Privacyverklaring Corason

IDENTITEIT EN CONTACTGEGEVENS COACH
Eliza Servilius-Sprockel, van der Waalsstraat 52, 3132 TN, Vlaardingen.
corasonhulpverlening@mail.com

PERSOONLIJKE GEGEVENS, DOEL VAN DE VERWERKING
De persoonlijke gegevens worden gebruikt om een coachtraject tot stand te kunnen brengen. Deze kunnen grofweg in 2 groepen ingedeeld worden; Online coaching en de Boekhouding.

De persoonlijke gegevens die voor de online coaching verwerkt worden, zijn als volgt;

Intakeformulier:
∗Naam: Om met elkaar te kunnen communiceren.
∗Leeftijdscategorie: Zodoende kan de begeleiding afgestemd worden op de leeftijdsgroep.
∗Contactgegevens:

• E-mail: cliënten ontvangen een melding op hun e-mailadres zodra er feedback is geplaatst in Pluform.
• Telefoonnummer: Bij evaluatiemomenten, onduidelijkheden en/of vragen kan contact opgenomen worden.

∗Hoogst genoten opleiding: Om v.w.b. de communicatie te weten in hoeverre er rekening gehouden dient te worden met taalgebruik en taalniveau.
∗Bent u gelovig: Dan kan ik gebruik maken van Bijbelverzen om cliënt te motiveren.
∗Geschiedenis psychische problemen:
om te weten;

• hoe crisisgevoelig iemand is, om de zwaarte van de problematiek in te kunnen schatten of online coachen wel geschikt is voor de persoon.

∗Huidige psychische problemen:

• Voor een beeldvorming van het aan te pakken problematiek, om steunfiguren op te sporen, die ingezet zouden kunnen worden bij het uitvoeren van de werkopdrachten, om te weten welke factoren het probleem in stand houden, om op dezelfde lijn zitten als de cliënt v.w.b. verwachting van het eindresultaat van de coaching (zodoende worden teleurstellingen beperkt tot een minimum), om kwaliteiten van de cliënt te benutten en rekening te houden met zwakke punten.

Online Begeleiding:
∗Voorbeelden van problematische situaties van het eigen leven: als coach, moet ik eerst weten waar cliënt in zijn leven vastloopt, om iets aan die situatie te kunnen veranderen. Dit vormt dan ook het startpunt van de coaching en is ook één van de redenen van aanmelding.
∗Gedachtes over die problematische situaties: volgens de methodiek Rationeel Emotieve Therapie, zijn negatieve gedachtes/denkfouten de oorzaak van problematische situaties. Vandaar dat deze geëxpliciteerd moeten worden.
∗Gevoelens over die problematische situaties: negatieve gevoelens houden het probleem in stand. Overigens vrij makkelijk te benoemen door cliënt.
∗Een positievere/ helpende manier van denken over de problematische situatie: het is een manier om los te komen van negatieve gedachtes. Vandaar dat dit geformuleerd dient te worden.
∗Voorstelingsoefeningen om de problematische situatie op emotioneel vlak te beschrijven: zodat de begeleider een inzage krijg van wat het met cliënt doet en hoe de cliënt de situatie op emotioneel gebied ervaart.
∗Voorstelingsoefeningen om negatieve emoties te minderen: zodat een problematische situatie omgeslagen kan worden in een gezondere variant (bijv. van angst naar bezorgdheid) in een veilige omgeving, want het gebeurt in gedachten.
∗Voorstelingsoefeningen om positieve emoties te bekrachtigen: zodat de cliënt helpende gedachtes ontdekt.
∗Experiment: er wordt geëxperimenteerd met bepaalde, negatieve gedachtes om die (in vivo) te ontkrachten.
∗Resultaat: om terug te kunnen kijken naar het onderzoek van de cliënt en vervolgens na te kunnen gaan wat hij/zij hiervan geleerd heeft in relatie tot de oorspronkelijke niet-helpende gedachte.

Evaluatiemomenten:
∗Evaluatie-onderwerpen; de afgelopen sessies, de moeilijkheidsgraad van de opdrachten en in hoeverre er doelen bereikt zijn.

• De afgelopen sessies voor binding coach/cliëntrelatie, want door het digitaal karakter van de coaching kan dit wellicht verloren gaan, om na te gaan of het (taal)niveau aangepast dient te worden, de doelen om na te gaan of cliënt en coach nog op dezelfde lijn zitten in de begeleiding.

