Verantwoordingsverklaring | Zorgassist

Verantwoordingsverklaring inzake gegevensbescherming 2019

Verantwoording van ZORGassist aan betrokkenen over het voldoen aan wet- en regelgeving op het gebied van bescherming van persoonsgegevens.

⦁ Inleiding

Doel Verklaring

In de Governancecode zorg 2017 is opgenomen dat de directie verantwoording aflegt over de realisatie van de doelstellingen van de organisatie en het gevoerde beleid ten aanzien van de belanghebbenden. ZORGassist wil transparant zijn in haar handelen en de keuzes die worden gemaakt om daarover vervolgens verantwoording af te leggen aan belanghebbenden.

Met deze verklaring legt ZORGassist verantwoording af aan alle belanghebbenden over de naleving van de wettelijke verplichtingen op het gebied van gegevensbescherming. Dit gebeurt op basis van wat is vastgelegd en gedocumenteerd en waarmee de effectieve werking van de technische en organisatorische maatregelen wordt aangetoond. Hiermee wordt een totaalbeeld van ‘accountability’ gegeven.

Gebruik van de verklaring

Deze verklaring is onderdeel van de governance en compliance van ZORGassist en is als volgt vormgegeven. De directie heeft beleid vastgesteld op basis van het advies van de functionaris voor gegevensbescherming (FG). Aan de hand daarvan worden de processen en systemen ingericht. De eigenaren van deze processen en systemen zijn verantwoordelijk voor het inrichten van technische en organisatorische beveiligingsmaatregelen. Zij  zorgen voor een continue effectieve werking en maken dit aantoonbaar.

De FG verzamelt de vastgelegde gegevens en documentatie informatie met betrekking tot het aantonen dat en in hoeverre aan de wettelijke verplichtingen wordt voldaan. Op basis daarvan is deze verantwoordingsverklaring opgesteld. De verklaring is bestemd voor de stakeholders waaronder betrokkenen, leveranciers, financiers en toezichthouders.

De controle op (aspecten) van gegevensbescherming is onderdeel van de controle op de jaarrekening door de externe accountant. De externe accountant kan de inhoud van deze verklaring betrekken bij het vaststellen van zijn controleverklaring.

Door middel van de ‘Mededeling directie’ legt de directie verantwoording af als verwerkingsverantwoordelijke over de verwerking van persoonsgegevens in 2019. De FG licht in de ‘Mededeling functionaris voor gegevensbescherming’ toe welke rol hij heeft gehad met betrekking tot zijn wettelijke taken.

Mededeling directie

Dagelijks leveren onze medewerkers door heel Nederland hulp in de huishouding bij mensen die dat zelf niet meer kunnen. Om de cliënten goede, veilige en verantwoorde ondersteuning in het huishouden te bieden vragen wij de cliënt naar zijn persoonsgegevens waaronder ook gegevens over zijn gezondheid. De cliënt en zijn naasten vertrouwen erop dat wij integer met deze gegevens omgaan. Dus dat wij niet meer persoonsgegevens verzamelen dan dat nodig is om de zorg te kunnen verlenen, maar ook dat wij ervoor zorgen dat de gegevens goed beveiligd worden zodat zij niet onrechtmatig verwerkt worden en dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk of wettelijk vereist.

Naast de persoonsgegevens van cliënten verzameld en verwerkt ZORGassist ook gegevens van contactpersonen, medewerkers, ZZP-ers, tijdelijk personeel en andere betrokkenen. Ook voor deze gegevens zorgen ervoor wij dat de verwerking ervan rechtmatig en veilig is.

Uitgangspunt van ons beleid is dat alleen persoonsgegevens worden verzameld die noodzakelijk zijn om de zorg te verlenen, de gegevens niet langer dan worden bewaard dan nodig is en dat de persoonsgegevens alleen toegankelijk zijn voor diegenen die deze nodig hebben om hun taak uit te voeren. Dit uitgangspunt geldt voor iedereen binnen de organisatie die betrokken is bij de verwerking van persoonsgegevens en vormt de basis van het gegevensbeschermingsbeleid.

De uitvoering van dit beleid is onderhevig aan interne en externe ontwikkelingen. Hierbij gaat het om de tarieven en contractvolumes die in de gezondheidszorg onder druk staan, de toenemende digitalisering van processen en de bedreigingen vanuit de digitale wereld en betrokkenen die zich steeds meer bewust zijn van hun rechten. Daarnaast hebben we te maken met veranderende wetgeving en de aanscherping van wensen en behoeften van de stakeholders in relatie tot de gegevensverwerkingen.

