Privacybeleid Reconcept Portfolio

Reconcept Portfolio biedt een compleet opleidingsplatform voor de aios.

1. Inleiding

In dit document worden diverse termen gebruikt die onderstaand kort worden toegelicht.

Persoonsgegevens: alle gegevens dat informatie geeft over een natuurlijk persoon en waarmee men direct of indirect de identiteit van deze persoon zou kunnen vaststellen. Bijvoorbeeld een naam, (e-mail)adres of BIG-nummer.

Betrokkene: de persoon op wie de Persoonsgegevens betrekking heeft, of zijn/haar vertegenwoordiger.

Verwerken van gegevens: alles wat met de gegevens in de applicatie gedaan kan worden zoals:

  • Het verzamelen, vastleggen en ordenen van gegevens
  • Het opvragen, wijzigen en raadplegen van gegevens
  • Het verstrekken van gegevens aan anderen
  • Het afschermen of vernietigen van gegevens

Portfolio: een gevalideerde verzameling van bewijsstukken van verworven competenties op individueel niveau.

Eigenaar: de gebruiker over wie het Portfolio gaat.

2. Doel van het verwerken van de gegevens

Reconcept Portfolio (hierna: applicatie) wordt door de deelnemende Nederlandse ziekenhuizen ingezet ter ondersteuning en begeleiding van de professionele ontwikkeling van haar medisch personeel.

3. Persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) heeft als uitgangspunt dat de hoeveel opgeslagen Persoonsgegevens tot een minimum beperkt moet worden. Persoonsgegevens alle gebruikers

Voor alle gebruikers zijn de volgende Persoonsgegevens nodig om de applicatie te kunnen laten functioneren:

  • Voornaam, tussenvoegsel en achternaam: De voornaam, het eventuele tussenvoegsel en de achternaam van de gebruiker worden opgeslagen om een herkenbaar account voor de gebruiker aan te maken.
  • Emailadres: Het e-mailadres van de gebruiker. Het e-mailadres wordt gebruikt voor communicatie vanuit de applicatie met de gebruiker en als gebruikersnaam.
  • BIG-registratie: het BIG-registratie nummer van de gebruiker.

Persoonsgegevens van gebruikers met een Portfolio

Voor gebruikers met een eigen Portfolio biedt de applicatie de mogelijkheid om dit Portfolio te vullen met relevante gegevens. Het gaat hierbij bijvoorbeeld om:

  • Beoordelingen: zoals Korte Praktijk Beoordelingen (KPB)
  • Gesprekken: zoals een voortgangsgesprek
  • Bekwaamheidsverklaringen: zoals over vaardigheid
  • Onderwijs: zoals bewijsvoering van een bijgewoond congres

4. Bescherming van de gegevens

Regels voor het vastleggen van Persoonsgegevens zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). De AVG verplicht Reconcept om de Persoonsgegevens die worden verwerkt in de applicatie moeten worden beveiligd tegen verlies en tegen onrechtmatige verwerking.

Bij het Verwerken van Persoonsgegevens houdt Reconcept zich aan de wet. Reconcept verwerkt deze gegevens op een behoorlijke, zorgvuldige en transparante manier, zoals de wet dat voorschrijft. De Persoonsgegevens zijn van de Betrokkene en worden alleen gebruikt voor de eerder beschreven doelen. Als Reconcept de gegevens ruimer wil gebruiken, wordt hiervoor toestemming van de Betrokkene gevraagd en/of zorgen we voor een wettelijke grondslag hiervoor.

Om de Persoonsgegevens te beveiligen heeft Reconcept passende technische en organisatorische maatregelen genomen. De keuze van deze maatregelen is gebaseerd op de beschikbare technologie, de uitvoeringskosten, het type gegevens dat Reconcept verwerkt en de risico’s die daaraan verbonden zijn. Reconcept streeft er naar dat deze maatregelen voldoen aan de eisen in artikel 32 van de AVG. De applicatie heeft bijvoorbeeld een SSL-certificaat en alle medewerkers van Reconcept hebben geheimhoudingsplicht. Daarbij gaat het om medewerkers in de ruimste van het woord; dus ook eventuele stagiair(e)s en freelancers.

5. Meldplicht datalek

Een datalek is een beveiligingsincident waarbij Persoonsgegevens verloren zijn gegaan of waarbij er mogelijk onrechtmatig verwerking van Persoonsgegevens niet kan worden uitgesloten. Hierover gelden de volgende afspraken:

  • Ontdekt Reconcept dat er een datalek is of is geweest? En is er een aanzienlijke kans dat dit datalek nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens die Reconcept verwerkt? Dan laat Reconcept dit onmiddellijk aan jou weten. Dit doet Reconcept uiterlijk binnen 48 uur nadat we het datalek hebben ontdekt.
  • Vervolgens overlegt Reconcept met jou over:
    • de aard van het datalek;
    • het risico dat jij en Reconcept hiermee lopen, hebben gelopen of hadden kunnen lopen;
    • de maatregelen die Reconcept treft of al getroffen heeft om het datalek op te lossen of om de gevolgen of schade zo veel mogelijk te beperken.
  • Na onze melding bepalen we gezamenlijk of we de betreffende datalek moeten melden aan de Autoriteit Persoonsgegevens
  • Als de Autoriteit Persoonsgegevens een onderzoek naar het datalek start, dan laat Reconcept dit meteen aan jou weten en werkt Reconcept mee aan een onderzoek van de Autoriteit Persoonsgegevens.

