AVG verklaring 

 

2.1 Inventarisatie persoonsgegevens. 

Geef hieronder aan welke persoonsgegevens binnen de organisatie gebruikt worden. 

Andere gewone persoonsgegevens: 

ID nummer. Huisarts, beroep, sport, 

zorgverzekeringsgegevens. 

Aantekeningen bijzondere persoonsgegevens: 

Kopie id alleen bij dienstverleningsverband. 

Gewone persoonsgegevens 

. Naam/ voorletters/ tussenvoegsel 

. Titels 

. Adres 

. Postcode 

. Plaats 

. Provincie 

. Land 

. Woonplaats 

. Telefoonnummer 

. Faxnummer 

. E-mailadres 

. Website 

. Geslacht 

. Geboortedatum 

. Geboorteplaats 

. Overlijdensdatum 

. Burgerlijke staat 

. LinkedIn 

. Facebook 

. Twitter 

. Werkzaam bij organisatie 

. Bankrekeningnummer 

. Inloggegevens (gebruikersnaam/wachtwoord) 

. Voertuig kentekenplaat 

. Salarisgegevens Salarisgegevens worden niet 

gezien als bijzondere gegevens. 

Bijzondere persoonsgegevens 

. Etnische afkomst 

. Politieke opvattingen of voorkeur 

. Religieuze opvatting of overtuiging 

. Lidmaatschap van een vakbond 

. Genetische of biometrische gegevens met het oog 

op unieke identificatie 

. Gegevens over gezondheid 

. Gegevens over seksuele geaardheid 

. Strafrechtelijke gegevens of veroordelingen of 

daarmee verband houdende 

veiligheidsmaatregelen 

. Kopie identiteitsbewijs/paspoort, zonder voorlegger 

gekopieerd 

. BSN-nummer Organisaties buiten de overheid 

mogen het BSN alleen gebruiken als dat wettelijk 

is bepaald. Dit geldt bijvoorbeeld voor 

zorgverleners, zoals huisartsen, apotheken en 

zorgverzekeraars. Ook in het onderwijs en 

kinderopvang wordt het BSN gebruikt.

3.1 Inventarisatie doelbinding. 

Welke persoonsgegevens verwerk je, met welk doel en heb je ze daar ook voor gekregen? Dat noemen we 

‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de 

doeleinden waarvoor je deze hebt verkregen. 

Voor de inventarisatie van de vormen van doelbinding binnen de onderneming hebben wij onderstaand schema 

gemaakt. Voor doelbindingen die veel voorkomen, hebben wij het schema al ingevuld en die kun je dus zo 

aanvinken. Komen er binnen je onderneming nog andere doelbindingen voor, dan kun je deze in de open vorm 

noteren bij 3.3. 

Grondslag: Grondslag is een reden op basis waarvan je de persoonsgegevens mag verwerken. Een reden kan zijn 

een verkregen toestemming (b.v. het krijgen van een visitekaartje of een inschrijving voor een nieuwsbrief). Een 

reden kan ook zijn dat je deze persoonsgegevens nodig hebt voor het uitvoeren van een overeenkomst (b.v. een 

koopcontract of een lidmaatschapsovereenkomst). 

 

(N = Naam, A = Adres, W = Woonplaats, T = Telefoon, E = e-mailadres) 

. Klant of leverancier 

Persoonsgegevens: NAWTE. 

Grondslag: Opdracht of contract. 

Verwerkingen: Administratie, bevestiging, uitlevering. 

Verwerkt door: Afdeling administratie, afdeling sales en afdeling inkoop. 

Bewaartermijn: Gedurende de looptijd van de overeenkomst. 

Beschrijf hieronder kort uw situatie: 

Om afspraken te kunnen plannen met de juiste persoon. 

. Klant en BSN 

Organisaties buiten de overheid mogen het BSN (burger-servicenummer) alleen gebruiken als dat volgens de wet 

is toegestaan. Anders mag het niet! Het is toegestaan voor bijvoorbeeld zorgverleners, zoals huisartsen en 

apotheken en ook voor zorgverzekeraars. Ook in het onderwijs wordt het BSN gebruikt. Hier heet het ook wel 

onderwijsnummer of persoonsgebonden nummer. Organisaties kunnen niet onder het verbod uitkomen door 

mensen toestemming te vragen voor het gebruik van hun BSN! 

Verwerkt door: Bestuur en beheerder. 

Bewaartermijn: Gedurende lidmaatschap of gebruik en 12 maanden daarna en voorts alleen in de financiële 

administratie voor maximaal 7 jaar. 

