Voor het uitvoeren van onze wettelijke taken moeten wij gegevens verzamelen en uitwisselen. Het CIBG, beheerder van het UZI-register, heeft privacy en de bescherming van persoonsgegevens hierbij hoog in het vaandel staan. Wij verwerken persoonsgegevens op een rechtmatige, behoorlijke en transparante manier. Wij houden ons daarbij aan de wet- en regelgeving.
In deze privacyverklaring leest u hoe wij omgaan met persoonsgegevens.
U vindt hier de volgende onderdelen:
- Contactgegevens van het CIBG en van de Functionaris gegevensbescherming
- Waarom verwerkt het CIBG uw persoonsgegevens en wat is daarvoor de grondslag?
- Uw rechten
- Worden uw persoonsgegevens gedeeld en zo ja, met wie?
- Hoe gaan wij met uw persoonsgegevens om en hoelang bewaren wij deze?
- Welke (categorieën van) persoonsgegevens verwerken wij?
- Wie of wat is de bron van deze persoonsgegevens?
- Of u verplicht bent persoonsgegevens met ons te delen
- De visie van VWS
Waarom verwerkt het CIBG uw persoonsgegevens?
Voor het UZI-register verwerkt het CIBG persoonsgegevens op basis van de volgende wet- en regelgeving:
- Wet aanvullende bepalingen van persoonsgegevens in de zorg;
- Wet kwaliteit, klachten en geschillen in de zorg;
- Besluit gebruik burgerservicenummer in de zorg;
- Regeling gebruik burgerservicenummer in de zorg;
- Europese verordening elektronische identificatie- en vertrouwensdiensten (eIDAS);
- Programma van eisen PKI-overheid;
- Certification Practice Statement (CPS).
Wij verwerken uw persoonsgegevens in het kader van het UZI-register met als doel de uitvoering van onze wettelijke taak. Daarnaast gebruiken wij uw contactgegevens, zoals een e-mailadres, om u te informeren over relevante zaken rondom uw registratie en uitgegeven UZI-middelen.
Het CIBG verwerkt de volgende (categorieën van) persoonsgegevens:
- NAW (naam, adres, woonplaats) gegevens;
- Identiteitsgegevens;
- Geslacht;
- Kopie ID (identiteits)-bewijs;
- BIG-nummer;
- BSN (burgerservicenummer);
- Kamer van koophandel nummer;
- Diploma;
- Registratienummer kwaliteitsregister(s).
Het CIBG komt op de volgende manieren aan uw persoonsgegevens:
- U levert zelf gegevens aan wanneer u bijvoorbeeld een aanvraag indient bij het UZI-register;
- Wij ontvangen gegevens uit het Handelsregister van de Kamer van Koophandel (openbare bron);
- Wij ontvangen gegevens uit het BIG-register (openbare bron);
- Wij ontvangen gegevens uit de Basisregistratie Personen (BRP).
Het verstrekken en verwerken van de persoonsgegevens is een voorwaarde om onze wettelijke taak uit te voeren en om u te informeren over relevante zaken rondom uw registratie en uitgegeven UZI-middelen Indien u deze gegevens niet verstrekt, heeft dit als gevolg dat wij uw aanvraag tot registratie in het UZI-register niet in behandeling kunnen nemen.
Geautomatiseerde besluitvorming en profilering
Bij de beoordeling van uw aanvraag voor UZI-middelen via de digitale aanvraagfaciliteit maken wij gebruik van geautomatiseerde besluitvorming. De aanvragen voor UZI-middelen worden geautomatiseerd beoordeeld en afgehandeld op basis van de vereisten die wij op voorhand aan de goedkeuring van een aanvraag hebben gesteld. Bij het beoordelen van de aanvragen voor UZI-middelen wordt géén gebruik gemaakt van een algoritme.
