Privacy policy
1. DOEL VAN GEGEVENSBESCHERMING & INFORMATIEVEILIGHEID
Met behulp van dit beleid zal Oncomfort op een strategisch niveau definiëren hoe gegevens worden beschermd, welke verantwoordelijkheden aan wie worden toegewezen en welke prioriteiten inzake gegevensbescherming Oncomfort vooropstelt.
Wat persoonsgegevens betreft, speelt Oncomfort op drie verschillende niveaus een rol:
- Als werkgever van verschillende werknemers, optredend als verwerkingsverantwoordelijke
- Als ontwikkelaar en verdeler, optredend als verwerker
- Als dienstverlener, optredend als verwerker
Oncomfort wenst alle persoonsgegevens met betrekking tot deze drie verschillende niveaus waarop het actief is te beschermen.
Oncomfort wil in het bijzonder de gegevens van interne/externe werknemers, cliënten en de persoonsgegevens betreffende patiënten die deze cliënten of anderen ter beschikking stellen van Oncomfort beschermen tegen:
- Verlies: de gegevens zijn niet langer beschikbaar
- Inbreuken: de gegevens zijn in verkeerde handen gevallen
- Fouten: de gegevens zijn incorrect (bv. verouderd of onvolledig)
- Ontoegankelijkheid: de gegevens zijn niet toegankelijk wanneer ze behandeld moeten worden
- Ongeoorloofde toegang: de gegevens werden geraadpleegd door iemand die hiertoe niet gemachtigd is
- Onmogelijkheid na te gaan wie de gegevens heeft geraadpleegd, gewijzigd of gewist
- Processen die niet in overeenstemming zijn met bepaalde regelgevingen, richtlijnen en industrienormen
Dit beleid is gericht op de bescherming van de privacy en in het bijzonder van persoonsgegevens. Dit beleid geldt als maatstaf voor de verwerking van persoonsgegevens binnen Oncomfort. Het is een richtlijn voor alle processen en vormt een referentiestandaard voor audits en controles. Dit document biedt elke belanghebbende inzicht in het beleid en hoe met persoonsgegevens moet worden omgegaan.
Dit beleid is ook bestemd voor iedereen die wegens zijn/haar specifieke functie binnen Oncomfort gegevens verwerkt die beheerd worden door professionele zorgverleners. Ze gebruiken (delen van) dit beleid voor het uitwerken van procedures en richtlijnen voor werknemers en derden en ter ondersteuning van hun cliënten.
2. REIKWIJDTE VAN HET GEGEVENSBESCHERMINGSBELEID
2.1 Materiële reikwijdte
Dit gegevensbeschermingsbeleid is van toepassing op de volledige levenscyclus van informatie binnen Oncomfort, vanaf het verkrijgen van de informatie tot haar uiteindelijke verwijdering binnen de organisatie.
Dit beleid is van toepassing op:
- Oncomfort;
- alle werknemers van Oncomfort, zowel intern als extern (onderaannemers);
- alle bedrijfsmiddelen en informatieverwerkingssystemen die door Oncomfort worden beheerd, evenals systemen die worden beheerd door derden die optreden als onderaannemers zoals databases, applicaties, datacenters enz.;
- alle verwerkingsactiviteiten, als verwerkingsverantwoordelijke en als verwerker.
Dit omvat persoonsgegevens van interne/externe werknemers en cliënten, maar ook persoonsgegevens van patiënten die Oncomfort van zijn cliënten ontvangt. Elk proces waarin binnen Oncomfort persoonsgegevens worden verwerkt, valt onder het toepassingsgebied van dit privacybeleid.
Voor bepaalde domeinen of processen (bv. informatieoverdracht, gegevensinbreuken, incidentmanagement of wachtwoorden) binnen Oncomfort worden mogelijk bijkomende beleidsregels, procedures of richtlijnen toegepast wanneer dit nodig is voor de behandeling van specifieke verwerkingsactiviteiten of -domeinen.
2.2 Functionele reikwijdte
Dit gegevensbeschermingsbeleid is van toepassing op alle soorten verwerking, ongeacht haar specifieke doel. Gezien zijn hoofdactiviteit is Oncomfort actief op drie verschillende niveaus:
- Als werkgever, optredend als verwerkingsverantwoordelijke;
- Als ontwikkelaar en verdeler van medische apparatuur, optredend als verwerkingsverantwoordelijke;
- Als dienstverlener, optredend als verwerker.
Oncomfort stelt verschillende werknemers tewerk en verwerkt als werkgever ongetwijfeld persoonsgegevens van zijn verschillende werknemers.