∗Evaluatie-onderwerp; waar bevind je je in het veranderingsproces. Dit is om zoveel mogelijk de volgende situaties te vermijden;

• dat cliënt vanwege problematiek, gaat ontkennen dat die nog een probleem heeft of dat cliënt vanwege problematiek gaat catastroferen (“ik heb helemaal niets bereikt”).

∗Evaluatie-onderwerp; wil je verder nog wat kwijt. Bij dit punt kan de cliënt onduidelijkheden, vragen, opmerkingen etc. inbrengen. Hier heeft cliënt de ruimte om feedback te geven op de coaching en coach.

De persoonlijke gegevens die voor de boekhouding verwerkt worden, zijn als volgt;

De gegevens worden gebruikt t.b.v. uitvoeren van de administratie van Corason. Dit is verplicht voor de belastingdienst. Ook worden de gegevens gebruikt t.b.v. de facturatie van een coachtraject.

Factuur:
∗Volledige naam coach en die van de cliënt, de handelsnaam van het coachingsbedrijf.
∗Volledige adres coach en dat van de cliënt.
∗Btw-nummer, KvK-nummer, factuurdatum, factuurnummer, factuuromschrijving, datum waarop de diensten zijn geleverd of de datum van een vooruitbetaling, bedrag dat in rekening gebracht wordt (exclusief btw), het btw-tarief dat in rekening gebracht wordt en het btw-bedrag.

Administratie:
∗Naam van de cliënt.
∗Factuurdatum, factuurnummer, factuuromschrijving, datum waarop de diensten zijn geleverd of de datum van een vooruitbetaling, bedrag dat in rekening gebracht wordt (exclusief btw), het btw-tarief dat in rekening gebracht wordt en het btw-bedrag.

GRONDSLAG VAN DE VERWERKINGEN
De grondslag voor het verwerken van de persoonlijke gegevens ten behoeve van de online begeleiding, is uitvoering overeenkomst. Artikel 9, Lid 2, ad. E: de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkenen openbaar zijn gemaakt. Het uploaden van een pasfoto is niet verplicht en niet noodzakelijk voor het uitvoeren van de coaching. Artikel 9, Lid 2, ad.H: De verwerking is noodzakelijk voor doeleinden van preventie of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, (…) dan wel het beheren van gezondheidszorgstelsels en - diensten of sociale stelsels en diensten en wordt beschermd door beroepsgeheim van de gezondheidswerker of coach.
Voor de boekhouding is de grondslag wettelijke verplichting.

INFORMATIE AAN DERDEN
∗Interne ontvangers
In de applicatie hebben gebruikers alleen toegang tot hun eigen gegevens, of gegevens die specifiek binnen een coach-cliënt relatie nodig zijn. Daarbij houdt Pluform rekening met het mogelijke beroepsgeheim van een coach.
Verschillende rollen hebben verschillende toegangsniveaus, de rollen binnen de applicatie zijn Organisatiemanager, Coach en Cliënt.
Organisatiemanagers zijn in staat om de profielgegevens (bijvoorbeeld naam en e-mail) van coaches en cliënten te beheren. Organisatiemanagers zijn niet in staat om toegang te krijgen tot gegevens met betrekking tot de dialoog tussen coaches en cliënten. Coaches hebben alleen toegang tot de gegevens van hun eigen cliënten. Cliënten aan de andere kant hebben alleen toegang tot hun eigen persoonsgegevens en de door hun coach gegeven data.

De lijnmanager ICT-diensten zou in de uitvoering van de Wet AVG, na toestemming gevraagd te hebben, toegang kunnen krijgen tot de dialoog tussen cliënt en coach. Bijvoorbeeld voor het aanpassen van de persoonlijke gegevens in opdracht van de cliënt.

Voor wat betreft de boekhouding, zijn coach en cliënt (eventueel de Belastingdienst op verzoek) de enige ontvangers van deze informatie.

INFORMATIE AAN DERDEN
∗Externe ontvangers
De externe ontvangers zijn TRUE Hosting, MessageBird, coach en cliënt. Voor wat betreft de boekhouding zijn er geen externe ontvangers.