Onze ambities voor 2020 moet ervoor zorgen dat gegevensbescherming verder wordt verankerd in de organisatie zodat we onze visie waar kunnen blijven maken en dat we dit kunnen aantonen.

P.L. Liezenga
Directeur
April 2020

Mededeling Functionaris voor Gegevensbescherming

Inleiding

Als FG van ZORGassist ben ik op een bepaalde manier betrokken bij de organisatie. Enerzijds als toezichthouder om na te gaan of aan de wettelijke eisen wordt voldaan, anderzijds als adviseur om problemen en vraagstukken op te lossen. Hiervoor wordt samengewerkt met de regiomanager die de gegevensbescherming in haar portefeuille heeft.

Deskundigheid

Om de rol als FG goed te kunnen invullen is deskundigheid nodig van het wettelijke kader waarin persoonsgegevens worden verwerkt, kennis van de praktijk en de techniek waarbinnen de verwerkingen plaatsvinden en adviseert de FG de organisatie om hierover verantwoording af te kunnen leggen. Hiervoor heb ik in 2019 een tweejarige post hbo-opleiding op het gebied van gegevensbescherming afgerond via Duthler Academy. Vanaf 2020  blijf ik een programma van permanente educatie volgen om op de hoogte te blijven omtrent de ontwikkelingen op het gebied van gegevensbescherming. Daarnaast ben ik lid van een aantal werkgroepen en ga ik naar bijeenkomsten en congressen waar gegevensbescherming centraal staat. Hiermee wordt voldaan aan de vereiste dat de FG beschikt over voldoende deskundigheid en competenties om zijn rol goed te kunnen invullen.

Positionering

De taken en positie van de FG zijn verankerd in de wetgeving. Om de wettelijke taken te vervullen zijn in de aanstellingsbrief van de FG voldoende bevoegdheden opgenomen om deze rol in te kunnen vullen. Door middel van een bestuurlijk overleg rapporteer ik als FG per kwartaal over het gegevensbeschermingsbeleid rechtstreeks aan de directeur.

Buiten de overlegstructuren adviseer ik gevraagd en ongevraagd de organisatie over gegevensbescherming en ben ik betrokken bij het afhandelen van incidenten.

Frans Schreuder
Functionaris voor gegevensbescherming
April 2020

Organisatiebeschrijving

Als landelijke aanbieder levert ZORGassist hulp in het huishouden in een groot aantal gemeenten in Nederland. ZORGassist biedt haar dienstverlening veelal in combinatie aan met zorgaanbieders die complementaire dienstverlening bieden, zoals individuele begeleiding en persoonlijke verzorging. Om aan te sluiten bij het zorgaanbod van deze andere zorgaanbieders werkt ZORGassist nauw met hen samen.

De zorgverleners zorgen in principe zoveel mogelijk voor dezelfde cliënten. Ze zijn in groepsverband georganiseerd. De groepen staan onder leiding van twee regiomanagers. De groepen worden ondersteund door een aantal zorgcoördinatoren. De zorgcoördinatoren zijn het aanspreekpunt voor medewerkers en cliënten. Vanuit het hoofdkantoor worden de zorgverleners ondersteund. Hier vinden de administratieve processen plaats. Via een App hebben de medewerkers toegang tot de gegevens die zij nodig hebben om hun werkzaamheden te plannen, uit te voeren en te verantwoorden.

Overzicht van doeleinden van verwerkingen

Ten behoeve van de uitvoering van de zorgovereenkomst en op grond van contractuele en wettelijke verplichtingen worden van cliënten, wettelijk vertegenwoordigers en contactpersonen van cliënten de voor de volgende doeleinden persoonsgegevens verwerkt:

⦁ Het accepteren van de zorgverlening
⦁ De financiering van de zorgverlening
⦁ Het plannen van zorgverlening
⦁ Het uitvoeren van de zorgverlening
⦁ Het evalueren van de zorgverlening
⦁ Het uitvoeren van een periodiek tevredenheidsonderzoek
⦁ Het berekenen en in rekening brengen van de eigen bijdrage van de zorgverlening
⦁ Het factureren van de zorgverlening bij de hoofdaannemer
⦁ Het intern onderzoeken van verbeteringen ten behoeve van de kwaliteit van zorg
⦁ Het uitvoeren van interne en externe controles en accountantscontrole
⦁ Het afleggen van verantwoording over de geleverde prestaties in relatie tot de overeenkomsten met hoofdaannemers
⦁ Het geven van een referentie aan gemeenten

