Vertrouwelijkheidsbeleid

Vertrouwelijkheidsbeleid van het PAQS 
Artikel 1. Doel
PAQS ASBL hecht grote waarde aan de bescherming van de persoonlijke levenssfeer van personen van wie in het kader van hun activiteiten een of meerdere malen persoonsgegevens worden verwerkt. Via onderhavig vertrouwelijkheidsbeleid wil het PAQS deze personen zo volledig mogelijk informeren over de manier waarop de persoonsgegevens hen aangaande worden verzameld en verwerkt in het kader van hun activiteiten, en hoe zij de verwerking van hun persoonsgegevens kunnen controleren.

Onderhavig vertrouwelijkheidsbeleid is in dit verband tot stand gekomen overeenkomstig Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna AVG), en overeenkomstig de nationale regelgeving ter zake.

Artikel 2. Definities
Voor de toepassing van deze verordening wordt verstaan onder:

• Persoonsgegevens: elke vorm van informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer (bv. het telefoonnummer), locatiegegevens, een online identificator (bv. een IP-adres of gebruikersnaam) of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
• Anonieme gegevens: alle gegevens die niet (meer) aan een geïdentificeerde of identificeerbare persoon kunnen worden gekoppeld en die dus geen persoonsgegevens (meer) zijn;
• Gepseudonimiseerde persoonsgegevens: op zodanige wijze verwerkte persoonsgegevens dat de persoonsgegevens niet meer aan een specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Het gaat hier dus niet om anonieme gegevens want de natuurlijke persoon kan na de pseudonimisering nog altijd worden geïdentificeerd;
• Bestand: elk op een logische en gestructureerde manier gevormd en bewaard en systematisch te raadplegen geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
• Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens;
• Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt;
• Verwerkingsbeheerder: de persoon die, onder rechtstreeks gezag van de verwerkingsverantwoordelijke gemachtigd is om de persoonsgegevens te verwerken;
• Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder onder rechtstreeks gezag van de verwerkingsverantwoordelijke te staan;
• Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de contactpersoon, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
• Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt;
• Contactpersoon: de natuurlijke persoon die in het verleden in contact stond of momenteel in contact staat met het PAQS, in het kader van zijn beroepsactiviteit, maar die niet rechtstreeks voor de vzw heeft gewerkt;
• Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de natuurlijke persoon door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Artikel 3. Toepassingsbereik
Onderhavig vertrouwelijkheidsbeleid is van toepassing op de verwerking van de persoonsgegevens van alle (in artikelen 5, 6 en 7 bedoelde) contacten van het PAQS, tot stand gebracht of uitgevoerd door zijn medewerkers.

Artikel 4. Verwerkingsverantwoordelijke en zijn vertegenwoordigers
Het Platform voor continue Verbetering van Zorgkwaliteit en Patiëntveiligheid (Plateforme pour l’Amélioration continue de la Qualité des soins et de la Sécurité des patients – PAQS), vereniging zonder winstbejag (ondernemingsnummer BE 0555.785.551), aan de Veldkapelgaarde 30, bus 1.30.30 te 1200 Sint-Lambrechts-Woluwe, is de verwerkingsverantwoordelijke voor de persoonsgegevens van zijn contacten.

De personen die het PAQS vertegenwoordigen zijn:

• De Voorzitter van de Raad van Bestuur van het PAQS: David LEFEBVRE
• De Directeur van het PAQS: Denis HERBAUX

De voornaamste verantwoordelijkheid ten aanzien van de persoonsgegevens van de contacten van het PAQS ligt bij zijn Directeur.

Artikel 5. Categorieën personen van wie de gegevens verwerkt worden
De verzameling en verwerking van persoonsgegevens is van toepassing op alle contacten (zoals gedefinieerd in Artikel 2) van het PAQS, in diens hoedanigheid van Platform voor continue Verbetering van Zorgkwaliteit en Patiëntveiligheid.

