1. Beginselen inzake gegevensbescherming
Dedalus Healthcare Limited zet zich in om gegevens te verwerken in overeenstemming met zijn verantwoordelijkheden krachtens de AVG.
Artikel 5 van de AVG vereist dat persoonsgegevens:
a. op rechtmatige, eerlijk en transparante wijze worden verwerkt in relatie tot individuen;
b. worden verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder verwerkt op een manier die onverenigbaar is met die doeleinden; verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden worden niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd;
c. adequaat moeten zijn en ter zake dienend en beperkt tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt;
d. nauwkeurig moeten zijn en waar nodig up to date worden gehouden; alle redelijke maatregelen moeten worden getroffen om ervoor te zorgen dat persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor ze worden verwerkt, onverwijld worden gewist of gecorrigeerd;
e. bewaard worden in een vorm die identificatie van betrokkenen mogelijk maakt voor een periode die niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
f. persoonsgegevens kunnen voor langere perioden worden opgeslagen, voor zover de persoonsgegevens uitsluitend worden verwerkt voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden, ondergeschikt aan de implementatie van de passende technische en organisatorische maatregelen vereist door de AVG om de rechten en vrijheden van individuen te beschermen; en verwerkt op een manier die een passende beveiliging van de persoonsgegevens waarborgt, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen.”
2.Algemene bepalingen
a. Dit beleid is van toepassing op alle persoonsgegevens die door Dedalus Healthcare Limited worden verwerkt.
b. De verantwoordelijke persoon neemt de verantwoordelijkheid voor de voortdurende naleving van dit beleid door het bedrijf.
c. Dit beleid moet ten minste eens per jaar worden gecontroleerd.
d. Het bedrijf moet zich bij het kantoor van de Information Commissioner's Office (ICO) registreren als een organisatie die persoonsgegevens verwerkt.
3. Rechtmatige, eerlijke en transparante verwerking
a. Om ervoor te zorgen dat de verwerking van gegevens rechtmatig, eerlijk en transparant is, moet het bedrijf een systeemregister bijhouden.
b. Het systeemregister moet ten minste eens per jaar worden gecontroleerd.
c. Individuen hebben recht op toegang tot hun persoonlijke gegevens en dergelijke verzoeken aan het bedrijf moeten tijdig worden behandeld.
4. Wettelijke doeleinden
a. Het verwerken van gegevens door het bedrijf moet altijd gebeuren op één van de volgende rechtsgronden: toestemming, contract, wettelijke verplichting, vitale belangen, openbare taak of legitieme belangen (zie ICO-richtlijnen voor meer informatie).
b. Het bedrijf dient de toepasselijke wettelijke basis in het systeemregister te noteren.
c. Wanneer toestemming wordt gebruikt als wettelijke basis voor gegevensverwerking, wordt het bewijs van opt-in-toestemming bij de persoonlijke gegevens bewaard.
d. Wanneer communicaties naar personen worden gezonden op basis van hun toestemming, moet de mogelijkheid voor het individu om deze toestemming in te trekken duidelijk beschikbaar zijn en moeten er systemen zijn om ervoor te zorgen dat een dergelijke intrekking nauwkeurig wordt weergegeven in de systemen van het bedrijf.
5. Gegevensminimalisatie
a. Het bedrijf moet ervoor zorgen dat persoonsgegevens adequaat en relevant zijn en beperkt worden tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt.
6. Nauwkeurigheid
a. Het bedrijf moet redelijke stappen ondernemen om ervoor te zorgen dat de persoonsgegevens nauwkeurig zijn.
b. Waar dit nodig is voor de wettelijke basis waarop gegevens worden verwerkt, dienen maatregelen te worden getroffen om te zorgen dat persoonsgegevens up to date worden gehouden.
7. Archiveren / verwijderen
a. Om ervoor te zorgen dat persoonlijke gegevens niet langer worden bewaard dan nodig is, moet het bedrijf een archiveringsbeleid invoeren voor elk gebied waarin persoonlijke gegevens worden verwerkt en dit proces jaarlijks controleren.
b. Het archiveringsbeleid moet aangeven welke gegevens zouden moeten/moeten worden bewaard, voor hoe lang en waarom.
8. Beveiliging
a.Het bedrijf moet ervoor zorgen dat persoonsgegevens op veilige wijze worden bewaard, met behulp van moderne software die up to date wordt gehouden.
b. Toegang tot persoonsgegevens is beperkt tot personeel dat toegang nodig heeft en er moet passende beveiliging zijn om het ongeoorloofd delen van informatie te voorkomen.
c. Wanneer persoonsgegevens worden verwijderd, dient dit op een veilige manier te gebeuren, zodat de gegevens niet meer kunnen worden teruggehaald.
d. Er moeten geschikte oplossingen voor back-up en noodherstel zijn.
9. Inbreuk
In geval van inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens, dient het bedrijf het risico voor de rechten en vrijheden van personen onmiddellijk te beoordelen en indien van toepassing deze inbreuk te melden aan de ICO (meer informatie op de ICO-website).
