Privacyreglement Fundamentum 2019
Dit reglement is van toepassing binnen alle vestigingen van Fundamentum en heeft onder meer betrekking op de verwerking van persoonsgegevens van cliënten die bij Fundamentum onder behandeling zijn.
Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsook op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.
1. Definities
Autoriteit Persoonsgegevens (AP): de Nederlandse toezichthoudende autoriteit, een onafhankelijke instantie die erover waakt dat persoonsgegevens in overeenstemming met de wet, zorgvuldig en veilig worden verwerkt en zo nodig sancties kan opleggen als dat niet gebeurt.
Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn.
Betrokkene: degene op wie een persoonsgegeven betrekking heeft, meestal de cliënt, of zijn (wettelijk) vertegenwoordiger.
Bijzondere categorieën persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Derde: elke natuurlijke persoon of rechtspersoon of (overheids)instantie die geen betrokkene, crisisverwerkingsverantwoordelijke, verwerker, of een persoon is die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd is persoonsgegevens te verwerken.
Functionaris Gegevensbescherming (FG): functionaris die door Fundamentum wordt aangesteld voor het informeren en adviseren over en het toezicht houden op de toepassing en naleving van de AVG en andere gegevensbeschermingsbepalingen.
Gezondheidsgegevens: gegevens over de lichamelijke of geestelijke gezondheid van een persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
Inbreuk in verband met persoonsgegevens (‘Datalek’): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Toestemming van de betrokkene: door betrokkene, op goede informatie berustende, specifieke, in vrijheid en ondubbelzinnig gegeven toestemming waarbij betrokkene de hem betreffende verwerking van persoonsgegevens door de verwerkingsverantwoordelijke aanvaardt. Dat kan door middel van een schriftelijke of mondelinge verklaring of een ondubbelzinnige actieve handeling (zoals het elektronisch aanvinken van een hokje).
Verwerker: de natuurlijke persoon of rechtspersoon die in opdracht van en in het kader van de doeleinden van de verwerkingsverantwoordelijke te zijner behoeve persoonsgegevens verwerkt (bijvoorbeeld een externe hostingsfirma, saas-leverancier, kwaliteitsauditor of een extern salarisadministratiekantoor).
Verwerking van persoonsgegevens: alle handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, structureren, opslaan, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op een andere wijze of in een andere vorm beschikbaar stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; hier Fundamentum.
Zorgaanbieder: Fundamentum
2. Verwerking van persoonsgegevens in overeenstemming met de AVG 2.1 Beginselen inzake persoonsgegevens verwerking Fundamentum is als Verwerkingsverantwoordelijke verantwoordelijk voor de naleving van onderstaande beginselen bij de verwerking van persoonsgegevens en moet de naleving van deze beginselen kunnen aantonen (“verantwoordingsplicht”). In opdracht van Fundamentum worden persoonsgegevens alleen verwerkt: op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is; voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; voor zover zij toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking” ook wel “ dataminimalisatie”); indien de persoonsgegevens juist zijn en zo nodig worden geactualiseerd. Fundamentum treft alle redelijke maatregelen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (“juistheid”) en bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden van Fundamentum waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Fundamentum slaat persoonsgegevens voor langere perioden op voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt. Hiertoe treft Fundamentum passende technische en organisatorische maatregelen teneinde de rechten en vrijheden van de betrokkenen te beschermen (“opslagbeperking”); onder passende technische en organisatorische maatregelen die op een dusdanige manier functioneren dat hiermee een passend niveau van beveiliging gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit en vertrouwelijkheid”). 