Artikel 6. Aard van de verwerkte gegevens en verzamelmethode
1. La PAQS traite les données à caractère personnel suivantes de ses contacts :

1. Het PAQS verwerkt de volgende persoonsgegevens van zijn contacten:
   • Identificatiegegevens, waaronder de naam, de voornaam, het geboortejaar, het geslacht, het gewest van woonplaats, het professionele e-mailadres, het professionele telefoonnummer en de gebruikersnamen voor de online diensten van het PAQS
   • Gegevens betreffende opleiding en beroep, waaronder de naam van de werkgever, de voornaamste activiteitslocatie, de dienst, het beroep, de functie, het hoogste opleidingsniveau en het jaar van afronding van de studie;
   • Gezondheidsgegevens, waaronder het feit dat men een patiënt is, informatie over de duur van het ziekenhuisverblijf en de tijd die is verlopen sinds men het ziekenhuis heeft verlaten.
2. ​De persoonsgegevens van de contacten van het PAQS worden door de medewerkers van het PAQS zelf vergaard bij het contact, in de persoon van een duidelijk geïdentificeerde medewerker van genoemd contact of in de vorm van een e-mail, een gids of een openbaar toegankelijke website.

Artikel 7. Doeleinden en rechtsgrondslag van de verwerkingen

1. Binnen de grenzen van zijn statuut en conform zijn legitieme belangen, worden de persoonsgegevens van de contacten verwerkt met een van de volgende doeleinden voor ogen:
   • Beheer van de beheersorganen van het PAQS, waaronder het beheer van zijn Raad van Bestuur, zijn Raadgevend Comité en zijn overige comités met nationale en internationale experts;
   • Organisatie van interne evenementen en bijeenkomsten, waaronder de organisatie van opleidingen, werkgroepen en andere interne bijeenkomsten van het platform;
   • Organisatie van externe evenementen en bijeenkomsten, waaronder de organisatie van externe congressen, opleidingen en bijeenkomsten;
   • Terbeschikkingstelling van een online werkruimte, inclusief het onderhoud van lijsten met personen die toegang hebben tot bepaalde inhoud, en de generatie, opslag en uitwisseling van gebruikersnamen met het betrokken lid;
   • Verspreiding van nieuws uit de sector, een nieuwsbrief en jaarverslagen, inclusief het onderhoud, de generatie en de opslag van lijsten met leden die toegang hebben tot bepaalde inhoud;
   • Realisatie van enquêtes met het oog op de identificatie van behoeften in de sector en van proefprojecten die in het kader van de activiteiten van het PAQS zijn gehouden;
   • Beheer van de betrekkingen met de leden, via een speciaal hiervoor ontwikkelde online tool;
     Beheer van de leveranciers, met inbegrip van de verwerkers van het PAQS.
2. Andere persoonsgegevens dan degene die vereist zijn voor de doeleinden in §1 zullen in geen geval worden verwerkt, en deze gegevens zullen niet worden verwerkt op een manier die in strijd is met deze doelstellingen.

Artikel 8. Bestandbeheerders van de contacten en hun bevoegdheden

1. De interne raadpleging en de verwerking van de persoonsgegevens van de contacten gebeurt door de personen en binnen de grenzen die in onderhavige paragraaf worden beschreven.
   
   De persoonsgegevens van de contacten worden verzameld en verwerkt onder leiding van de Directeur;
   De medewerkers van het PAQS (directie, departement communicatie, projectbeheerders, experts - al dan niet betaald) verzamelen en gebruiken de persoonsgegevens van de contacten in het kader van hun activiteiten. Zij houden zich respectievelijk bezig met de invoer, de opslag, de beveiliging, de bijwerking en het onderhoud - in de vorm van informaticabestanden - van de persoonsgegevens van de contacten.
   
   De verschillende beheerders mogen slechts die persoonsgegevens raadplegen die absoluut noodzakelijk zijn voor de uitvoering van hun taken.
   
   
2. Alle medewerkers van het PAQS die voor de uitvoering van hun taken noodzakelijkerwijs toegang moeten hebben tot de persoonsgegevens van de contacten, hebben zich ertoe verbonden om bij de verwerking en raadpleging van de bestanden van die contacten de bepalingen van onderhavig vertrouwelijkheidsbeleid en alle overige beginselen met betrekking tot de bescherming van de persoonlijke levenssfeer te zullen respecteren. Zij zijn gebonden aan het beroepsgeheim of aan een statutaire dan wel contractuele verplichting van soortgelijke strekking.
   