BEVEILIGING VAN DE PERSOONLIJKE GEGEVENS V.W.B. DE ONLINE COACHING
∗Wachtwoord
Gebruikers bepalen zelf hun wachtwoorden. Pluform hanteert een streng regime gebaseerd op 8 tekens inclusief 1 nummer en ten minste één hoofdletter. Verloren/ vergeten wachtwoorden worden behandeld door een link te verzenden via e-mail (er worden geen wachtwoorden per e-mail verzonden). Wachtwoorden worden versleuteld opgeslagen in de database.

∗2-staps verificatie via SMS
Naast de gebruikersauthenticatie door de gebruikersnaam en het wachtwoord in te vullen biedt Pluform ook de optie om de 2-stapsverificatie in te stellen. Indien ingeschakeld, zijn de gebruikers verplicht om, naast hun wachtwoord, een SMS-code in te voeren die ze ontvangen op hun mobiele telefoonnummer dat vooraf geverifieerd wordt door de gebruiker.

∗Hosting
Pluform heeft zijn IT-hosting-infrastructuur beheerd door True Managed Hosting van True. True levert beheerde dedicated servers aan haar klanten en is continu bezig met de optimalisatie van de serveromgeving. True is ISO 27001:2013 (informatiebeveiliging), ISO 9001 (kwaliteitsmanagement) en NEN 7510:2011 (informatiebeveiliging in de zorg) gecertificeerd en gebruikt gecertificeerde datacenters die in Nederland gevestigd zijn. Met deze certificeringen voldoet True aan de hoogste standaarden als het gaat om informatiebeveiliging. Pluform is niet Patriot Act aansprakelijk.

∗Ontwikkeling en Onderhoud
Onderhouds- en beveiligingsupdates en nieuwe functies worden uitgevoerd door Pluform (Development Managers). Pluform heeft een strikt beleid ten aanzien van toegang tot de server. Naast toegangscontroles gebruikt Pluform ook staged development, waarbij alle updates en nieuwe functies worden ingezet in fasen (Test-, Acceptatie- en Productie server) om eventuele kritieke punten op de productieserver die kunnen leiden tot kwetsbaarheden in de beveiliging te verlagen.

∗Datacenter locatie bescherming
Alle datacenters die gebruikt worden door True hebben metingen van hoog niveau om ongeautoriseerde fysieke toegang tot de servers te voorkomen, met inbegrip van biometrische toegangscontroles, camera’s, digitale code locks en veiligheidspersoneel. Alleen geautoriseerde medewerkers hebben toegang tot de server ruimte. True houdt gedetailleerde logboeken bij van medewerkers.

∗Beveiliging van dataverkeer
Gebruikersgegevens worden getransporteerd met behulp van hoogwaardige SSL (Secure Sockets Layer) encryptie. Updates, verbeterings-en onderhoudsdata wordt via beveiligde SSH verbindingen getransporteerd. SSH is een cryptografisch netwerkprotocol voor het beveiligen van datacommunicatie.

∗Audits
IT-systemen en procedures van True worden onderworpen aan audits. Ook Pluform wordt onderworpen aan audits en beschikt over een Third Party Memorandum (een verklaring die wordt afgegeven door een onafhankelijke auditpartij over de kwaliteit van de ICT-dienstverlening, kwaliteit en -beheersing van een organisatie).

∗Firewalls
Alle Pluform servers zijn uitgerust met een Linux iptables gebaseerde Firewall. Standaard wordt alle toegang geblokkeerd met uitzondering van bepaalde openbare poorten die nodig zijn voor inkomende HTTP- en HTTPS-verkeer vanaf het internet. De Firewalls worden geïnstrueerd om Denial-Of-Service aanvallen of throttle traffic te blokkeren.

∗Backups
Er wordt dagelijks een back-up van applicatiegegevens gemaakt. Elke avond wordt er een back-up overgebracht naar een offsite back-up server.

∗Toepassing beveiliging
De Pluform applicatie is gebouwd met Drupal-technologie. Drupal is een raamwerk voor het bouwen van veilige websites en webapplicaties. Drupal wordt al voor meer dan 10 jaar gebruikt en heeft een uitstekend veiligheidstrackrecord. Alle informatie wordt overgedragen via beveiligde SSL-verbindingen. E-mail is een onveilig medium, daarom zullen alle e-mails die verstuurd worden vanuit de toepassing nooit enige vertrouwelijke informatie bevatten. De e-mails worden gebruikt als kennisgevingen aan de werkelijke boodschap, die bevindt zich binnen de applicatie en is enkel toegankelijk na inloggen met een wachtwoord. Het is niet mogelijk naar gebruikersnamen te vissen met behulp van de verloren wachtwoord-functionaliteit.