2.2 Rechtmatigheid van de verwerking De verwerking is alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden, rechtsgrond voor de verwerking, is voldaan: de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden; Fundamentum moet de toestemming kunnen aantonen en betrokkene heeft het recht de toestemming te allen tijde in te trekken; de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst door Fundamentum waarbij de betrokkene partij is, bijvoorbeeld de behandelingsovereenkomst; de gegevensverwerking is noodzakelijk om een op Fundamentum rustende wettelijke verplichting na te komen, bijvoorbeeld de dossierplicht in de Wgbo of gegevensverstrekking bij gedwongen opname en gedwongen behandeling op grond van de Wet Bopz; de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een ander natuurlijk persoon; de gegevensverwerking is noodzakelijk voor de goede vervulling van een taak van algemeen belang; de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde én de belangen, grondrechten of fundamentele vrijheden van degene van wie de gegevens worden verwerkt prevaleren niet. 2.3 Voorwaarden voor het verwerken van gezondheidsgegevens Gezondheidsgegevens zijn één van de categorieën bijzondere persoonsgegevens. Het is in de AVG verboden bijzondere categorieën persoonsgegevens te verwerken, tenzij voldaan wordt aan één van de onderstaande voorwaarden: De betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor één of meer welbepaalde doeleinden. De verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht. De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven. De verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, waarbij Fundamentum de evenredigheid met het nagestreefde doel waarborgt, het recht op bescherming van persoonsgegevens eerbiedigt en passende en specifieke maatregelen treft ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene. Als de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten. Zo mogen gegevens over gezondheid worden verwerkt met het doel gezondheidszorg te leveren, onder de verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim gebonden is of door een ander persoon die op grond van de wet of overeenkomst tot geheimhouding is gehouden. Het voldoen aan een van voornoemde voorwaarden, laat de noodzaak van de aanwezigheid van een verwerkingsgrondslag onverlet. 2.4 Gegevensverwerking door verwerker Fundamentum kan de verwerking (extern) uitbesteden aan een verwerker en legt dan in een verwerkersovereenkomst de verplichtingen uit de AVG op aan de verwerker. Fundamentum doet uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische (beveiligings)maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De verwerking door een verwerker wordt geregeld in een (verwerkers)overeenkomst die de verwerker ten aanzien van Fundamentum bindt en waarin het onderwerp, de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van Fundamentum worden omschreven. Daarnaast bevat de overeenkomst bepalingen die zien op de rechten van betrokkenen en de consequenties in het geval van een datalek. Een dergelijke overeenkomst dient te voldoen aan de eisen die de AVG daaraan stelt. De verwerker en eenieder die onder het gezag van Fundamentum of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van Fundamentum, tenzij hij door wet- of regelgeving tot verwerking gehouden is. 2.5 Aansprakelijkheid verwerkingsverantwoordelijke en/of verwerker 1 . Fundamentum (verwerkingsverantwoordelijke) is verantwoordelijk en aansprakelijk voor schade die voortvloeit uit het toerekenbaar tekortschieten of niet voldoende naleven van de AVG, waaronder het wel/niet naleven van de beveiligingseisen. 2 . De verwerker, waaraan Fundamentum (een deel van) gegevensverwerking heeft uitbesteed, kan daarnaast zelfstandig aansprakelijk zijn voor schade of een deel van de schade die voortvloeit uit zijn werkzaamheden. Hoe die aansprakelijkheid wordt verdeeld, wordt beoordeeld door de schadeverzekeraar of de rechter. 2.6 Wanneer mogen andere bijzondere gegevens dan de gezondheidsgegevens worden verwerkt? Andere bijzondere gegevens, bijvoorbeeld gegevens met betrekking tot ras/etniciteit of godsdienst/ levensovertuiging mogen alleen als aanvulling op gezondheidsgegevens worden verwerkt als dat nodig is voor een goede behandeling of verzorging van de betrokkene en dus niet systematisch bij elke betrokkene. Dit bijvoorbeeld bij de inschakeling van een tolk/vertaler als dat voor de uitleg van de behandeling nodig is. 2.7 Geheimhoudingsplicht en verstrekking aan derden 2 1 . Persoonsgegevens verkregen in de uitoefening van een beroep in de (geestelijke) gezondheidszorg vallen onder de geheimhoudingsplicht van de hulpverlener. Deze geheimhoudingsplicht is o.a. vastgelegd in de Wgbo en/of Jeugdwet en de wet BIG en in verschillende beroepscodes. . Bij de verstrekking van gegevens aan derden wordt de wet nageleefd. 