   

Artikel 9. Overdracht van de gegevens van de contacten en categorieën van ontvangers

1. Binnen de grenzen van de AVG en voor zover dit noodzakelijk is voor de doeleinden in artikel 7 van onderhavig vertrouwelijkheidsbeleid, geeft het PAQS zijn softwareverwerkers en externe docenten of experts toestemming, als enige ontvanger/derde, om de persoonsgegevens van zijn contacten te verwerken.
2. Indien een overdracht zoals bedoeld in §1 van dit artikel ertoe leidt dat de persoonsgegevens van het contact worden meegedeeld aan een derde land buiten de Europese Unie, of aan een internationale organisatie, dan ontvangt het contact aanvullende informatie over de gevolgen van deze overdracht voor de veiligheid van zijn persoonsgegevens.
3. Met uitzondering van de gevallen bedoeld in §1 van dit artikel, mogen enkel geanonimiseerde gegevens worden uitgewisseld met andere personen en instanties.

Artikel 10. Veiligheidsprocedures
Alle vereiste maatregelen worden genomen om de nauwkeurigheid en voltalligheid van de geregistreerde gegevens te verbeteren. Ook worden de vereiste technische en organisatorische maatregelen genomen om de bestanden van de contacten te beschermen tegen verlies of beschadiging van de gegevens, tegen niet-geautoriseerde raadplegingen en tegen de wijziging of verstrekking van gegevens zoals, in het bijzonder, procedures om de doelmatigheid van de veiligheidsmaatregelen te testen, te evalueren en te controleren.

Artikel 11. Termijnen waarbinnen de gegevens mogen worden bewaard en moeten worden gewist

1. De persoonsgegevens van de contacten van het PAQS worden bewaard zolang het PAQS geen verzoek om wissing heeft ontvangen van het contact of diens (voormalige) werkgever.
2. De persoonsgegevens van de contacten worden gewist binnen een termijn van een maand, te rekenen vanaf het verzoek van deze laatsten of hun (voormalige) werkgevers.

Artikel 12. Rechten en mogelijkheden van het contact om klachten in te dienen

1. Ten laatste op het moment dat de persoonsgegevens van het contact worden verzameld, heeft deze laatste, conform de bepalingen van de AVG, de gelegenheid om zich te laten informeren over de verwerking van deze gegevens en over de rechtsgrondslag van de gegevensverwerking.
   
   
2. Het contact dat het verzoek indient, kan de verwerkingsverantwoordelijke vragen om gratis inzage en een gratis kopie:
   van de verwerking of niet van persoonsgegevens die op hem betrekking hebben;
   van de gegevens die zijn verwerkt en alle beschikbare informatie over de herkomst van deze gegevens;
   van de doeleinden van de verwerking;
   van de gegevenscategorieën die voor een dergelijke verwerking in aanmerking komen en de termijn waarbinnen deze gegevens mogen worden bewaard;
   van de categorieën ontvangers aan wie de gegevens worden overgedragen;
   van de herkomst van deze persoonsgegevens, indien ze niet bij het contact zijn vergaard.
   
   
3. Het contact dat er een verzoek toe indient heeft bovendien het recht om de verwerkingsverantwoordelijke te vragen alle verwerkte en onjuiste of onvolledige persoonsgegevens kosteloos te corrigeren of aan te vullen. In dat geval kan het contact tevens verzoeken zijn gegevens tijdelijk niet te verwerken (behalve in een aantal bij de wet gedefinieerde gevallen), totdat hun nauwkeurigheid is gecontroleerd. De persoonsgegevens moeten enkel worden gecorrigeerd of aangevuld als de verwerkingsverantwoordelijke vaststelt dat ze daadwerkelijk onjuist of onvolledig zijn.
   
   
4. Het contact mag de verwerkingsverantwoordelijke tevens om een kopie van zijn persoonsgegevens vragen en/of verzoeken dat die rechtstreeks naar een andere instelling of persoon van zijn keuze worden overgedragen, in een formaat dat een eenvoudige overdracht van die persoonsgegevens mogelijk maakt. Dit recht geldt evenwel alleen voor persoonsgegevens die door het contact zelf zijn verstrekt en die zijn verwerkt op basis van toestemming of een contract, volgens geautomatiseerde procedures, en mits deze overdracht geen negatieve gevolgen heeft voor de persoonlijke levenssfeer van derden.
   
   
5. Indien het contact van mening is dat zijn persoonsgegevens niet langer mogen worden verwerkt (bijvoorbeeld omdat die gegevens niet meer nodig zijn voor het oogmerk van de verwerking of omdat ze onrechtmatig zijn verwerkt), kan hij verzoeken dat zijn persoonsgegevens definitief worden gewist. In plaats van een wissing kan het contact ook verzoeken dat zijn persoonsgegevens worden bewaard maar niet meer verwerkt (behalve in bepaalde bij de wet verboden gevallen).
   De verwerkingsverantwoordelijke hoeft de persoonsgegevens echter niet te wissen als ze nog rechtmatig kunnen worden verwerkt of als hun verwerking conform de AVG verplicht is.
   