Ontwikkelaar en distributeur van medische apparatuur
De hoofdactiviteit van Oncomfort is het ontwikkelen en distribueren van medische apparatuur. Veel professionele zorgverleners vertrouwen tijdens hun dagelijkse activiteiten op apparaten van Oncomfort. In deze context treedt Oncomfort op als verwerkingsverantwoordelijke. Dit beleid is van toepassing op alle persoonsgegevens, dus zowel van de zorgverlener als van zijn/haar patiënten.
Nadat een applicatie of dienst aan een professionele zorgverlener is geleverd, biedt Oncomfort ondersteuning op basis van een ondersteuningscontract. Het is bijgevolg mogelijk dat bepaalde gegevens door de professionele zorgverlener aan Oncomfort worden bezorgd. Dit gegevensbeschermingsbeleid blijft van toepassing op alle persoonsgegevens die Oncomfort ontvangt. In sommige gevallen hebben werknemers van Oncomfort toegang tot lokale informatieverwerkingsomgevingen van cliënten om diensten te kunnen leveren.
2.3 Geografische reikwijdte
Dit gegevensbeschermingsbeleid is van toepassing op elke verwerking van persoonsgegevens door Oncomfort zelf of door entiteiten die door Oncomfort zijn aangesteld, ongeacht de plaats van de verwerking. Als de gegevens buiten de Europese Economische Ruimte worden verwerkt, is dit beleid eveneens van toepassing. Oncomfort neemt gepaste maatregelen om de naleving van dit beleid te monitoren en waarborgen.
3. DOELSTELLINGEN VAN HET BELEID
De Algemene Verordening Gegevensbescherming voorziet een kader van rechten en plichten met het oog op de bescherming van persoonsgegevens. De verordening zorgt voor een evenwicht tussen de rechtmatige behoeften van organisaties om persoonsgegevens voor bedrijfsdoeleinden te verzamelen en te gebruiken, en de rechten van individuen om de controle over hun persoonsgegevens te behouden. Oncomfort leeft als verwerkingsverantwoordelijke en als verwerker (waar van toepassing) de volgende principes voor gegevensbescherming na:
- Oncomfort biedt de betrokkenen, cliënten en verschillende toezichthoudende autoriteiten de nodige transparantie wat betreft de persoonsgegevens die worden verwerkt en het doeleinde van de verwerking. De communicatie verloopt op een beknopte, transparante, verstaanbare en goed toegankelijke manier, waarbij een duidelijke taal wordt gehanteerd. Het transparantieprincipe wordt door Oncomfort op alle niveaus toegepast.
- De persoonsgegevens worden op een wettige manier verwerkt, wat betekent dat elke verwerking een overeenkomstige rechtmatige basis heeft.
- Oncomfort verwerkt persoonsgegevens uitsluitend voor specifieke, expliciete en rechtmatige doeleinden. Verdere verwerking is alleen toegestaan wanneer het doeleinde van die verwerking verenigbaar is met de initiële doeleinden.
- Met name waar Oncomfort optreedt als verwerker, moet de verwerking adequaat zijn, relevant zijn en beperkt blijven tot het noodzakelijke wat betreft de doeleinden waarvoor de gegevens worden verwerkt. Oncomfort garandeert dat de persoonsgegevens niet langer bewaard blijven dan strikt noodzakelijk is.
- Wat de rol van Oncomfort als verwerkingsverantwoordelijke betreft, moeten persoonsgegevens accuraat zijn en, waar nodig, up-to-date gehouden worden.
- Persoonsgegevens mogen in een vorm die de identificatie van betrokkenen mogelijk maakt niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt.
- Oncomfort neemt gepaste technische en organisatorische maatregelen om de integriteit van de persoonsgegevens gedurende de volledige verwerkingscyclus te waarborgen. Deze maatregelen vermijden ongeoorloofde of onrechtmatige verwerking van persoonsgegevens en onopzettelijk verlies of onopzettelijke vernietiging of beschadiging van persoonsgegevens. Deze maatregelen zijn van kracht tijdens de volledige levensduur van de gegevens.
- Deze maatregelen verkleinen de kans op een inbreuk in verband met persoonsgegevens. Mocht een inbreuk in verband met persoonsgegevens zich onverhoopt toch voordoen, wordt dit intern gedocumenteerd en gerapporteerd overeenkomstig de relevante wetgeving en aanbevelingen. Deze maatregelen zijn van kracht gedurende de volledige verwerkingscyclus.