6. Subverwerkers

Reconcept maakt voor delen van de applicatie gebruik van de diensten van subverwerkers. Dit zijn personen of organisaties die in opdracht van Reconcept Persoonsgegevens uit de applicatie verwerken.

Reconcept maakt goede afspraken met deze subverwerkers over hoe ze met de betreffende gegevens omgaan. Ook spreken we met hen dezelfde beveiligingsmaatregelen af als die we in deze overeenkomst met jou afspreken. Reconcept blijft ten aanzien van de subverwerkers uiteraard verantwoordelijk voor het nakomen van de verplichtingen uit deze overeenkomst.

7. Opslaglocatie van de gegevens

Reconcept host en verwerkt de Persoonsgegevens binnen de Europese Economische Ruimte (EER). Reconcept maakt hiervoor gebruik van Europese servers bij Amazon in Frankfurt.

Enkele van de subverwerkers kunnen gegevens opslaan buiten de EER. Deze subverwerkers zijn aangesloten bij Privacy Shield. Dat betekent dat ze aan beveiligingseisen voldoen, die door de Europese Commissie als adequaat worden beschouwd.

8. Duur van de opslag

De Persoonsgegevens in het Portfolio blijven tot maximaal vijf (5) jaar na het archiveren van het Portfolio opgeslagen en worden hierna automatisch verwijderd. In de tussentijd kan de Eigenaar de data ook eerder verwijderen door deze handeling expliciet uit te voeren.

De Persoonsgegevens die worden ingevoerd in het Portfolio blijven eigendom van de Eigenaar. Dat betekent dat als het ziekenhuis waar de Eigenaar werkzaam is de overeenkomst met Reconcept opzegt, de Eigenaar de Persoonsgegevens in het Portfolio terugkrijgt. De Eigenaar kan dit doen door het Portfolio te exporteren. Let op: dit dient wel voor de beëindiging van de overeenkomst plaats te vinden. Reconcept verwijdert de Persoonsgegevens in het Portfolio namelijk na de beëindiging.

9. Rechten Betrokkenen

De personen op wie de Persoonsgegevens betrekking hebben, bijvoorbeeld de AIOS of stafleden, noemen we de Betrokkenen. Deze Betrokkenen hebben op basis van de AVG een aantal rechten. Reconcept is verplicht om aan die rechten tegemoet te komen. Waar mogelijk ondersteunt Reconcept hierin of kunnen Betrokkenen deze rechten zelf uitoefenen binnen de applicatie. Daarbij gaat het onder meer om de volgende rechten:

  • De Betrokkenen mogen vragen welke Persoonsgegevens Reconcept van hen verwerkt en opslaat. Wij zijn dan verplicht om deze informatie te verstrekken, binnen het kader van de wet.
  • De Betrokkenen mogen vragen om de Persoonsgegevens die Reconcept van hen heeft opgeslagen, te corrigeren of aan te vullen.

10. Verantwoordelijkheden van de Betrokkenen

Als Betrokkene voor de verwerking van Persoonsgegevens, moet je aan een aantal eisen voldoen:

a. Je moet voldoen aan de wettelijke eisen die voor de verwerking van Persoonsgegevens gelden. Dat betekent dat je moet nagaan of je volgens de wet het recht hebt om bepaalde Persoonsgegevens vast te leggen. Dit is niet voor alle Persoonsgegevens toegestaan. Zo mag je bijvoorbeeld niet zomaar patiëntdata of andere gevoelige Persoonsgegevens opslaan.

b. Je moet nagaan of de Persoonsgegevens die je wilt vastleggen, voldoende beschermd worden door de beveiligingsmaatregelen. Wij hebben ons beveiligingsbeleid afgestemd op het soort gegevens dat we beschreven hebben in artikel 3 van deze privacyverklaring. Wil je een ander soort gegevens vastleggen, dan kunnen wij niet garanderen dat onze veiligheidsmaatregelen daarvoor voldoende zijn.

c. Je moet je account zo goed mogelijk beveiligen. Hiervoor is het bijvoorbeeld van belang dat je een goed wachtwoord en pincode kiest en deze ook met regelmaat wijzigt.

Voldoe je niet aan deze eisen en worden wij door anderen aansprakelijk gesteld voor schade die hierdoor ontstaan is? Dan stel je ons schadeloos en vrijwaar je ons voor die aansprakelijkheid. Reconcept is alleen aansprakelijk voor schade die aan Reconcept toegerekend kan worden. In geval van schade dat verband houdt met de beveiliging van Persoonsgegevens is Reconcept hier niet aansprakelijk voor als Reconcept kan bewijzen dat we voldoende technische en organisatorische beveiligingsmaatregelen hebben genomen, zoals omschreven in artikel 4 van deze privacyverklaring.

11. Geschillen & tegenstrijdigheden

In het geval van een geschil doen we ons best om samen met jou tot een oplossing te komen. Lukt dat niet, dan leggen we het geschil voor aan de bevoegde rechter te Groningen of – als op basis van de wet een andere rechter bevoegd is – aan deze bevoegde rechter.

12. Contact

Neem gerust contact met ons op:
Email: support@reconcept.nl

13. Inwerkingtreding

Deze privacyverklaring is in werking getreden op 1 april 2019.