegevens:  NAWTE.

 

Grondslag:                Digitale toestemming vooraf, b.v. bij aanvragen van informatie of inschrijven voor een  nieuwsbrief.

 

Verwerkingen:           Digitaal toesturen van (of benaderen over) informatie over de organisatie en/of producten/diensten.

 

Verwerkt door:            Afdeling marketing/communicatie.

 

Bewaartermijn:           Gedurende de periode dat men gezien wordt als prospect voor de organisatie of haar  diensten/producten.

 

Beschrijf hieronder kort uw situatie:

 

email voor afspraken wijzigen

 

3.3 Beschrijving van extra doelbinding.

 

Als je meer  persoonsgegevens, verwerkingen en/of overeenkomsten hebt dan  bij 3.1 beschreven, voeg deze dan hieronder toe. Voeg de extra beschrijving over doelen en doelbinding hieronder toe zodat  we die kunnen opnemen in de AVG-verklaring.

 

4.1 Privacy policy vindbaar, verwijzing in documenten.

 

De privacy policy van de organisatie moet voor iedereen vindbaar zijn. Het eenvoudigste is om deze op de website van de organisatie te zetten en op elke pagina (onderaan) een  link hier naartoe te leggen.

 

x  Wij als organisatie hebben onze  privacy policy zichtbaar gemaakt op onze  website.

 

Beschrijf hieronder kort uw situatie:

 

Wordt op de web site gezet na ontvangst AVG verklaring

 

In alle overeenkomsten (documenten waarin persoonsgegevens gevraagd worden)  moet een  verwijzing staan naar de privacy policy.

x Wij als organisatie verwijzen in al onze  documenten (contract, overeenkomst, aanmeldingsformulier, etc.)

waarin persoonsgegevens staan naar  onze  privacy policy op de website van de organisatie.

 

Beschrijf hieronder kort uw situatie:

Vermelding op de rekening.

 

5.1 Werken met verwerkersovereenkomst.

 

Als organisatie mag je persoonsgegevens niet doorgeven aan  een  andere partij zonder een verwerkersovereenkomst. In een  verwerkersovereenkomst spreek je af wat de ander met de gegevens mag doen  én ook vooral wat niet.

 

x  Wij als organisatie verklaren dat wij nooit persoonsgegevens doorgeven aan  andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten als dit noodzakelijk is voor uitvoering van de doeleinden waarvoor we ze hebben gekregen.

 

 

 

Beschrijf hieronder kort uw situatie:

 

Samenwerkingsovereenkomst met Podotherapeuten ( Voetencentrum Wender)

 

6.1 Toegangsbeveiliging.

 

Om zeker  te weten  dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten deze altijd beveiligd zijn met een  wachtwoord en als het kan ook met een  gebruikersnaam. Zo kun je een  Excel- bestand beveiligen met een  wachtwoord en een  PC voorzien  van een  gebruikersnaam en een  wachtwoord. Zorg er dus voor dat je altijd minimaal één  keer een  wachtwoord moet weten  voordat  je de persoonsgegevens van jouw organisatie kunt inzien of bewerken.

 

x Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een  gebruikersnaam en een  wachtwoord.

 

 

Beschrijf hieronder kort uw situatie:

 

Op de PC staat een  wachtwoord

 

7.1 Software en antivirussoftware up-to-date.

 

Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken met al je softwareleveranciers.

 

x  Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren.

 

 

 

8.1 Opslaan alleen binnen de EU.

 

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat  alle EU-lidstaten moeten voldoen aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een  partij buiten de EU of een  internationale organisatie, moet je kijken of er een  adequaatheidsbesluit van de Europese Commissie bestaat. Je moet ook weten  en kunnen aantonen dat er passende of geschikte waarborgen zijn, en hoe er een  kopie van kan worden  verkregen of waar ze kunnen worden  geraadpleegd.

 

De wetgever is dus extra streng als je persoonsgegevens wilt verwerken/opslaan buiten de EU. Als je dat toch zou willen, dan  moet er heel veel geregeld worden  bovenop de normale AVG-verplichtingen. Dus check  of je dienstverlener (drukker, verspreider, enz.)  de toevertrouwde persoonsgegevens binnen de EU opslaat.

 

Het is dus het makkelijkste om persoonsgegevens alleen te verwerken binnen de EU, dit raden wij daarom ook sterk aan.

 

x  Wij als organisatie verklaren dat wij nooit persoonsgegevens overdragen aan  of opslaan bij partijen die gevestigd zijn buiten de EU.

 

 

9.1 Data back-up.

 

Om de persoonsgegevens te beschermen tegen het verlies of diefstal moet je back-ups maken. Het is noodzakelijk om dat regelmatig te doen. Zorg ervoor dat deze back-up veilig wordt opgeborgen.