2.8 Wanneer mogen gegevens aan een ander worden verstrekt voor wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid? De gegevensverwerking door Fundamentum met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met de AVG voor de rechten en vrijheden van de betrokkene. De waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt. Tevens kan er in nationale wetgeving worden afgeweken van bepaalde rechten van betrokkenen uit de AVG voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken. De Wgbo geeft onderstaande afwijkende bepalingen voor wetenschappelijk onderzoek op het gebied de van gezondheidszorg. Het uitgangspunt is dat voor het verstrekken van niet geanonimiseerde gegevens toestemming van de betrokkene is vereist. In afwijking van dit uitgangspunt kan ook zonder toestemming van de betrokkene ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander desgevraagd inlichtingen over de betrokkene of inzage in de bescheiden, worden verstrekt indien: 1 . het vragen van toestemming in redelijkheid niet mogelijk is en bij de uitvoering van het onderzoek zodanige waarborgen gelden, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of: 2 . het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener ervoor zorgt dat gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. Verder moet: a) het onderzoek een algemeen belang dienen; b) aangetoond zijn dat het onderzoek niet zonder de gegevens kan worden uitgevoerd; en c) de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar hebben gemaakt. Belangrijk om te beseffen is dat bovenstaande drie voorwaarden cumulatief werken; verstrekking is pas mogelijk indien aan alle voorwaarden is voldaan. 2.9 Afspraken met de onderzoeker Fundamentum (verwerkingsverantwoordelijke) en de onderzoeker maken schriftelijke afspraken over de maatregelen die de onderzoeker neemt om de privacy van betrokkenen te beschermen. 2.10 Bewaren van persoonsgegevens Fundamentum bewaart de persoonsgegevens op een veilige wijze , die in overeenstemming is met de geldende wet- en regelgeving. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt, tenzij de gegevens worden geanonimiseerd of indien het noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering. Fundamentum stelt vast hoelang de vastgelegde/geregistreerde persoonsgegevens bewaard blijven in overeenstemming met de geldende wet- en regelgeving. Indien nog geen specifieke termijn kan worden genoemd: de criteria voor het vaststellen van de bewaartermijn. Voor gezondheidsgegevens die binnen de zorgrelatie worden verwerkt, zoals het dossier van de cliënt, gelden verschillende bewaartermijnen.
3. Rechten van de betrokkenen 3.1 Voorwaarden met betrekking tot de uitvoering van de rechten van de betrokkenen 1. Het aan de betrokkene verstrekken van de in deze paragraaf bedoelde informatie, het voeren van de communicatie en het treffen van de maatregelen geschieden kosteloos. Indien het verzoek kennelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter ervan, mag Fundamentum: a) een redelijke vergoeding in rekening brengen voor administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel: b) weigeren gevolg te geven aan het verzoek. Het is aan Fundamentum om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen. 2. Fundamentum verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek en van het aantal verzoeken kan die termijn door Fundamentum indien nodig met nog eens twee maanden worden verlengd. Fundamentum stelt de betrokkene binnen één maand, na ontvangst van het verzoek, in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk ook elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. 3.2 Te verstrekken informatie 2. 1. Als Fundamentum gegevens bij de betrokkene zelf opvraagt om te verwerken, informeert hij de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, voorafgaand aan het verkrijgen van zijn persoonsgegevens, over: a) de identiteit en de contactgegevens van Fundamentum; b) indien van toepassing de contactgegevens van de door Fundamentum benoemde Functionaris Gegevensbescherming; c) de verwerkingsdoelen van Fundamentum waarvoor de gegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; d) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens. Daarnaast dient de betrokkene onderstaande aanvullende informatie te worden verstrekt om een behoorlijke en transparante verwerking te waarborgen: a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is, de criteria ter bepaling van die termijn; b) de mogelijkheden die de betrokkene heeft om een verzoek om inzage, rectificatie of het wissen van de persoonsgegevens te doen of een verzoek tot beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking door Fundamentum bezwaar te maken en het recht op gegevensoverdraagbaarheid; c) Indien de gegevensverwerking op zijn toestemming is gebaseerd, dient de betrokkene geïnformeerd te worden over het recht om te allen tijde die toestemming in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming voor de intrekking daarvan. d) het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens en op welke wijze de betrokkene deze rechten kan inroepen. e) Informatie omtrent de vraag of de verstrekking van persoonsgegevens op een wettelijke of contractuele verplichting is gebaseerd, dan wel een noodzakelijke voorwaarde is om een overeenkomst te sluiten, en: of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt. 3 . . Wanneer Fundamentum voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld, vraagt Fundamentum de betrokkene opnieuw toestemming vóór die verdere verwerking. 