WeHelpen hecht veel waarde aan de bescherming van de persoonlijke gegevens van haar gebruikers. Daarom wijzigen wij ons privacy-beleid. Zo voldoen we aan de Algemene Verordening Gegevensbescherming. Onderstaand gaan we in op individuele aandachtspunten.
Je bent verplicht een duidelijke en zichtbare Privacyverklaring op je website te plaatsen.
Alle nieuwe gebruikers die zich aanmelden op wehelpen.nl of een van de andere applicaties van WeHelpen (lokale wehelpen.nl-websites, Huppla, wehelpenhersenletsel.nl, etc) worden actief geattendeerd op de geactualiseerde Privacyverklaring. Gebruikers dienen bij registratie van (een van) de WeHelpen-website(s) akkoord te gaan met de Algemene Voorwaarden, waarin ook verwezen wordt naar de Privacyverklaring. Daarnaast is de Privacyverklaring beschikbaar op iedere pagina op wehelpen.nl via de ‘footer’ van de website en zit er een verwijzing in de ‘Veelgestelde vragen’ onder het thema ‘Veiligheid’.
De huidige Privacyverklaring is van 15 mei 2018 en wordt aangepast wanneer er relevante wijzigingen zijn. Gebruikers worden pro-actief geïnformeerd wanneer de wijzigingen in de verzameling of verwerking van de persoonsgegevens daadwerkelijk impact hebben.
Je moet een register van verwerkingen aanleggen.
WeHelpen heeft een register aangelegd, in lijn met de AVG, waarin per doelgroep beschreven is welke persoonsgegevens verzameld worden, met welk doel, waar deze bewaard worden en hoe lang.
Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
Gebruikers worden bij aanmelding op wehelpen.nl of een van de andere applicaties actief geattendeerd op de Algemene Voorwaarden. Om een gebruikersaccount aan te maken, moeten ze hiermee via een vinkje akkoord gaan. In de gebruikersvoorwaarden wordt ook verwezen naar de Privacyverklaring. Vervolgens wordt via een emailbericht een link gestuurd waarmee de gebruiker het account daadwerkelijk activeert.
Je moet bewijzen (actief aantonen!) hoe en wanneer die toestemming verkregen is.
Registratie van gebruikersaccounts wordt vastgelegd in een database inclusief moment van registratie. Er wordt geen account geregistreerd als niet door de gebruiker akkoord wordt gegaan met de voorwaarden.
Je mag persoonsgegevens alleen gebruiken voor het doel waarvoor je ze oorspronkelijk hebt gevraagd.
WeHelpen gebruikt de verzamelde persoonsgegevens alleen voor het doel waarvoor de gebruiker deze beschikbaar heeft gesteld. Er wordt ook uitleg gegeven bij het gevraagde gegeven waarom dit gegeven noodzakelijk is.
Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen, te verwijderen of over te dragen naar een andere organisatie (dataportabiliteit).
Gebruikers kunnen zelf hun gegevens inzien en aanpassen. Gebruikers kunnen hun account verwijderen en daarmee worden alle daaraan gekoppelde persoonsgegevens verwijderd. In de ‘Veelgestelde vragen’ worden gebruikers geattendeerd op de wijze waarop ze hun account kunnen verwijderen.
De inhoud van berichten tussen gebruikers onderling kunnen niet verwijderd worden. In deze teksten kunnen persoonsgegevens staan. Gebruikers kunnen de persoonsgegevens waarmee ze geregistreerd zijn opvragen en deze worden, na legitimatie, in JSON formaat (internationale standaard) toegestuurd.
Je moet met documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen (accountability).
WeHelpen beschikt over een document “Beleid voor informatiebeveiliging en privacy persoonsgegevens”. Dit vormt de basis voor de procedures met betrekking tot informatiebeveiliging en privacy binnen de organisatie, het platform en applicaties en diensten die WeHelpen aanbiedt.
Er is een actueel rapport van de “Privacy Impact Assessment (PIA)” die in juli 2017 is uitgevoerd. Deze wordt herhaald zodra nieuwe (substantiële) aanpassingen worden gedaan ten aanzien van persoonsgegevens. Mede op basis hiervan is een document “Privacy Incident Management” opgesteld waarmee melding, opvolging en monitoring van incidenten plaatsvindt. Dit vormt ook de basis voor aansturing en verantwoording aan het bestuur.
WeHelpen beschikt over een “Verwerkingsregister” waarin beschreven staat van welke doelgroepen welke persoonsgegevens verzameld en bewaard worden, met welk doel, wie toegang heeft/hebben, waar de gegevens opgeslagen worden en met welke termijn.
Daarnaast sluit WeHelpen een standaard “Verwerkersovereenkomst” met externe partijen waarvoor dat van toepassing is.
Hosting & beheer van het platform en applicaties is ingeregeld op basis van een uitgebreide SLA met de ISO/NEN gecertificeerde hostingprovider True.
Je bent verplicht verwerkersovereenkomsten te hebben met alle organisaties die voor jouw persoonsgegevens verwerken.
WeHelpen beschikt over een verwerkersovereenkomst en deze wordt afgesloten met alle externe partijen die hiervoor in aanmerking komen
Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken.
WeHelpen heeft een procedure hiervoor, deze is onderdeel van het “Beleid voor informatiebeveiliging en Privacy persoonsgegevens”. Daarnaast is er een protocol voor Crisis Communicatie (inclusief betrekken relevante externe partijen/leden van de coöperatie).
Je hebt de verplichting om privacy ontwikkelingen te volgen en verwerken.
WeHelpen werkt conform het principe ‘Privacy by design’ en toetst haar beleid en ontwikkelingen periodiek met externe specialisten. Via de PDCA (Plan Do Check Act) werkwijze vindt onderhoud en bijstelling plaats. Het thema is een periodiek agendapunt in het teamoverleg, directieoverleg en bestuursvergaderingen.
Je bent verplicht bij ontwikkeling van nieuwe werkwijzen en systemen het beschermen van persoonsgegevens direct te borden (Privacy by Design).
Dit is vastgelegd in het “Beleid voor informatiebeveiliging en Privacy persoonsgegevens”.