Om te controleren of de geautomatiseerde besluitvorming nog naar behoren werkt, selecteren wij een deel van de aanvragen door middel van een steekproef voor een aanvullende controle. Een medewerker beoordeelt in dat geval nogmaals of een aanvraag overeenkomstig de daaraan gestelde vereisten goedgekeurd had mogen worden. Wanneer uw aanvraag is geselecteerd voor een aanvullende controle, heeft dit ten gevolg dat uw aanvraag mogelijk enkele dagen langer in behandeling is.
Bij (voorgenomen) negatieve besluiten wordt nooit gebruik gemaakt van geautomatiseerde besluitvorming. Voor het UZI-register wordt ook geen gebruik gemaakt van profilering.
Worden uw persoonsgegevens gedeeld?
In een aantal gevallen is het CIBG bevoegd en soms zelfs verplicht om aan andere (overheids)organisaties gegevens en inlichtingen te verstrekken. Het kan voorkomen dat CIBG persoonsgegevens doorgeeft aan:
- KPN B.V. (productie van de certificaten);
- Multipost (fabrikant van passen);
- Cannock (facturering van het servercertificaat);
- AMP Groep (identiteitsvaststelling).
Deze organisaties verwerken uw gegevens in opdracht van ons. Om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens hebben wij met deze organisaties een verwerkersovereenkomst afgesloten. Uw gegevens worden nooit verkocht aan derden.
Hoe gaan wij met uw persoonsgegevens om?
Het CIBG hanteert een aantal uitgangspunten bij de verwerking van persoonsgegevens en neemt maatregelen voor een betrouwbare, behoorlijke en zorgvuldige omgang met persoonsgegevens.
Uitgangspunten
Voor een wettelijke reden en voor een doel
Het CIBG verwerkt persoonsgegevens wanneer er een wettelijke reden is om ze te mogen verwerken of op basis van toestemming. Daarbij zorgen we ervoor dat persoonsgegevens alleen verwerkt worden voor het specifieke doel waarvoor ze verzameld zijn.
Met zo min mogelijk gegevens
Het CIBG verwerkt niet méér persoonsgegevens dan noodzakelijk is. Als het kan, verwerken we minder of geen persoonsgegevens.
Inbreuk op privacy zo klein mogelijk
Het CIBG zorgt dat de inbreuk op de privacy niet te zwaar is voor het doel waarvoor de gegevens worden verzameld. Wanneer mogelijk kiezen we daarbij voor verwerking van persoonsgegevens die de minste inbreuk op de privacy veroorzaken.
Bewaren alleen zolang het nodig is
Bij het CIBG bewaren we uw persoonsgegevens:
- niet langer dan wettelijk is toegestaan;
- of op grond van de archiefwet is vereist;
- of zolang als het nodig is voor het doel waarvoor ze verzameld zijn.
Voor gegevens die in het kader van het UZI-register zijn verwerkt, hanteren wij de volgende bewaartermijnen:
- 7 jaar na verval (laatste) product en/of doorhaling abonneeregistratie
- 1 jaar bij een afwijzing van uw aanvraag;
- 2 jaar bij een niet in behandeling genomen aanvraag;
- 24 maanden voor logbestanden.
Maatregelen
Het CIBG neemt maatregelen voor een betrouwbare, behoorlijke en zorgvuldige omgang met persoonsgegevens:
- Persoonsgegevens worden vertrouwelijk behandeld. Dat wil zeggen dat het CIBG zorgt dat alleen personen met de juiste bevoegdheden én een geheimhoudingsplicht uw gegevens kunnen verwerken;
- Persoonsgegevens zijn passend beveiligd. We volgen daarbij minimaal de voorschriften en standaarden van de Rijksoverheid voor informatiebeveiliging;
- Het CIBG maakt afspraken over maatregelen met externe partijen als softwareleveranciers en datacenters en controleert of externe partijen deze afspraken nakomen.