4 De leden 1, 2 en 3 van dit artikel zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt. 3.3 Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen 2. 1 . Wanneer persoonsgegevens niet van de betrokkene zelf zijn verkregen, verstrekt Fundamentum de betrokkene alle hierboven (artikel 3.2) onder lid 1 en 2 genoemde informatie en bovendien de betrokken categorieën van persoonsgegevens alsmede de bron waar de persoonsgegevens vandaan komen. Fundamentum verstrekt de in het eerste lid van dit artikel bedoelde informatie: a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waaronder de persoonsgegevens worden verwerkt; b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of: c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt. d) Wanneer Fundamentum voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, vraagt Fundamentum opnieuw toestemming vóór die verdere verwerking. 3. Fundamentum hoeft de betrokkene niet te informeren over de hiervoor genoemde informatie indien: a) de betrokkene al over de informatie beschikt; b) het informeren van betrokkene onmogelijk blijkt of een onevenredige inspanning kost. Dit in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1 AVG, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt Fundamentum passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie; c) het verkrijgen of verstrekken van informatie (zoals hiervoor genoemd) op grond van wet- en regelgeving verplicht is voor Fundamentum en die wet- en regelgeving voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of: d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van wet- en regelgeving, waaronder een statutaire geheimhoudingsplicht. 3.4 Inzage en afschrift/kopie 1 . 2 . 3 . De betrokkene van twaalf jaar of ouder heeft het recht op inzage en een kopie van de op zijn persoon betrekking hebbende, door Fundamentum verwerkte gegevens. De inzage of afschrift verstrekking vindt plaats voor zover daarbij de persoonlijke levenssfeer van een ander niet wordt geschaad. Bijvoorbeeld: informatie over of verstrekt door derden (niet-professionals), zoals familie en naastbetrokkenen of omstanders, wordt niet zonder voorafgaande toestemming van die derde aan betrokkene verstrekt. Een wettelijk vertegenwoordiger van jongeren onder de 16 jaar of van een wilsonbekwame volwassene, heeft recht op inzage in of afschrift van het dossier met dezelfde uitzondering voor informatie over of verstrekt door derden (de andere ouder, familie, naastbetrokkenen en omstanders) voor zover van die vertegenwoordigers toestemming voor de behandeling is vereist. De vertegenwoordiger krijgt alleen die informatie die noodzakelijk is voor het uitoefenen van zijn taken als vertegenwoordiger. Indien de hulpverlener door inlichtingen over de cliënt dan wel inzage in of afschrift van de bescheiden aan de (wettelijk) vertegenwoordiger te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege. Dit kan bijvoorbeeld het geval zijn indien een minderjarige bezwaar maakt tegen het verstrekken van (bepaalde) informatie aan de ouders of bij een vermoeden van kindermishandeling. In dat geval kan een ouder inzage in het dossier van de minderjarige worden geweigerd. Onder omstandigheden kan de hulpverlener in dat geval feitelijk worden belemmerd om de wettelijk vertegenwoordigers voldoende te informeren om hun toestemming voor de behandeling van de minderjarige te verkrijgen. 4. Indien Fundamentum van mening is dat de gevraagde inzage en/of de kopieën moeten worden verstrekt, dient dat zo spoedig mogelijk plaats te vinden/te worden verstrekt, doch uiterlijk binnen één maand. Afhankelijk van de complexiteit van het verzoek/de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Fundamentum stelt de betrokkene binnen één maand na ontvangst van het verzoek, in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. 3.5 Aanvulling van persoonsgegevens en beperking van de verwerking van persoonsgegevens 1. De betrokkene kan Fundamentum vragen om rectificatie (verbetering) van hem of haar betreffende persoonsgegevens als die onjuist zijn of Fundamentumverzoeken om vervollediging van zijn persoonsgegevens, met in acht neming van het doel van de verwerking, onder meer door een eigen aanvullende verklaring toe te voegen aan zijn dossier. 2 . Fundamentum informeert de verzoeker onverwijld en ten laatste binnen één maand na ontvangst van een verzoek tot aanvulling, rectificatie of wissing (verwijdering) van gegevens of en op welke manier aan het verzoek wordt voldaan. Fundamentum heeft de mogelijkheid om de termijn van één maand te verlengen met nog eens twee maanden afhankelijk van de complexiteit van het verzoek. In dat geval dient de betrokkene wel binnen één maand van die verlenging in kennis te worden gesteld. 