- Oncomfort neemt de nodige maatregelen om tijdig de verzoeken van betrokkenen met betrekking tot hun rechten te kunnen beantwoorden. Deze rechten omvatten, maar zijn niet beperkt tot, het recht van inzage, recht op rectificatie en recht op overdraagbaarheid van gegevens.
- Oncomfort verwerkt persoonsgegevens voornamelijk binnen de Europese Economische Ruimte. Als bepaalde persoonsgegevens doorgegeven worden aan derde landen, neemt Oncomfort de nodige maatregelen om te garanderen dat deze landen afdoende bescherming bieden aangaande de rechten en vrijheden van betrokkenen met betrekking tot de verwerking van persoonsgegevens. Oncomfort zal eventuele gedragscodes binnen hun sector monitoren en zal deze codes afdwingen.
- Oncomfort neemt gepaste technische en organisatorische maatregelen om standaard gegevensbescherming te waarborgen. Alleen persoonsgegevens die voor elk specifiek doeleinde van de verwerking noodzakelijk zijn, worden verwerkt. Overdadige verwerking is niet toegestaan. Deze verplichting is van toepassing op de hoeveelheid persoonsgegevens die verzameld wordt, de omvang van hun verwerking, hoe lang de gegevens bewaard blijven en in welke mate ze toegankelijk zijn.
- Oncomfort neemt, ongeacht de concrete verwerking, gepaste technische en organisatorische maatregelen om gegevensbescherming door ontwerp af te dwingen. Oncomfort treft intern de nodige maatregelen om ervoor te zorgen dat vanaf het begin van het proces rekening gehouden wordt met privacy en gegevensbescherming, en dat dit gedurende de volledige levensduur van de systeem- of procesontwikkeling belangrijk blijft.
- Oncomfort is verantwoordelijk voor de handhaving van voornoemde principes en kan de naleving van het verantwoordingsbeginsel aantonen. Deze naleving wordt gegarandeerd door het uitvoeren van interne audits.
4. ORGANISATIE VAN DE INFORMATIEBEVEILIGING
4.1 Betrokken actoren
Bevoegdheid
Als verwerkingsverantwoordelijke ligt de bevoegdheid voor dit beleid bij de raad van bestuur van Oncomfort. De raad van bestuur is verantwoordelijk voor het formuleren, bepalen en toezien op de naleving van de beleidsprincipes van Oncomfort.
Verantwoordelijk voor de uitvoering
De raad van bestuur treedt op als een formeel besluitvormingsplatform voor de gegevensbescherming. De raad van bestuur heeft het recht om beslissingen te nemen aangaande de volgende aspecten:
- Risicoanalyse en de bijbehorende methodiek;
- Ontwikkeling van het gegevensbeschermingsbeleid en de bijbehorende richtlijnen;
- Implementatie van beveiligingsmaatregelen (bv. de inhoud van het veiligheidsplan);
- Structurele reactie op kwesties aangaande gegevensbescherming en advies (binnen 3 maanden).
De raad van bestuur betrekt zijn belangrijkste werknemers bij het opstellen van de beleidsregels voor gegevensbescherming en werkt met hen samen om de toepassing ervan binnen de organisatie waar te maken.
Functionaris voor gegevensbescherming
De follow-up van dit gegevensbeschermingsbeleid is de verantwoordelijkheid van de functionaris voor gegevensbescherming, die zijn taken uitvoert overeenkomstig de bepalingen van de Algemene Verordening Gegevensbescherming (AVG). Oncomfort meldt zijn identiteit (en eventuele wijzigingen) aan de Gegevensbeschermingsautoriteit. De functionaris voor gegevensbescherming brengt verslag uit aan de raad van bestuur van Oncomfort NV.
De werknemer
Iedereen (gecontracteerde werknemer of gecontracteerde zelfstandige) die gegevens verwerkt (bv. raadplegen, registreren, aanpassen …) moet dit doen overeenkomstig de richtlijnen van dit gegevensbeschermingsbeleid. De werknemer verwerkt gegevens op een discrete manier en moet:
- verantwoordelijk omgaan met de gegevens van cliënten en patiënten die hij of zij verwerkt;
- de veiligheidsrichtlijnen naleven tijdens de verwerking;
- ervoor zorgen dat uitsluitend gegevens die verband houden met zijn/haar taak worden verwerkt;
- de gegevens met de nodige voorzichtigheid behandelen;
- inbreuken melden;
In navolging van artikel 458 van het Belgisch Strafwetboek en artikel 17 van de Belgische wet betreffende de arbeidsovereenkomsten dient de werknemer het beroepsgeheim te respecteren.