Ten behoeve van de uitvoering van de arbeidsovereenkomst of overeenkomst tot opdracht en op grond van contractuele en wettelijke verplichtingen worden van medewerkers en PNIL-ers en contactpersonen van medewerkers de voor de volgende doeleinden persoonsgegevens verwerkt:

⦁ Het werven en selecteren medewerkers en PNIL-ers
⦁ Het berekenen en uitbetalen van salaris voor medewerkers
⦁ Het berekenen en betalen van belastingen en premies
⦁ Het berekenen en betalen van pensioenpremies
⦁ Het versturen van salarisstroken
⦁ Het verschaffen van toegang tot het medewerkers-portaal
⦁ Het bieden van bedrijfs-medische zorg van de medewerker
⦁ Het kunnen aanbieden van collectieve regelingen
⦁ Het aanvragen, ontvangen en bewaren van Verklaringen omtrent het gedrag (VOG)
⦁ Het geven van leiding aan de werkzaamheden van medewerkers
⦁ Het verstrekken van een kerstpakket
⦁ Het afleggen van financiële verantwoording
⦁ Het regelen van ontslag en, indien van toepassing, het regelen van uitkeringen in verband met de beëindiging van een dienstverband
⦁ Het afhandelen van loonbeslagen
⦁ Het innen van vorderingen, waaronder inbegrepen het in handen van derden geven van die vorderingen
⦁ Het behandelen van geschillen
⦁ Het aanvragen en gebruiken van een leaseauto
⦁ Het aanvragen en verantwoorden van subsidieregelingen
⦁ Het berekenen, controleren en uitbetalen van facturen van PNIL-ers
⦁ Het behandelen van geschillen
⦁ Het innen van vorderingen, waaronder inbegrepen het in handen van derden geven van die vorderingen

Ten behoeve van de uitvoering van de nakoming van een wettelijke verplichting worden van cliënten, medewerkers en PNIL-ers en contactpersonen de voor de volgende doeleinden persoonsgegevens verwerkt:
⦁ Het behandelen van klachten en geschillen
⦁ Het uitvoeren van interne en externe controles, bedrijfsbeveiliging en accountantscontrole
⦁ Het doorgeven van gegevens aan de KvK ten behoeve van de registratie

Framework

Hieronder is het framework weergegeven waarbinnen gegevensbescherming en informatiebeveiliging is georganiseerd en van waaruit verantwoording wordt afgelegd.

Framework Wet- en regelgeving, normen en beleid Handelen en gedrag Technische en fysieke beveiligingGegevensbescherming en informatiebeveiliging Wet- en regelgevingBeroeps- en gedragdcodesNEN-normenBeleidsdocumentenProtocollenWerkinstructies BewustwordingPresentatiesTrainingenInformeren Functioneel applicatiebeheerMelden incidenten
Monitoring en controle Monitoring wet- en regelgevingEvalueren procesIn- en externe audits en onderzoekenDatalek analyse Monitoren gedrag en naleven regelsEvalueren procesIn- en externe audits en onderzoekenDatalek analyse Monitoring toegang netwerkEvalueren procesIn- en externe audits Datalek controlePentestenMiddelen PrivacyverklaringPrivacy-administratieDocument management Verklaring omtrent gedragGeheimhoudings-verklaringenDocument management AuthenticatieAutorisatiePentestenLogging en monitoringZorgmailVerwerkersovereenkomst

 

Wet- en regelgeving, normen en beleid

De toepasselijke wet- en regelgeving met betrekking tot gegevensbescherming en informatiebeveiliging is vertaald in een aantal beleidsdocumenten zoals het gegevensbeschermingsbeleid en het informatiebeveiligingsbeleid. Hierin zijn ook de eisen vanuit de landelijke normen als NEN7510 en de beroeps- en gedragscode verwerkt.