Beschrijf hieronder kort uw situatie: 

. Aanmelden voor nieuwsbrief 

Persoonsgegevens: Naam en e-mailadres. 

Grondslag: Aanmelding voor nieuwsbrief (formulier op de website). 

Verwerkingen: Informatie verstrekking in de vorm van nieuwsbrieven. 

Verwerkt door: Afdeling communicatie. 

Bewaartermijn: Gedurende de periode dat men aangemeld is. 

Beschrijf hieronder kort uw situatie: 

Alleen bij een verhuizing naar een ander adres gaat er een nieuwsbrief uit om op de hoogte te worden gebracht van 

de lokatiewijziging. 

. Prospect, stakeholder-/lobbycontacten en geïnteresseerde 

Persoonsgegevens: NAWTE. 

Grondslag: Mondelinge toestemming, afgifte visitekaartje en/of via LinkedIn. 

Verwerkingen: Informatieverstrekking in de vorm van nieuwsbrieven of gerichte contacten. 

Verwerkt door: Afdeling communicatie, directie, vakkennisafdelingen en/of relatie beheerder. 

Bewaartermijn: Gedurende de periode dat men contact heeft. 

Beschrijf hieronder kort uw situatie: 

Andere bedrijven die gekoppeld zijn aan mijn bedrijf omdat ze hetzelfde adres hebben en andere praktijken waar ik 

naar verwijs als ik een wachttijd heb voor mijn agenda. Het aanbevelen van andere zorgverleners via 

informatieverstrekking. 

. Stakeholder-/lobbycontacten met politieke voorkeur 

Persoonsgegevens: NAWTE + politieke voorkeur. 

Grondslag: Mondelinge toestemming, afgifte visitekaartje en/of via LinkedIn. 

Verwerkingen: Persoonlijke contacten en nieuwsvoorziening. 

Verwerkt door: Afdeling communicatie, directie. 

Bewaartermijn: Gedurende de periode dat men contact heeft. 

Beschrijf hieronder kort uw situatie: Bedrijven die gelieerd zijn aan de praktijk zoals artikelen en gebruiksvoorwerpen. schoonmaakbedrijf en materiaal leveranciers

. Medewerkers 

Persoonsgegevens: NAWTE + geboortedatum, kopie ID en bankgegevens. 

Grondslag: Arbeidsovereenkomst. 

Verwerkingen: Salariëring. 

Verwerkt door: HRM-afdeling. 

Bewaartermijn: Gedurende de periode dat men een contract heeft. 

Beschrijf hieronder kort uw situatie: 

Er is een medewerker in dienst. 

. Medewerkersfoto’s op de website 

Persoonsgegevens: Naam + foto. 

Grondslag: Aanvullende personeelsovereenkomst. 

Verwerkingen: Medewerkersfoto’s op website. 

Verwerkt door: Administratie, afdeling communicatie. 

Bewaartermijn: Gedurende de periode dat men een contract heeft. 

Beschrijf hieronder kort uw situatie: 

Om de klanten op de hoogte te brengen van de aanwezige medewerkers kan een pasfoto opgenomen worden op 

de website. Stagiaires worden met pasfoto op het informatiebord gehangen totdat de stage afgelopen is. Er 

. Vrijwilligers 

Persoonsgegevens: NAWTE. 

Grondslag: Vrijwilligersovereenkomst. 

Verwerkingen: Informatieverstrekking. 

Verwerkt door: Afdeling communicatie, vakkennisafdelingen en/of relatie beheerder. 

Bewaartermijn: Gedurende de periode dat men een contract heeft. 

Beschrijf hieronder kort uw situatie: 

. Direct marketing (alleen bellen of papier) 

Persoonsgegevens: NAWTE. 

Grondslag: Geen overeenkomst nodig. 

Verwerkingen: Toesturen van (of bellen over) informatie over de organisatie en/of producten/diensten. 

Verwerkt door: Afdeling marketing/communicatie. 

Bewaartermijn: Gedurende de periode dat men gezien wordt als prospect voor de organisatie of haar 

diensten/producten. 

Beschrijf hieronder kort uw situatie:

. Digitale direct marketing (e-mail, facebook, LinkedIn, fax, SMS etc.) 

Persoonsgegevens: NAWTE. 

Grondslag: Digitale toestemming vooraf, b.v. bij aanvragen van informatie of inschrijven voor een 

nieuwsbrief. 

Verwerkingen: Digitaal toesturen van (of benaderen over) informatie over de organisatie en/of 

producten/diensten. 

Verwerkt door: Afdeling marketing/communicatie. 