Derde partijen
Derde partijen hebben dezelfde verantwoordelijkheden als een geprivilegieerde gebruiker. Voor hen gelden daarnaast ook de volgende verantwoordelijkheden:
- Aangeven van de veiligheidsrisico's van geleverde applicaties;
- De leverancier op de hoogte brengen van resterende beveiligingstaken;
- Streven naar een transparant gegevensbeschermingsbeleid voor de leverancier door te communiceren over het eigen actuele veiligheidsniveau en de behandeling van veiligheidsincidenten.
4.2 Functionaris voor gegevensbescherming
4.2.1 Aanstelling van de functionaris voor gegevensbescherming
De rol van functionaris voor gegevensbescherming werd geïntroduceerd in de Algemene Verordening Gegevensbescherming. Aangezien Oncomfort medische apparatuur binnen verschillende domeinen van de gezondheidsindustrie ontwikkelt en distribueert, maakt de verwerking van grote hoeveelheden persoonsgegevens inzake gezondheid deel uit van de kernactiviteiten van het bedrijf. Daarom is Oncomfort verplicht een functionaris voor gegevensbescherming aan te stellen.
De rechtsgrondslag van de functionaris voor gegevensbescherming is vastgelegd in artikel 37 en volgende van de Algemene Verordening Gegevensbescherming.
De functionaris voor gegevensbescherming wordt aangesteld op grond van zijn/haar professionele kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. De Artikel 29-werkgroep (Working Party 29, WP29) introduceerde relevante vaardigheden en expertise voor de functionaris voor gegevensbescherming:
- Ervaring met zowel nationale als Europese wetgeving en praktijken met betrekking tot gegevensbescherming;
- Grondige kennis en diepgaand begrip van de Algemene Verordening Gegevensbescherming;
- Kennis over Oncomfort en de gezondheidssector in het algemeen;
- Soft skills zoals integriteit, diplomatie en beroepsethiek;
- Voldoende inzicht in informatiebeveiliging.
Oncomfort maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt ze mee aan de toezichthoudende autoriteit. De functionaris voor gegevensbescherming zorgt ervoor dat hij of zij goed bereikbaar is. Toekomstige wijzigingen worden altijd gemeld.
4.2.2 Positie van de functionaris voor gegevensbescherming
Oncomfort zorgt ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
Oncomfort ondersteunt de functionaris voor gegevensbescherming bij de vervulling van zijn/haar taken door hem/haar de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken, hem/haar toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten, en zijn/haar deskundigheid in stand te houden.
Het is van cruciaal belang dat de functionaris voor gegevensbescherming te allen tijde onafhankelijk blijft. Oncomfort moet er dus voor zorgen dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van zijn/haar taken. Hij/zij wordt nooit ontslagen of gestraft voor de uitvoering van zijn taken. Hij/zij brengt rechtstreeks verslag uit aan het hoogste directieniveau van Oncomfort.
De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn/haar taken tot geheimhouding of vertrouwelijkheid gehouden.
4.2.3 Taken van de functionaris voor gegevensbescherming
De taken van de functionaris voor gegevensbescherming kunnen onderverdeeld worden in drie verschillende groepen, overeenkomstig de drie verschillende functionele niveaus waarbinnen Oncomfort handelt.
A. Oncomfort als verwerkingsverantwoordelijke
Wanneer Oncomfort optreedt als verwerkingsverantwoordelijke, heeft de functionaris voor gegevensbescherming de volgende taken:
- Oncomfort en zijn werknemers informatie en advies verstrekken met betrekking tot gegevensbescherming;
- Toezien op de naleving van zowel de eigenlijke wetgeving als het beleid van Oncomfort, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- Desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan;
- Samenwerken met de toezichthoudende autoriteit (in België de Gegevensbeschermingsautoriteit) en indien van toepassing eventuele andere nationale gegevensbeschermingsautoriteiten;
- Optreden als contactpunt voor de toezichthoudende autoriteit inzake met de verwerking verband houdende aangelegenheden.
B. Oncomfort als softwareontwikkelaar
Wanneer Oncomfort optreedt als ontwikkelaar en distributeur, heeft de functionaris voor gegevensbescherming de volgende taken:
- De apparaatontwikkelaars helpen met de praktische gevolgen van gegevensbescherming door ontwerp en standaard gegevensbescherming;
- De apparaatontwikkelaars helpen met de implementatie van geschikte technische en organisatorische maatregelen om een bepaald beveiligingsniveau te garanderen.