3. 4 . 5 . Als Fundamentum het verzoek van betrokkene afwijst, geeft hij daarvan schriftelijk de reden. Fundamentum deelt een afwijzing van het verzoek onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek aan de verzoeker mee. Ook informeert Fundamentum de verzoeker over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens en de mogelijkheid om na afwijzing van die klacht beroep in te stellen bij de rechter. De betrokkene kan Fundamentum vragen om bepaalde gegevens voor bepaalde personen af te schermen en hen de toegang tot die gegevens te laten blokkeren. Het verzoek van een cliënt en de beslissing van Fundamentum tot rectificatie (verbetering), wissing of aanvulling van gegevens blijft bewaard in het dossier van de cliënt. 3.6 Recht op gegevenswissing (vergetelheid) 1. De betrokkene heeft het recht van Fundamentum zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en Fundamentum is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is: a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; b) de betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking; c) de persoonsgegevens zijn onrechtmatig verwerkt; d) op basis van een wettelijke verplichting, die op Fundamentum rust, moeten de persoonsgegevens worden gewist. 2 . 3 . 5 . . Fundamentum stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van de wissing (verwijdering) van persoonsgegevens tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Fundamentum verstrekt de betrokkene informatie over de identiteit van deze ontvangers indien de betrokkene hierom verzoekt. Wanneer Fundamentum de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 van dit artikel verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om eventuele verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen. Indien het gezondheidsgegevens betreft, wist Fundamentum de gegevens zonder onredelijke vertraging en verstrekt de betrokkene in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Fundamentum stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. 6 Een verzoek tot gegevenswissing mag alleen worden geweigerd als: a) de wet zich tegen de vernietiging verzet. Bijvoorbeeld: het dossier dat is aangelegd binnen een gedwongen behandeling moet vijf jaar na beëindiging van de BOPZ-behandeling of verblijf in het ziekenhuis bewaard blijven. Een verzoek van een cliënt tot vernietiging binnen vijf jaar kan daarom niet worden gehonoreerd; b) een derde een aanmerkelijk belang heeft bij bewaring van die gegevens. Bijvoorbeeld: een kind van een cliënt heeft een erfelijke ziekte; c) de cliënt heeft een procedure tegen de hulpverlener of Fundamentum aangespannen of het is waarschijnlijk dat hij dit zal doen; d) in het dossier gegevens over (vermoedens van) kindermishandeling staan dan kunnen deze gegevens op grond van de Meldcode Huiselijk Geweld en Kindermishandeling alleen op verzoek van het kind zelf worden vernietigd en uitsluitend als het kind de leeftijd van 16 jaar heeft bereikt en ter zake wilsbekwaam kan worden geacht; e) Fundamentum de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering; f) 7. sprake is van redenen van algemeen belang op het gebied van volksgezondheid. Het verzoek tot wissing van gezondheidsgegevens en de reactie daarop worden door Fundamentum bewaard. 3.7 Recht van bezwaar 1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van de noodzakelijkheid voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan Fundamentum is opgedragen of op basis van de noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van Fundamentum of van een derde; 2. Fundamentum beoordeelt onverwijld en in ieder geval binnen één maand na ontvangst van het bezwaar of het bezwaar gerechtvaardigd is. Indien het bezwaar gerechtvaardigd is, beëindigt hij onmiddellijk de verwerking, tenzij er sprake is van dwingende gerechtvaardigde gronden voor de verwerking die zwaarder wegen dan de belangen, vrijheden en rechten van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering. 3.8 Recht op gegevensoverdraagbaarheid (dataportabiliteit) 1 . De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan Fundamentum heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm van Fundamentum te verkrijgen en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke (bijvoorbeeld een andere zorgaanbieder) over te dragen, zonder daarbij door Fundamentum te worden gehinderd, indien de verwerking berust op toestemming of op uitvoering van een overeenkomst en de verwerking geautomatiseerd wordt verricht. 2 . 3 . 1 . 2 . 4 Bij de uitoefening van het recht op gegevensoverdraagbaarheid heeft de betrokkene het recht te verzoeken dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene zorgaanbieder naar de andere worden doorgezonden. Bij de uitoefening van dit recht mag geen afbreuk worden gedaan aan de rechten en vrijheden van anderen. 