Bewaartermijn: Gedurende de periode dat men gezien wordt als prospect voor de organisatie of haar 

diensten/producten. 

Beschrijf hieronder kort uw situatie: 

Er is een Facebook account maar niemand wordt actief uitgenodigd om hier aan gekoppeld te worden. 

3.3 Beschrijving van extra doelbinding. 

Als je meer persoonsgegevens, verwerkingen en/of overeenkomsten hebt dan bij 3.1 beschreven, voeg deze dan 

hieronder toe. Voeg de extra beschrijving over doelen en doelbinding hieronder toe zodat we die kunnen opnemen 

in de AVG-verklaring. 

Persoonsgegeven: ID nummer. Grondslag: Wettelijk verplichting Verwerking: vaststellen identiteit. Verwerkt door: 

administratie. Bewaartermijn:15 jaar. 

Persoonsgegeven: Huisarts. Grondslag: Wettelijk verplichting Verwerking: schriftelijk verslag. Bij verwijzing na 

afsluiten behandelepisode. DTF voor en na behandelepisode. Verwerkt door: administratie. Bewaartermijn: 15 jaar. 

Persoonsgegeven: Beroep. Grondslag: Indicatie belastbaarheid. Verwerking: Dossiervorming Bewaartermijn:15 jaar 

Persoonsgegeven: Sport. Grondslag: indicatie belastbaarheid en niveaubepaling Verwerking: Dossiervorming. 

Bewaartermijn: 15 jaar 

Persoonsgegeven: Zorgverzekeringsgegevens. Grondslag: financiele afwikkeling. Verwerking: administratie. 

Bewaartermijn: 15 jaar

4.1 Privacy policy vindbaar, verwijzing in documenten. 

De privacy policy van de organisatie moet voor iedereen vindbaar zijn. Het eenvoudigste is om deze op de website 

van de organisatie te zetten en op elke pagina (onderaan) een link hier naartoe te leggen. 

Beschrijf hieronder kort uw situatie: 

De privacy policy is via de hoofdbalk op iedere webpagina bereikbaar. 

Beschrijf hieronder kort uw situatie: 

In ieder document van Praktijk voor OMT is expliciet een verwijzing naar onze privacy policy opgenomen. 

. Wij als organisatie hebben onze privacy policy zichtbaar gemaakt op onze website. 

. Wij als organisatie hebben onze privacy policy niet vindbaar gemaakt op onze website. 

In alle overeenkomsten (documenten waarin persoonsgegevens gevraagd worden) moet een verwijzing staan naar 

de privacy policy. 

. Wij als organisatie verwijzen in al onze documenten (contract, overeenkomst, aanmeldingsformulier, etc.) 

waarin persoonsgegevens staan naar onze privacy policy op de website van de organisatie. 

. Wij als organisatie verwijzen in documenten (contract, overeenkomst, aanmeldingsformulier, etc.) waarin 

persoonsgegevens staan niet naar onze privacy policy op de website van de organisatie.

5.1 Werken met verwerkersovereenkomst. 

Als organisatie mag je persoonsgegevens niet doorgeven aan een andere partij zonder een 

verwerkersovereenkomst. In een verwerkersovereenkomst spreek je af wat de ander met de gegevens mag doen én 

ook vooral wat niet. 

Beschrijf hieronder kort uw situatie: 

. Wij als organisatie verklaren dat wij nooit persoonsgegevens doorgeven aan andere partijen waarmee we 

geen verwerkersovereenkomst hebben afgesloten als dit noodzakelijk is voor uitvoering van de doeleinden 

waarvoor we ze hebben gekregen. 

. Wij als organisatie verklaren dat wij ook persoonsgegevens doorgeven aan andere partijen waarmee we geen 

verwerkersovereenkomst hebben afgesloten. 

. Wij als organisatie verklaren dat wij geen persoonsgegevens doorgeven aan andere partijen.

6.1 Toegangsbeveiliging. 

Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten 

deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam. Zo kun je een Excelbestand 

beveiligen met een wachtwoord en een PC voorzien van een gebruikersnaam en een wachtwoord. Zorg er 

dus voor dat je altijd minimaal één keer een wachtwoord moet weten voordat je de persoonsgegevens van jouw 

organisatie kunt inzien of bewerken. 

Beschrijf hieronder kort uw situatie: 

Om bij de dossiers te komen van Praktijk voor OMT zijn drie verschillende gebruikersnamen en wachtwoorden 

nodig om bij de data te kunnen komen. 

. Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een 

gebruikersnaam en een wachtwoord. 

. Wij als organisatie hebben persoonsgegevens niet altijd opgeslagen achter de beveiliging van minimaal een 

gebruikersnaam en een wachtwoord. 

. Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen 

toegangsbeveiliging.

7.1 Software en antivirussoftware up-to-date. 

Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het 

automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg 

ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken 

met al je softwareleveranciers. 

Beschrijf hieronder kort uw situatie: 

. Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met 

beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om 

automatisch updates op te halen en te installeren. 

. Wij als organisatie hebben de persoonsgegevens niet alleen opgeslagen op computers/servers met 

beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om 

automatisch updates op te halen en te installeren. 

. Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen 

software updates.

8.1 Opslaan alleen binnen de EU. 

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten moeten voldoen 

aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een 

partij buiten de EU of een internationale organisatie, moet je kijken of er een adequaatheidsbesluit van de Europese 

Commissie bestaat. Je moet ook weten en kunnen aantonen dat er passende of geschikte waarborgen zijn, en hoe 

er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. 

De wetgever is dus extra streng als je persoonsgegevens wilt verwerken/opslaan buiten de EU. Als je dat toch zou 

willen, dan moet er heel veel geregeld worden bovenop de normale AVG-verplichtingen. Dus check of je 

dienstverlener (drukker, verspreider, enz.) de toevertrouwde persoonsgegevens binnen de EU opslaat. 

Het is dus het makkelijkste om persoonsgegevens alleen te verwerken binnen de EU, dit raden wij daarom ook 

sterk aan. 

Beschrijf hieronder kort uw situatie: 

. Wij als organisatie verklaren dat wij nooit persoonsgegevens overdragen aan of opslaan bij partijen die 

gevestigd zijn buiten de EU. 

. Wij als organisatie verklaren dat wij ook persoonsgegevens overdragen aan of opslaan bij partijen die 

gevestigd zijn buiten de EU.

9.1 Data back-up. 

Om de persoonsgegevens te beschermen tegen het verlies of diefstal moet je back-ups maken. Het is noodzakelijk 

om dat regelmatig te doen. Zorg ervoor dat deze back-up veilig wordt opgeborgen. 

Beschrijf hieronder kort uw situatie: 

Er zijn twee bedrijven die beide een online back-up maken voor Praktijk voor OMT automatisch minimaal 2x per 

dag. 

. Wij als organisatie hebben de opgeslagen persoonsgegevens beveiligd met een back-up. 

. Wij als organisatie hebben de persoonsgegevens niet beveiligd met een back-up. 

. Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen backup.

10.1 Geautoriseerde medewerkers. 

Via autorisatie regel je wie binnen de organisatie welke persoonsgegevens mag verwerken. 

Beschrijf hieronder kort hoe jullie de autorisatie geregeld hebben: 

Onderstaande vragen zijn alleen ter bewustwording en hoeven niet precies ingevuld te worden! 

Wij als organisatie hebben 1 personen geautoriseerd om de persoonsgegevens van de organisatie in te zien en te 

verwerken indien dit nodig in voor de uitoefening van hun functie. 

Wij als organisatie hebben van 1 personen de persoonsgegevens geregistreerd. 

. In onze organisatie hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de 

organisatie. 

. In onze organisatie hebben ook niet geautoriseerde personen toegang tot de persoonsgegevens van de 

organisatie.

11.1 Vernietigen persoonsgegevens. 

Geef hieronder aan dat je organisatie alle persoonsgegevens vernietigt door bijvoorbeeld een regel te wissen in 

Excel en/of het versnipperen van een aanmeldingsformulier als er geen overeenkomst meer is. Persoonsgegevens 

mogen niet langer worden bewaard dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt. Dus: 

na beëindiging van een overeenkomst worden de persoonsgegevens van die persoon vernietigd. 

Wijs aan wie verantwoordelijk is voor het vernietigen van persoonsgegevens of de controle op de vernietiging. 

NB: Verscheuren en weggooien is onvoldoende. Schaf daarom een versnipperaar aan. 

Let op: In de financiële administratie mogen (of eigenlijk: moeten!) deze persoonsgegevens nog wel blijven staan, 

want daar geldt een (wettelijke) bewaarplicht van 7 jaar. 

Beschrijf hieronder kort uw situatie: 

Dossiers met paramedische gegevens worden minimaal 15 jaar bewaard vanwege wettelijke verplichting. 

. Wij als organisatie verklaren dat wij alle persoonsgegevens vernietigen als de overeenkomst op grond 

waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken. 

. Wij als organisatie verklaren dat wij geen persoonsgegevens vernietigen als de overeenkomst op grond 

waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.

12.1 Toestemming voor direct marketing en bij minderjarigheid. 

Bij direct marketing. 