 

x  Wij als organisatie hebben de opgeslagen persoonsgegevens beveiligd met een  back-up.

 

 

10.1  Geautoriseerde medewerkers.

 

Via autorisatie regel je wie binnen de organisatie welke persoonsgegevens mag verwerken.

 

x  In onze  organisatie hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de organisatie.

Beschrijf hieronder kort hoe  jullie de autorisatie geregeld hebben:

 

de organisatie bestaat uit 1 persoon en alleen die heeft toegang tot de persoons gegevens

 

Onderstaande vragen zijn alleen ter bewustwording en hoeven niet precies ingevuld te worden!

Wij als organisatie hebben 1 personen geautoriseerd om de persoonsgegevens van de organisatie in te zien en te verwerken indien dit nodig in voor de uitoefening van hun functie.

 

Wij als organisatie  hebben van 100 personen de persoonsgegevens geregistreerd.

 

11.1  Vernietigen persoonsgegevens.

 

Geef hieronder aan  dat je organisatie alle persoonsgegevens vernietigt door bijvoorbeeld een  regel te wissen in Excel en/of het versnipperen van een  aanmeldingsformulier als er geen overeenkomst meer  is. Persoonsgegevens mogen niet langer worden  bewaard dan  voor verwezenlijking van de doeleinden waarvoor ze worden  verwerkt. Dus: na beëindiging van een  overeenkomst worden  de persoonsgegevens van die persoon vernietigd.

Wijs aan  wie verantwoordelijk is voor het vernietigen van persoonsgegevens of de controle op de vernietiging. NB: Verscheuren en weggooien is onvoldoende. Schaf daarom een  versnipperaar aan.

Let op: In de financiële administratie mogen (of eigenlijk: moeten!) deze persoonsgegevens nog wel blijven staan, want daar  geldt een  (wettelijke) bewaarplicht van 7 jaar.

 

x Wij als organisatie verklaren dat wij alle persoonsgegevens vernietigen als de overeenkomst op grond waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.

12.1  Toestemming voor direct marketing en bij minderjarigheid.

 

Bij direct marketing.

 

De wetgever maakt  onderscheid tussen gewone direct marketing (bellen en post sturen) of digitale marketing (via e- mail, fax, Facebook, LinkedIn of sms).  Doordat  gewone direct marketing een  organisatie geld kost zal dat altijd beperkt blijven. Juist digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden  met alle gevolgen van dien.

 

 

x  Wij als organisatie maken geen gebruik van digitale direct markering.

 

 

 

Bij minderjarigheid (jonger dan 16 jaar).

 

Als je persoonsgegevens hebt van personen jonger dan  16 jaar, dan  moet je daarvoor altijd schriftelijk een handtekening (op papier!) voor akkoord  hebben van de ouder, verzorger of wettelijke vertegenwoordiger. Geef hieronder aan  dat je organisatie dat ook altijd zo doet.

 

 

 

 

x  Wij als organisatie verklaren dat wij alleen persoonsgegevens van minderjarigen verwerken als daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger

 

 

 

13.1  Papieren documenten en beveiliging.

 

Als persoonsgegevens ook vastliggen op papier (denk aan  contracten), dan  moeten die papieren met persoonsgegevens achter slot en grendel zijn opgeslagen. Praktisch: bewaar dus alle papieren met persoonsgegevens in een  kast die je steeds op slot doet.  Alleen personen die voor hun werk voor de organisatie daarvoor toestemming hebben, mogen in die kast komen.

 

x  Wij als organisatie hebben papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot en grendel.

 

14.1  Datalekken.

 

Iedereen in de organisatie moet op de hoogte zijn wat een  een  datalek is en wat je eraan moet doen. Geef aan  wat voor jullie van toepassing is:

 

x  Binnen onze  organisatie is iedereen op de hoogte van wat een  datalek is. Ook is bekend waar dit intern gemeld moet worden  zodat  wij als organisatie adequaat het datalek kunnen afhandelen en documenteren.

 

15.1  Medewerkers geïnstrueerd

 

Wij hebben onze  medewerkers als volgt geïnstrueerd:

 

x Alle medewerkers hebben de video van de Stichting AVG bekeken.

 

 

Hieronder  is ruimte om te beschrijven hoe  jullie de medewerkers geïnstrueerd hebben:

 

de organisatie bestaat uit 1 persoon en die op de hoogte van de nieuwe ontwikkelingen

16.3 Ondertekening.

Met het inzenden van dit stappenplan verklaar ik hierbij dat ik naar eer en geweten dit stappenplan  heb ingevuld namens de organisatie.

Aldus verklaard door:

 

Naam organisatie:                                                              J.Lodewijk Pedicure

 

Naam persoon:                                                                   Jolanda Lodewijk Plaats:                                                                                 Sassenhiem Datum:                                                                                27-04-2018