3.9 Vertegenwoordiging Bij een persoon jonger dan twaalf jaar en bij een wilsonbekwame persoon van twaalf tot achttien jaar, oefent (oefenen) de ouder(s) met gezag of de voogd de rechten van deze persoon uit, tenzij dit niet verenigbaar is met de zorg van een goed hulpverlener. De ouder die geen gezag heeft krijgt desgevraagd belangrijke, algemene en feitelijke informatie over de gezondheidstoestand van het kind, tenzij: a. de hulpverlener de informatie ook niet aan de ouder met gezag heeft verstrekt/ verstrekt; b. dit niet verenigbaar is met de zorg van een goed hulpverlener. 3 . De wilsbekwame persoon van twaalf jaar of ouder oefent zelfstandig zijn rechten over zijn persoons- en gezondheidsgegevens uit. Vernietiging van gegevens over (vermoedens van) kindermishandeling vindt uitsluitend plaats met toestemming van een wilsbekwame persoon van zestien jaar of ouder. . Is de betrokkene ouder dan achttien jaar en wilsonbekwaam ter zake, dan treedt als vertegenwoordiger voor hem op: a) een (toegewezen) curator of mentor; b) indien er geen curator of mentor is, de persoon die de betrokkene schriftelijk heeft gemachtigd; c) indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of levensgezel van de betrokkene; d) indien de echtgenoot of levensgezel ontbreekt of niet optreedt: een kind, broer of zus van de betrokkene. 5 . In het uiterste geval treedt Fundamentum op als goed hulpverlener; hij zorgt er voor dat er zo snel mogelijk een wettelijk vertegenwoordiger voor betrokkene optreedt. Zo nodig, als familie of een naaste dat niet kan of wil, verzoekt hij de rechter om een vertegenwoordiger te benoemen.
4 Veilige verwerking van persoonsgegevens 4.1 Verantwoordelijkheid van de verwerkingsverantwoordelijke 1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft Fundamentum passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. 2 . 3 . Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de hierboven bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door Fundamentum wordt nageleefd en uitgevoerd. Het aangesloten zijn bij goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen kan door Fundamentum worden gebruikt als argumenten om aan te tonen dat de verplichtingen van Fundamentum door hem zijn nagekomen. 4.2 Gegevensbescherming door ontwerp en standaardinstellingen (Privacy by design en default) 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft Fundamentum, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. 2. Fundamentum treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel van de verwerking. Dit ziet op de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. 4.3 Register van verwerkingen 1. Fundamentum houdt een verwerkingsregister bij met de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dit register bevat onder andere de volgende gegevens: a) de statutaire/handelsna(a)m(en) en de contactgegevens van Fundamentum en eventuele gezamenlijke verwerkingsverantwoordelijken, en van de Functionaris Gegevensbescherming; b) de verwerkingsdoeleinden; c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; e) indien van toepassing, informatie over doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, van de AVG bedoelde doorgiften, de documenten inzake de passende waarborgen; f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 2. De verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een verwerkingsregister bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens: a) de statutaire/handelsna(a)m(en) en de contactgegevens van de verwerkers en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de Functionaris Gegevensbescherming; b) de categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd; c) indien van toepassing, informatie over doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, eerste lid, tweede alinea, van de AVG bedoelde doorgiften, de documenten inzake de passende waarborgen; d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 3 . 4 . Het verwerkingsregister is in schriftelijke vorm, waaronder een elektronische vorm wordt begrepen, opgesteld. Desgevraagd stelt Fundamentum of de verwerker het verwerkingsregister ter beschikking van de Autoriteit Persoonsgegevens. 4.4 Medewerking verlenen aan/samenwerken met de Autoriteit persoonsgegevens Fundamentum en de verwerker en, in voorkomend geval, hun vertegenwoordigers, werken desgevraagd samen met de Autoriteit Persoonsgegevens en ondersteunen de Autoriteit Persoonsgegevens waar nodig bij het vervullen van haar taken. 