De wetgever maakt onderscheid tussen gewone direct marketing (bellen en post sturen) of digitale marketing (via email, 

fax, Facebook, LinkedIn of sms). Doordat gewone direct marketing een organisatie geld kost zal dat altijd 

beperkt blijven. Juist digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden met alle 

gevolgen van dien. 

Beschrijf hieronder kort uw situatie: 

Er is geen sprake van marketing. 

Bij minderjarigheid (jonger dan 16 jaar). 

Als je persoonsgegevens hebt van personen jonger dan 16 jaar, dan moet je daarvoor altijd schriftelijk een 

handtekening (op papier!) voor akkoord hebben van de ouder, verzorger of wettelijke vertegenwoordiger. Geef 

hieronder aan dat je organisatie dat ook altijd zo doet. 

Beschrijf hieronder kort uw situatie: 

Via een patiënt informatie formulier dat bij het eerste contact gegeven wordt. 

. Wij als organisatie vragen vooraf altijd toestemming voordat we iemand benaderen via digitale direct 

markering. 

. Wij als organisatie vragen vooraf geen toestemming voordat we iemand benaderen via digitale direct 

markering. 

. Wij als organisatie maken geen gebruik van digitale direct markering. 

. Wij als organisatie verklaren dat wij alleen persoonsgegevens van minderjarigen verwerken als daarvoor 

schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger. 

. Wij als organisatie verklaren dat wij persoonsgegevens van minderjarigen verwerken zonder dat daarvoor 

schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger. 

. Wij als organisatie verklaren dat wij geen persoonsgegevens van minderjarigen verwerken.

13.1 Papieren documenten en beveiliging. 

Als persoonsgegevens ook vastliggen op papier (denk aan contracten), dan moeten die papieren met 

persoonsgegevens achter slot en grendel zijn opgeslagen. Praktisch: bewaar dus alle papieren met 

persoonsgegevens in een kast die je steeds op slot doet. Alleen personen die voor hun werk voor de organisatie 

daarvoor toestemming hebben, mogen in die kast komen. 

Beschrijf hieronder kort uw situatie: 

Alle papieren documenten worden gescand en weer direct meegegeven aan de patiënt. Alle andere papieren 

documenten worden achter slot en grendel bewaard waarbij alleen de eigenaar de sleutel heeft. 

. Wij als organisatie hebben papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot 

en grendel. 

. Wij als organisatie hebben niet alle papieren documenten waarop de persoonsgegevens staan, opgeslagen 

achter slot en grendel. 

. Wij als organisatie hebben geen papieren documenten waarop de persoonsgegevens staan.

14.1 Datalekken. 

Iedereen in de organisatie moet op de hoogte zijn wat een een datalek is en wat je eraan moet doen. Geef aan wat 

voor jullie van toepassing is: 

Beschrijf hieronder kort hoe jullie met datalekken omgaan: 

. Binnen onze organisatie is iedereen op de hoogte van wat een datalek is. Ook is bekend waar dit intern 

gemeld moet worden zodat wij als organisatie adequaat het datalek kunnen afhandelen en documenteren. 

. Binnen onze organisatie is niet iedereen op de hoogte van wat een datalek is. Ook is niet bekend waar dit 

intern gemeld moet worden zodat wij als organisatie adequaat het datalek kunnen afhandelen en 

documenteren.

15.1 Medewerkers geïnstrueerd 

Wij hebben onze medewerkers als volgt geïnstrueerd: 

Hieronder is ruimte om te beschrijven hoe jullie de medewerkers geïnstrueerd hebben: 

Er is besproken wat de privacywet inhoudt en de do's en dont's zijn besproken en kunnen ten allen tijde terug 

gezien worden. 

. Alle medewerkers hebben de video van de Stichting AVG bekeken. 

. We hebben het onderwerp privacy bescherming in alle afdelingsoverleggen besproken. 

. We hebben uitlegposters opgehangen. 

. We hebben alle medewerkers een brief gestuurd met uitleg en instructie. 

. We hebben met alle medewerkers een workshop over privacy bescherming gevolgd. 

. We hebben een nieuwsbrief voor alle medewerkers waarin we regelmatig aandacht besteden aan privacy 

bescherming. 

. Onze directeur/voorzitter heeft alle medewerkers opgeroepen extra aandacht te besteden aan privacy 

bescherming.

 

Aldus verklaard 

door: 

Naam organisatie: 

Praktijk voor OMT 

Naam persoon: 

Pieter Koen van der Velden 

Plaats: Leiden 

Datum: 14-05-2018