   
6. Behalve indien de verwerking om dwingende, gerechtvaardigde redenen gerechtvaardigd is, kan het contact de verwerking van zijn persoonsgegevens op grond van de legitieme belangen van de verwerkingsverantwoordelijke of de uitvoering van een taak van algemeen belang, dan wel de werkzaamheden van een overheidsinstantie, laten stopzetten door er een klacht tegen in te dienen. In afwachting van het antwoord van de verwerkingsverantwoordelijke kan het contact vragen de persoonsgegevens tijdelijk niet meer te verwerken (behalve in een aantal bij de wet vastgelegde gevallen).
   Eventuele verwerkingen ten behoeve van direct marketing kunnen zeker door het contact via de indiening van een klacht worden stopgezet.
   
   
7. Naast de gevallen bedoeld in paragraaf 3, 5 en 6 van dit artikel, kan het contact tevens verzoeken om zijn gegevens te bewaren maar deze tijdelijk niet te verwerken (behalve in een aantal bij de wet vastgelegde gevallen), indien de verwerkingsverantwoordelijke geen baat meer heeft bij verwerking, maar het contact er nog wel over moet kunnen beschikken in het kader van een rechtszaak.
   Niettegenstaande het verzoek van het contact om de verwerking tijdelijk stop te zetten, zoals bedoeld in paragraaf 3, 5, 6 en 7 van dit artikel, mag de verwerking gewoon plaatsvinden in de volgende bij de wet vastgelegde gevallen:
   
   indien het contact er specifiek mee akkoord gaat,
   om de rechten van een andere natuurlijke of rechtspersoon te beschermen, of
   om zwaarwegende redenen van algemeen belang.
   
   
8. Om zijn rechten, bedoeld in paragraaf 2 tot 7 van dit artikel, te doen gelden, kan het contact een verzoek indienen bij contact@paqs.be  met in bijlage een kopie van zijn identiteitskaart.
   Nadat het contact zijn verzoek heeft ingediend, ontvangt hij een ontvangstbevestiging. De verwerkingsverantwoordelijke moet hem vervolgens, en ten laatste binnen een maand, informeren over de gevolgen van het verzoek. Bij een positief antwoord zal op het kantoor van het PAQS een afspraak worden gepland. Bij complexe of meervoudige verzoeken kan deze termijn oplopen tot drie maanden na indiening van het verzoek. In dat geval zal de verwerkingsverantwoordelijke het contact hiervan op de hoogte stellen.
   Indien het verzoek niet duidelijk genoeg is of er twijfel bestaat over de identiteit van de aanvrager, bijvoorbeeld als er geen kopie van de identiteitskaart van het contact is verstrekt, kan de verwerkingsverantwoordelijke de benodigde verdere inlichtingen opvragen. Indien de aanvrager de vereiste inlichtingen weigert te verstrekken, kan de verwerkingsverantwoordelijke het verzoek afwijzen.
   De aanvraagprocedure kost het contact niets. Indien het verzoek echter overduidelijk ongerechtvaardigd is of als het contact misbruik maakt van zijn rechten, bijvoorbeeld doordat hetzelfde verzoek te vaak wordt geformuleerd, kan de verwerkingsverantwoordelijke dat verzoek verwerpen of, afhankelijk van de administratiekosten die in verband met dergelijke verzoeken zijn gemaakt, een redelijke schadeloosstelling vragen.
   
   
9. Indien het contact van mening is dat de bepalingen van onderhavig vertrouwelijkheidsbeleid of van de AVG niet gerespecteerd zijn of als het andere redenen heeft om zich over de bescherming van de persoonlijke levenssfeer te beklagen, kan het zich rechtstreeks tot de Gegevensbeschermingsautoriteit wenden.

Artikel 13. Inwerkingtreding en amendementen
Onderhavig vertrouwelijkheidsbeleid treedt in werking op 1 juli 2020. Het PAQS behoudt zich het recht voor om zijn vertrouwelijkheidsbeleid op elk moment te wijzigen. Die wijzigingen worden aangebracht door de Raad van Bestuur van het PAQS.