4.5 Beveiliging van de verwerking 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen Fundamentum en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend en mogelijk, onder meer het volgende omvatten: a) de versleuteling van persoonsgegevens; b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen, bv de cloud is alleen middels multifactor-authentication toegankelijk, data is opgeslagen in datacenters en niet op locatie en wachtwoorden worden regelmatig aangepast; c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen, bv door het gebruik van een back-upline per locatie; d) een procedure voor het op door directe te beoordelen momenten testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, met name als gevolg van 3 . 4 . vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan worden gebruikt als argument om aan te tonen dat Fundamentum de in lid 1 van dit artikel bedoelde vereisten naleeft. Fundamentum en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van Fundamentum of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van Fundamentum verwerkt, tenzij hij daartoe volgens wet- en regelgeving is gehouden. 4.6 Melding van een inbreuk in verband met persoonsgegevens aan de Autoriteit Persoonsgegevens (datalekken melden aan de AP) en datalekkenregister 1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt Fundamentum dit zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Autoriteit Persoonsgegevens niet binnen 72 uur plaatsvindt, wordt de vertraging door Fundamentum toegelicht (gemotiveerd). 2. Fundamentum draagt er door middel van de verwerkersovereenkomst zorg voor dat de verwerker Fundamentum zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens informeert. 3. In de melding aan de Autoriteit Persoonsgegevens wordt door Fundamentum ten minste het volgende omschreven of meegedeeld: a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; b) de contactgegevens van de Functionaris Gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; d) de maatregelen die Fundamentum heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 4 . 5 . Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie door Fundamentum zonder onredelijke vertraging in stappen worden verstrekt. Fundamentum houdt alle inbreuken in verband met persoonsgegevens bij in een overzicht, met inbegrip van de feiten omtrent die inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen. Fundamentum houdt deze documentatie beschikbaar teneinde de Autoriteit Persoonsgegevens in staat te stellen de naleving van dit artikel te controleren. 4.7 Melding van een inbreuk in verband met persoonsgegevens aan de betrokkenen (datalekken melden aan de betrokkene) 1. 2. 3. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt Fundamentum de betreffende betrokkenen de inbreuk in verband met persoonsgegevens onverwijld mee. De bedoelde mededeling van Fundamentum aan de betrokkene bevat een duidelijke omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in het vorige artikel bedoelde gegevens en maatregelen. De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld: a) Fundamentum heeft passende technische en organisatorische beschermingsmaatregelen genomen en toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; b) Fundamentum heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; c) de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. 4. Indien Fundamentum de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Autoriteit Persoonsgegevens, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, Fundamentum daartoe verplichten of besluiten dat aan een van de in lid 3 van dit artikel, bedoelde voorwaarden is voldaan.
5 Functionaris Gegevensbescherming (FG) 5.1 Aanwijzing van een Functionaris Gegevensbescherming 1 . 2 . 3 . 4 . Fundamentum heeft een Functionaris Gegevensbescherming aangewezen nu Fundamentum is belast met grootschalige verwerking van bijzondere categorieën van gegevens, namelijk: gezondheidsgegevens. De Functionaris Gegevensbescherming is bereikbaar via kwaliteitsbeheer@fundamentum.nl. Fundamentum heeft deze gegevens ter beschikking gesteld aan de Autoriteit Persoonsgegevens. Betrokkenen kunnen contact opnemen met de Functionaris Gegevensbescherming over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en de uitoefening van hun rechten dienaangaande. De Functionaris Gegevensbescherming is met betrekking tot de uitvoering van zijn taken tot geheimhouding en vertrouwelijkheid gehouden. 5.2 Bij een klacht Bij een klacht over de naleving van dit reglement kunnen betrokkenen zich wenden tot: De verwerkingsverantwoordelijke/zorgaanbieder Fundamentum; De Klachtenfunctionaris Contactgegevens: klachten@fundamentum.nl U kunt ook een klacht indienen bij andere instanties en initiatieven zoals de Autoriteit Persoonsgegevens. 5.3 Wijzigingen en inzage van dit reglement
Dit reglement geldt per 18-09-2019 en is bij Fundamentum in te zien:
Privacyreglement Fundamentum 2019 (versie 18-09-2019)