∗Server-beveiliging
Om een goede server-beveiliging te waarborgen zijn de volgende best practices opgevolgd: Truebeheerders hebben SSH toegang tot de productiemachines. De gebruikersaccounts hebben geen wachtwoorden, alleen SSH-key-based login. De servers zijn alleen toegankelijk via IP beperkte beheerservers. Root-wachtwoorden worden opgeslagen in een versleuteld bestand en gedeeld enkel tussen beheerders. Besturingssysteem software-updates worden eerst getest op testmachines, alvorens ze worden uitgerold naar de acceptatie-en productie-omgeving. De beheerders abonneren zich op verschillende security bulletins om up-to-date te blijven op veiligheidsbedreigingen.

∗Controle
Op het gebied van informatiebeveiliging is True gecertificeerd voor alle beheerde bedrijfsmiddelen die de dagelijkse managed hosting dienstverlening vormen. De veiligheid en de prestaties van de Pluformservers en applicaties worden continu bewaakt.
Zie voor nadere info bijlage D van de verwerkersovereenkomst met Pluform.

BEVEILIGING VAN DE PERSOONLIJKE GEGEVENS V.W.B. DE BOEKHOUDING
De enige plaats waar de persoonlijke gegevens worden opgeslagen, is op een usb stick. Deze opslagplaats wordt alleen op de thuiscomputer gebruikt.

PERSOONLIJKE GEGEVENS BUITEN DE EU
Voor zowel de online coaching als voor de boekhouding gelden dat er geen gegevens van cliënten buiten de EU gaan. Deze data blijft uitsluitend in Nederland.

BEWAARTERMIJN
∗Pluform
Gegevens van inactieve gebruikers blijven bewaard voor twee jaar. Op verzoek kan Pluform alle gegevens met betrekking tot een specifiek account eerder verwijderen. Daarnaast kunnen cliënten binnen Pluform zelf gemakkelijk hun account en daarmee de bij Pluform bekende persoonsgegevens verwijderen.

∗Boekhouding
Voor de belastingdienst dienen de administratie en facturen 7 jaar bewaard te worden.

DE RECHTEN VAN DE BETROKKENEN

1. Recht op inzage (het recht om kennis te nemen van de op u betrekking hebbende persoonsgegevens en daarvan een kopie te ontvangen)
2. Recht op rectificatie (het recht om de op u betrekking hebbende persoonsgegevens te verbeteren of aan te vullen teneinde fouten of omissies te herstellen)
3. Recht op vergetelheid (het recht op het onverwijld doen wissen van de op u betrekking hebbende persoonsgegevens. Let op! Als cliënt kunt u zelf uw account verwijderen, waarmee alle gegevens in de applicatie worden gewist)
4. Recht op beperking van de verwerking (het enkel opslaan en niet verder verwerken van de gegevens)
5. Recht op overdraagbaarheid van gegevens (het recht om de op u betrekking hebbende persoonsgegevens in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen zodat deze gegevens overdraagbaar aan derden zijn)
6. Recht op het indienen van een klacht (indien bepalingen in dit reglement en/of de Algemene Verordening Gegevensbescherming niet worden nageleefd, heb je het recht hier een klacht over in te dienen bij de Autoriteit Persoonsgegevens).

KLACHTMOGELIJKHEID BIJ DE AUTORITEIT PERSOONSGEGEVENS
Er kan schriftelijk een klacht ingediend worden.
Dit kan via het klachtenformulier op de website (https://autoriteitpersoonsgegevens.nl).

Tevens kan er ook een brief getuurd worden naar Autoriteit Persoonsgegevens: Postbus 93374, 2509 AJ in Den Haag. Vermeld dan altijd in uw brief: over welke persoonsgegevens het gaat, over welke organisatie het gaat, of cliënt al contact heeft gehad met die organisatie, hoe de organisatie reageerde op de klacht van cliënt, of (het negatieve gevolg van) de verwerking nog plaatsvindt, wat cliënt met de klacht wilt bereiken, client’s naam, adres en telefoonnummer.

Als lezen of schrijven moeilijk is, kan er contact opgenomen worden met de medewerkers Autoriteit Persoonsgegevens via het gratis telefoonnummer 088 - 1805 250.

WIJZIGINGEN
Wij behouden ons het recht voor deze privacyverklaring te allen tijde te wijzigen.