Privacy-reglement AVG
Activiteiten Boerderij Erve Tankink
Versie 1 15-2 2023

Inleiding
De Algemene verordening gegevensbescherming (AVG) is ontwikkeld om rechten op het gebied van
gegevensbescherming voor personen te waarborgen. In de AVG is geregeld dat het gebruik van
persoonlijke gegevens door derden zorgvuldig wordt uitgevoerd. Vertrouwelijke gegevens mogen niet
worden gebruikt, opgeslagen of gedeeld met anderen als dat niet nodig is. Dit betekent dat elke organisatie
zich bij het bewaren, gebruiken en verwerken van persoonsgegevens moet houden aan de vereisten van de
AVG.
Daarnaast zijn sommige organisaties verplicht een privacy-beleid op te stellen. Hieronder vallen
zorgaanbieders, omdat ze bijzondere persoonsgegevens verwerken, nl. gegevens met betrekking tot de
gezondheid. Ook Activiteiten Boerderij Erve Tankink is dus verplicht privacy-beleid op te stellen. Met dit
”Privacy-reglement Deelnemers” voldoet Erve Tankink aan deze verplichting. Het reglement heeft
betrekking op de bescherming en het gebruik van gegevens van deelnemers die bij Erve Tankink
dagbesteding volgen. Het reglement is van toepassing op zowel op papieren als elektronische verwerking
van gegevens.
Dit reglement omvat twee onderdelen. Ten eerste het privacy-beleid. Dit beschrijft wat de beginselen van
Activiteiten Boerderij Erve Tankink op het gebied van de verwerking van persoonsgegevens is, en hoe de
technische en organisatorische bescherming van persoonsgegevens bij Erve Tankink is uitgewerkt. Daarna
volt een korte beschrijving van de maatregelen die worden genomen om het beleid te implementeren.

1 Privacy-beleid
1.1 Definities
In dit reglement worden de volgende definities gebruikt:
Autoriteit Persoonsgegevens: de toezichthoudende instantie die erover waakt dat persoonsgegevens
zorgvuldig en veilig worden verwerkt. Deze onafhankelijke autoriteit kan zo nodig sancties opleggen als dat
niet gebeurt.
Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn.
Betrokkene: de deelnemer op wie een persoonsgegeven betrekking heeft.
Deelnemer: persoon die dagbesteding volgt bij Activiteiten Boerderij Erve Tankink.
Derde: elke persoon of instantie die NIET binnen Erve Tankink, of in haar opdracht, persoonsgegevens van
deelnemers van Erve Tankink verwerkt.
Functionaris voor gegevensbescherming: een functionaris die door Erve Tankink kan worden aangesteld.
Deze functionaris heeft als taak te informeren en adviseren over, en het toezicht houden op, de
toepassing en naleving van de AVG en andere gegevensbeschermingsbepalingen.
Gezondheidsgegevens: gegevens over de lichamelijke of geestelijke gezondheid van een deelnemer van
Erve Tankink, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn
gezondheidstoestand wordt gegeven.
Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die leidt tot de vernietiging, het
verlies, de wijziging, de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot, doorgezonden,
opgeslagen of anderszins verwerkte gegevens. Dit kan zowel per ongeluk als op onrechtmatige wijze
gebeuren. Onder een inbreuk in verband met de persoonsgegevens (‘datalek’) valt dus niet alleen het
vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Persoonsgegevens: alle informatie die herleidbaar is tot een individuele deelnemer van Erve Tankink. Het
is dus alle informatie die iets over een deelnemer vertelt of die aan een deelnemer kan worden gekoppeld.
Daarbij gaat het bijvoorbeeld om naam, adres, geboortedatum, rekeningnummer, of
gezondheidsgegevens.
Persoonsregistratie: een samenhangende verzameling van gegevens over verschillende personen, die in
het kader van de dagbesteding bij Erve Tankink zijn verzameld. Voorbeelden hiervan zijn persoonlijke of
medische gegevens.
Erve Tankink neemt alle redelijke maatregelen om persoonsgegevens van deelnemers die, gelet op de
doeleinden waarvoor zij worden verwerkt, onjuist zijn, direct te wissen of te rectificeren.
Erve Tankink neemt passende (technische of organisatorische) maatregelen om persoonsgegevens van
deelnemers zo te beveiligen dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige
verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Erve Tankink verstrekt alleen persoonsgegevens van deelnemers aan personen binnen de organisatie voor
zover die voor hun taakuitoefening noodzakelijk zijn.