Uw rechten
Onder de AVG heeft u een aantal rechten. Bekijk meer informatie over welke rechten u heeft.
Verzoek indienen
Als u uw rechten onder de AVG wilt uitoefenen, kunt u via het formulier AVG-verzoek een verzoek indienen. Het CIBG behandelt uw verzoek binnen 4 weken.
Wij vragen afhankelijk van uw verzoek mogelijk om extra gegevens om uw identiteit te controleren (door bijvoorbeeld controlevragen te stellen of een ID-bewijs te vragen).
Als wij u om een ID-bewijs vragen, zorg dan dat uw BSN-nummer is doorgestreept. Lees op Rijksoverheid.nl hoe u via de KopieID-app veilig een kopie van uw ID kunt maken. Het kopie van uw ID wordt na afhandeling van uw verzoek vernietigd en verwijderd.
Het recht op vergetelheid
Het verwerken van persoonsgegevens door het CIBG kent een wettelijke basis. Hieruit volgt ook een bewaarplicht van de gegevens. Binnen de bewaartermijn mogen we deze gegevens niet verwijderen. Het recht op vergetelheid is daarom, binnen die termijn, niet van toepassing.
U heeft uiteraard wel altijd de mogelijkheid uw aanvraag, toelating, vergunning, ontheffing of registratie in te trekken.
Contactgegevens CIBG
Het CIBG is verwerkingsverantwoordelijke wanneer zij persoonsgegevens van u verwerkt in het kader van het UZI-register.
Neem contact op met het CIBG.
Functionaris voor Gegevensbescherming
Het CIBG is onderdeel van het ministerie van VWS. Het ministerie van VWS heeft een Functionaris voor Gegevensbescherming (FG) aangesteld. De FG is onafhankelijk en controleert of het ministerie en de uitvoeringorganisaties de regels van de Algemene Verordening Gegevensbescherming (AVG) toepassen en naleven. De Autoriteit Persoonsgegevens houdt toezicht op de toepassing van privacywetgeving.
Vragen aan de FG kunt u digitaal of op papier stellen via:
FG-VWS@minvws.nl of via:
Ministerie van Volksgezondheid, Welzijn en Sport
Directie Bestuurlijke en Politieke Zaken
Postbus 20350
2500 EJ Den Haag
Autoriteit Persoonsgegevens
U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens over de verwerking van uw persoonsgegevens. Ook kunt u een vraag stellen aan de Autoriteit Persoonsgegevens.
Wat zijn persoonsgegevens?
Een persoonsgegeven is informatie die direct over iemand gaat of informatie die naar deze persoon te herleiden is. Voorbeelden van persoonsgegevens zijn een woonadres, telefoonnummer en e-mailadres.
Bijzondere persoonsgegevens
Sommige persoonsgegevens zijn extra gevoelig, omdat de verwerking ervan veel impact kan hebben op iemands leven. Gegevens die iets zeggen over iemands ras, godsdienst of gezondheid zijn voorbeelden van bijzondere persoonsgegevens. Deze gegevens zijn extra beschermd door de wet. Persoonsgegevens van kinderen en strafrechtelijke gegevens zijn altijd gevoelig en krijgen daarom altijd extra bescherming.
Meer informatie over persoonsgegevens vindt u op de website van de Autoriteit Persoonsgegevens.
Missie van het ministerie van Volksgezondheid, Welzijn en Sport
Nederland gezond en wel. Dat is het motto van ons ministerie. Zorg voor ouderen en jongeren en voor hen met een lichamelijke of verstandelijke handicap. En bij de zorg voor mensen hoort ook de zorg voor hun gegevens. Gegevens die zij zelf of via professionals uit het veld met ons delen; vrijwillig, op basis van een wettelijke verplichting of omdat het - bijvoorbeeld in de vorm van wetenschappelijk onderzoek of door het bijhouden van registers - in het belang is van onze nationale en soms ook de internationale volksgezondheid.