Gegevensbeschermingsbeleid Stichting mirro
Stichting mirro hecht groot belang aan een zorgvuldige omgang met verkregen (persoons)gegevens en respecteert de privacy van alle informatie die u over uzelf verstrekt op de website van Stichting mirro. Wij verzamelen dan ook geen persoonlijke gegevens – zoals namen, adressen, telefoonnummers of e-mailadressen – via onze website, tenzij u als Gebruiker dergelijke gegevens vrijwillig verstrekt via de registratie voor een abonnement op de mirro-modules.
Als u toestemming heeft gegeven voor het verwerken van uw (persoons)gegevens door Stichting mirro, vindt verwerking van deze gegevens plaats conform dit Gegevensbeschermingsbeleid.
In dit Gegevensbeschermingsbeleid wordt verstaan onder:
Beleid: dit Gegevensbeschermingsbeleid
Gegevens: alle persoonsgegevens van een Gebruiker
Gebruiker: de persoon die zich heeft geregistreerd voor een abonnement op (een van) de mirro-modules, waarbij Gegevens worden verzameld of verwerkt
Stichting mirro: Stichting mirro, gevestigd aan de Grebbeberglaan 15 (3527 VX) te Utrecht, ingeschreven in het handelsregister van de Kamer van Koophandel onder dossiernummer 55160069 en verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming
Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of geheel van persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 lid 2 Algemene Verordening Gegevensbescherming)
Het Beleid is van toepassing op de verwerking van Gegevens door Stichting mirro.
De Gegevens worden voor de navolgende doeleinden verwerkt:
(a) het in staat stellen van de Gebruiker om technisch en functioneel gebruik te maken van mirro-modules;
(b) het (verder) ontwikkelen en/of verbeteren van de mirro-modules;
(c) het realiseren van de statutaire doelstellingen van Stichting mirro inhoudende het bijdragen aan een mentaal fitter Nederland en het verbeteren van de juiste zorg op het juiste moment voor mensen met psychische klachten. Daartoe ontwikkelt Stichting mirro web-based applicaties en ontplooit overige activiteiten die met het vorenstaande in de ruimste zin verband houden of daartoe bevorderlijk kunnen zijn.
(d) het vervaardigen van rapportages op geaggregeerd niveau waarmee inzicht wordt gegeven in het gebruik van de modules, zoals onder andere het aantal gebruikers, het aantal sessies dat wordt gevolgd, welke modules worden gevolgd en geven van een specificatie over het gebruik van modules binnen een bepaalde populatie.
1. De verwerking van de Gegevens berust op toestemming van de Gebruiker. De toestemming moet worden gegeven bij het registratieproces, waarna een account wordt aangemaakt.
2. De Gebruiker heeft te allen tijde het recht om de toestemming in te trekken. Als toestemming wordt ingetrokken, zal Stichting mirro het account van de Gebruiker met onmiddellijke ingang opheffen en alle Gegevens met betrekking tot dit account vernietigen.
3. Stichting mirro houdt een register bij van de verwerkingsactiviteiten als bedoeld in artikel 30 Algemene Verordening Gegevensbescherming. Ook wordt een register bijgehouden van de verleende toestemmingen van Gebruikers op basis van datum, tijdstip en een persoonlijk-herleidbare identificatie.
1. Bij de registratie voor een abonnement op de mirro-modules worden de navolgende gegevens van de Gebruiker verzameld: naam, gebruikersnaam, e-mailadres en wachtwoord. Deze gegevens zijn nodig om aan de Gebruiker een persoonlijk account te kunnen verstrekken.
2. Als de Gebruiker gebruik maakt van de mirro-module(s) worden in aanvulling op de gegevens die in het vorige lid vermeld staan de persoonlijke antwoorden van de Gebruiker vastgelegd.
3. Stichting mirro verwerkt niet meer Gegevens dan noodzakelijk gelet op de doeleinden waarvoor deze gegevens zijn verzameld. Daar waar verwerking anoniem of gepseudonimiseerd toereikend is voor de doeleinden, zal Stichting mirro dit toepassen.
1. De Gebruiker heeft, mits wordt beschikt over een werkende internetverbinding, toegang tot de Gegevens door in te loggen op het persoonlijk account.
2. De Gebruiker kan in het persoonlijk account de Gegevens wijzigen en/of aanvullen alsook een kopie van de Gegevens vervaardigen. Onder het wijzigen van Gegevens wordt mede begrepen het (deels) vernietigen van de Gegevens.
3. De Gebruiker heeft het recht om bij Stichting mirro uitsluitsel te verkrijgen over het al dan niet verwerken van hem of haar betreffende persoonsgegevens en wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens. Stichting mirro zal de inzage verlenen door het verstrekken van een persoonlijk account waarmee de Gebruiker het beheer krijgt over de Gegevens.
4. De Gebruiker heeft het recht om van Stichting mirro onverwijld rectificatie van hem of haar betreffende onjuiste persoonsgegevens te verkrijgen, een en ander als bedoeld in artikel 16 van de Algemene Verordening Gegevensbescherming.