1.7 Hoe is het intern toezicht geregeld?
Erve Tankink heeft geen aparte Functionaris gegevensbescherming aangesteld. Dit is zij ook niet verplicht
volgens de AVG: Erve Tankink is geen zorgverlener die op grote schaal bijzondere persoonsgegevens
verwerkt.
Erve Tankink vindt het echter wel belangrijk dat er intern toezicht wordt gehouden op de uitvoering van
het privacy-beleid en de bijbehorende maatregelen. Dit is daarom als deeltaak toegewezen aan de
Controller.

2 Maatregelen
2.1 Inventarisatie van privacy-risico’s

Sommige gegevensverwerkingen leveren een hoog privacy-risico op voor de betrokken deelnemers. De
Europese privacy-toezichthouders hebben een lijst met criteria opgesteld voor hoge privacy-risico’s. Erve
Tankink voldoet aan de volgende criteria:
• Verwerking van gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van
persoonsgegevens, zoals gegevens over de gezondheid van mensen;
• Verwerking van gegevens over kwetsbare personen;
• Gebruik maken van gekoppelde databases.
Erve Tankink verwerkt dus gegevens met een hoog privacy-risico. Onder de AVG is het in zo’n geval verplicht
om een zgn. data protection impact assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf
de privacy-risico’s van een gegevensverwerking in kaart te brengen. Zo kunnen maatregelen worden
genomen om de risico’s te verkleinen.
2.2 Register van verwerkingsactiviteiten
Erve Tankink verwerkt gegevens die vallen onder de categorie ‘Bijzondere persoonsgegevens’. Conform de
verplichting in de AVG houdt Erve Tankink daarom een zgn. Register van verwerkingsactiviteiten bij. Hierin
staan naam en contactgegevens van Erve Tankink, de doeleinden waarvoor Erve Tankink de
persoonsgegevens van deelnemers verwerkt, een beschrijving van de categorieën van persoonsgegevens die
ze verwerkt, de bewaartermijn van de gegevens, de categorieën van ontvangers aan wie Erve Tankink
persoonsgegevens verstrekt en een algemene beschrijving van de technische en organisatorische maatregelen
die Erve Tankink heeft genomen om de persoonsgegevens die ze verwerkt te beveiligen.

2.3 Processen en hun beschrijvingen
Bij het (her)inrichten van processen wordt door Erve Tankink vanaf het begin rekening gehouden met de
vereisten van dit privacy-reglement.
Erve Tankink bekijkt bij de beschrijving van processen per functie welke medewerkers toegang nodig
hebben tot de persoonsgegevens van deelnemers. Dit wordt vastgelegd in de procesbeschrijvingen.

2.4 ICT-beveiliging
De toegang tot persoonsgegevens van deelnemers wordt bij Erve Tankink door middel van autorisatie
afgeschermd voor personen voor wie de toegang niet noodzakelijk is voor de uitoefening van hun functie. Dit
voor zover dit in redelijkheid mogelijk is.
Gegevens van deelnemers worden op dit moment zowel digitaal als op papier bewaard. Bij elke verdere
digitalisering van de processen wordt bekeken of het op papier bewaren van persoonsgegevens overbodig is
geworden en dus kan worden gestaakt.
Er worden back-ups gemaakt van de bestanden met persoonsgegevens, zodat bij calamiteiten de juiste
gegevens snel kunnen worden hersteld.
Bij uitwisseling van persoonsgegevens met derden, zoals gemeenten, worden de gegevens versleuteld
verzonden. Uiteraard geld dit ook voor de back-ups.

In geval van het verzamelen van persoonsgegevens via een website, bijv. door middel van webformulieren,
wordt dit beveiligd door HTTPS. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van de website en de server niet kan worden onderschept.

2.6 Registratie en Meldplicht Datalekken
Erve Tankink stelt een protocol op voor de afhandeling van datalekken en beveiligingsincidenten.
Erve Tankink houdt conform de AVG een registratie bij van alle datalekken.
Conform de Wet bescherming persoonsgegevens worden evt. opgetreden datalekken gemeld aan de
Autoriteit Persoonsgegevens.
Indien er sprake is van een Datalek, zal altijd eerst met onze ICT-Leverancier Tech Data te Hengelo
worden overlegd.
Over de juiste stappen en procedures.

2.7 Tot slot: Waarborging privacy in de cultuur van de organisatie
Erve Tankink wil privacy borgen doordat privacy door alle betrokkenen wordt gedragen. Voorbeeldgedrag
van directie, vertrouwen en een open cultuur zijn van essentieel belang. De bescherming van privacy
wordt namelijk niet alleen bereikt met regels, procedures en afvinklijstjes maar ook en vooral door het
juiste gedrag. Alleen op die manier worden de privacy-rechten van deelnemers zo goed mogelijk
beschermd.