Jaarlijks wordt het beleid herzien en worden beleidsdoelstellingen geformuleerd. Hierbij wordt rekening gehouden met de in- en externe ontwikkelingen van de organisatie die van invloed zijn op de koers die gevaren wordt. Het beleid vormt kaders voor de organisatie waarbinnen persoonsgegevens volgens de wettelijke eisen worden verwerkt en waarover verantwoording kan worden afgelegd.

De betrokkenen worden geïnformeerd door middel van een privacyverklaring. In deze privacyverklaring is onder andere opgenomen van wie persoonsgegevens worden verwerkt, voor welke doeleinden, op basis van welke grondslagen, welke bewaartermijnen worden gehanteerd en welke maatregelen worden getroffen om de persoonsgegevens te beveiligen. Daarnaast worden de betrokkenen geïnformeerd over hun rechten en hoe zij deze kunnen uitoefenen en waar zij terecht kunnen met vragen, klachten of verzoeken. De verklaring is gepubliceerd op de website van ZORGassist.

In de wetgeving is opgenomen is een documentatieplicht opgenomen. Op basis daarvan heeft ZORGassist een privacy-administratie ingericht. Hierin is – naast de wettelijke registers –informatie opgenomen op basis waarvan ZORGassist kan aantonen dat aan wet- en regelgeving wordt voldaan. Centraal hierin staat het register van verwerkingsactiviteiten. Wijzigingen in de verwerkingen van persoonsgegevens worden doorgevoerd in dit register.

Handelen en gedrag

In 2019 is aandacht besteed aan de bewustwording van medewerkers op het gebied van gegevensbescherming en informatiebeveiliging. De FG heeft een presentatie gegeven aan de zorgcoördinatoren waarbij gegevensbescherming en informatiebeveiliging centraal stond.

Plan 2020

Technische en fysieke beveiliging

De medewerkers maken gebruik van een App en zij kunnen inloggen via een aantal webapplicaties. Hiervoor worden accountgegevens aan de zorgverlener verstrekt. In 2019 is gebleken dat de uitgifte van de accounts niet voldoende veilig was. Dit is direct na de constatering opgepakt en verbeterd.

ZORGassist heeft geen eigen ICT-afdeling maar maakt gebruik van een externe leverancier voor de hosting van de systemen en toegang tot de persoonsgegevens. Deze leverancier beschikt over de volgende certificaten: NEN7510-1:2017, ISO/IEC 27001:2013.

De leveranciers van hard- en software zijn in de meeste gevallen verwerkers van persoonsgegevens. Met deze leveranciers wordt een verwerkersovereenkomst gesloten. Hiervoor wordt gebruik gemaakt van de standaard verwerkersovereenkomst zoals deze binnen de gezondheidszorg wordt gebruikt. Hiermee wordt aangehaakt bij de norm van de branche en wordt bereikt dat met één set voorwaarden afspraken worden overeengekomen met verwerkers. Dit heeft als voordeel dat een veelheid van verschillende afspraken, voorwaarden en aansprakelijkheden wordt voorkomen.

Analyse datalekken

In 2019 geen incidenten gemeld. Omdat in 2019 nog grotendeels ‘analoog’ werd gewerkt is het aantal incidenten beperkt. Dit zal in 2020 gaan veranderen omdat het zorgproces deels via de App wordt gedigitaliseerd. Bij de implementatie wordt aandacht gegeven aan welke incidenten kunnen voorkomen en wanneer en hoe deze moeten worden gemeld.

Ambities voor 2020

Voor 2020 heeft ZORGassist twee ambities op het gebied van gegevensbescherming en informatiebeveiliging:

⦁ Het minimaliseren van de risico’s voor betrokkenen door het uitvoeren van DPIA’s
⦁ Het transparanter maken van de verantwoording over de verwerking van persoonsgegevens. Hiervoor wordt een intern normenkader vastgesteld op basis waarvan het volwassenheidsniveau van (delen van) de organisatie op het gebied van gegevensbescherming en informatiebeveiliging kan worden vastgesteld en de voortgang hierin kan worden gemeten.

Om het bewustzijn van de medewerkers te vergroten zal periodiek een nieuwsbrief onder de medewerkers worden verspreid waarin onderwerpen met betrekking tot gegevensbescherming aan de orde komen. Deze onderwerpen worden vervolgens in de team-overleggen besproken.

De doelstellingen zijn onderdeel van de agenda van het kwartaaloverleg tussen directeur en de FG.