C. Oncomfort als dienstverlener
Wanneer Oncomfort optreedt als dienstverlener, heeft de functionaris voor gegevensbescherming de volgende taken:
- De verwerkingsverantwoordelijke op de hoogte brengen na het vaststellen van een inbreuk in verband met persoonsgegevens. Hij/zij helpt de verwerkingsverantwoordelijke zoveel mogelijk met de volgende taken:
- Omschrijven van de aard van de inbreuk in verband met persoonsgegevens;
- Omschrijven van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- Voorstellen van tegenmaatregelen om de gevolgen te verzachten;
- Helpen met het documenteren van eventuele inbreuken in verband met persoonsgegevens;
- Desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordelingen en toezien op de uitvoering daarvan.
In het algemeen heeft de functionaris voor gegevensbescherming een documenterende, stimulerende, adviserende en controlerende rol binnen Oncomfort.
4.3 Raad van bestuur
De raad van bestuur is het beslissende orgaan wat gegevensbescherming betreft. De functionaris voor gegevensbescherming brengt maandelijks verslag uit aan de raad van bestuur.
De raad van bestuur neemt beslissingen met betrekking tot alle verantwoordelijkheden die de organisatie van gegevensbescherming met zich meebrengt:
- Aanpassen van het gegevensbeschermingsbeleid;
- Aanstellen van een functionaris voor gegevensbescherming;
- Toezien op de onafhankelijkheid van de functionaris voor gegevensbescherming;
- Toezien op de bedrijfsprocessen met betrekking tot gegevensbescherming die in dit beleid omschreven worden;
- Formuleren van vragen om advies aan de functionaris voor gegevensbescherming;
- Aanpassen van het beleid en de implementatie ervan op basis van het advies van de functionaris voor gegevensbescherming;
- De beslissingen in verband met het beheer van risico's tijdens de verwerking van persoonsgegevens. De tijdsbesteding van de werknemer maakt deel uit van dit risicobeheer.
- De goedkeuring van de classificatieschema's die bijvoorbeeld bepalen wanneer er een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd, en de classificatieschema's voor het melden van inbreuken;
- Ontwerpen en up-to-date houden van de bedrijfsprocessen die in dit beleid omschreven worden;
- Toewijzen van de verantwoordelijkheden voor het uitvoeren van bedrijfsprocessen;
- Beslissingen met betrekking tot alle overwegingen in het kader van Verordening 2016/679, met inbegrip van deze die gebaseerd zijn op rechtmatige belangen en deze die betrekking hebben op kinderen, evenals beslissingen met betrekking tot de compatibiliteit van de doeleinden van verdere verwerking van persoonsgegevens;
- Opstellen van de nodige documenten voor alle (voorstellen voor) beslissingen;
- Formaliseren van de beslissingen van de raad van bestuur;
- Uitvoeren van sancties voor inbreuken;
- Rapporteren van het gegevensbeschermingsbeleid en de beleidsregels die eraan ten grondslag liggen;
- Aanbevelingen doen aangaande gegevensbescherming door ontwerp en standaard gegevensbescherming;
- Bepalen van het inkoopbeleid met betrekking tot verwerkers.
5. INTERACTIE TUSSEN GEGEVENSBESCHERMING EN INFORMATIEBEVEILIGING
5.1 Gegevensbescherming vs. informatiebeveiliging
Gegevensbescherming is het beschermen van persoonsgegevens van een betrokkene. Persoonsgegevens zijn alle mogelijke informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan iemands naam of rijksregisternummer zijn, maar ook informatie aangaande gezondheid of religieuze overtuigingen. Daarnaast is gegevensbescherming gericht op rechtmatigheid, doeleinde, beperking van verzameling, minimalisering van gegevens, toegang en aansprakelijkheid, maar ook op informatiebeveiliging als geheel.
Informatiebeveiliging kan daarentegen gedefinieerd worden als het beschermen van informatie en informatiesystemen tegen verboden toegang, gebruik, vrijgave, verstoring, aanpassing of vernietiging met als doel het garanderen van vertrouwelijkheid, integriteit en beschikbaarheid. Het verwijst naar de technische en operationele maatregelen die een organisatie moet nemen om ervoor te zorgen dat de gegevens waarover zij beschikt veilig zijn, en is niet beperkt tot persoonsgegevens.
5.2 Zelfde doeleinde
Hoewel de scope van gegevensbescherming en de scope van informatiebeveiliging elkaar soms overlappen en in het algemeen hetzelfde doeleinde nastreven, zijn deze termen niet met elkaar verweven en is er een significant verschil. Om aan de verplichtingen van de Algemene verordening gegevensbescherming en dit gegevensbeschermingsbeleid te kunnen voldoen, moeten zowel de vereisten aangaande gegevensbescherming als die inzake informatiebeveiliging tegelijk geïmplementeerd worden.