5. De Gebruiker heeft het recht om bij Stichting mirro bezwaar te maken tegen de verwerking van Gegevens. Stichting mirro zal de verwerking van de Gegevens in dat geval met onmiddellijke ingang staken door opheffing van het account van de Gebruiker, waarbij alle Gegevens met betrekking tot dit account worden vernietigd.
6. Als een verzoek als bedoeld in lid 3, 4 en 5 van dit artikel aan Stichting mirro wordt gedaan, dient de verzoeker zich te legitimeren aan de hand van een geldig identiteitsbewijs.
7. De Gebruiker heeft het recht op gegevenswissing (‘recht op vergetelheid’). De Gegevens worden met onmiddellijke ingang gewist als de Gebruiker de toestemming voor de gegevensverwerking als bedoeld in artikel 4 van dit Beleid intrekt, waarbij het account van de Gebruiker wordt opgeheven.
1. De Gegevens worden bewaard voor de duur dat de Gebruiker beschikt over een account.
2. De Gebruiker verkrijgt een account voor de duur van een jaar. Na afloop van dat jaar wordt het account opgeheven en alle bijbehorende Gegevens vernietigd, tenzij de Gebruiker heeft laten weten het account met nog een jaar voort te zetten.
1. Stichting mirro verplicht zich tot geheimhouding van de Gegevens.
2. Uitzondering op de geheimhoudingsverplichting is uitsluitend toegestaan als Stichting mirro van de Gebruiker hiertoe schriftelijk toestemming heeft gekregen of als Stichting mirro daartoe op grond van een wettelijke verplichting of in een kracht van gewijsde gegane rechterlijke uitspraak gehouden is.
3. De geheimhoudingsverplichting wordt opgelegd aan derden die Stichting mirro inschakelt ten behoeve van haar activiteiten.
1. Stichting mirro neemt passende technische en organisatorische maatregelen die redelijkerwijs mogelijk zijn om de beveiliging van de Gegevens te waarborgen. Dit betreft onder meer:
(a) het beveiligen van de verbindingen met SSL-certificaten;
(b) het voldoen aan de NEN 7510, NEN 7512 en NEN 7513 behoudens de eisen van logging in verband met technische redenen;
(c) het sluiten van verwerkingsovereenkomsten met relevante leveranciers/ samenwerkingspartners als waarborg voor de beveiliging van Gegevens.
2. De Gegevens kunnen medische gegevens bevatten. Stichting mirro zal daarom met regelmaat een data protection impact assessment (DPIA) uitvoeren.
Binnen Stichting mirro is een functionaris gegevensbescherming aanwezig.
1. Stichting mirro behoudt zich het recht voor om het Beleid eenzijdig te wijzigen. Als Stichting mirro daartoe besluit, wordt de Gebruiker schriftelijk geïnformeerd. Als de Gebruiker niet instemt met de wijzigingen, kan de toestemming conform het bepaalde in artikel 4 lid 2 van het Beleid worden ingetrokken en eindigt de gegevensverwerking met onmiddellijke ingang.
2. Stichting mirro kan een account verwijderen en daarmee de daartoe behorende Gegevens vernietigen als de Gebruiker deze langer dan één (1) maand niet heeft gebruikt na verloop van het account. Tot het opheffen van een ‘slapend account’ zal Stichting mirro niet eerder overgaan dan na de Gebruiker er schriftelijk op te hebben gewezen dat het account wordt opgeheven en tevens een redelijke termijn is geboden om het slapend account te heractiveren.
1. Vragen kunnen aan Stichting mirro worden gesteld door contact op te nemen met de Servicedesk. De Servicedesk is op werkdagen van 09.00 uur tot 17.00 uur bereikbaar op telefoonnummer 085 4898999 of per e-mail: info@mirro.nl.
2. In het geval van een klacht kan contact worden opgenomen met de Servicedesk.
3. De Gebruiker heeft het recht om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
Data protection policy
Stichting mirro is committed to carefully handling all (personal) data received and respects the privacy of all the information you provide about yourself through the foundation’s website. Therefore, we do not collect any personal data – such as names, addresses, telephone numbers or email addresses – via our website, unless you, as a user, provide us with this data voluntarily by registering for the mirro modules.
Once you have given our foundation permission to process your (personal) data, this data is processed in accordance with this data protection policy.
In this data protection policy we use the following definitions:
Policy: this data protection policy
Data: all of a user’s personal data
User: the person who registered for (one of) the mirro modules; the modules call for data collection and/or processing
Stichting mirro: Stichting mirro, based at Grebbeberglaan 15 (3527 VX) in Utrecht (the Netherlands), registered in the trade register of the Chamber of Commerce with number 55160069 and responsible for processing (personal) data in accordance with the General Data Protection Regulation.
Processing: a single processing effort or a series of processing efforts of personal data, possibly through automated processes, such as the collection, recording, ordering, structuring, storing, editing or reviewing, requesting, consulting, using, sending or making available in any other way, aligning or combining, protecting, cancelling or destroying of data (article 4 paragraph 2 of the General Data Protection Regulation)
This policy applies to the processing of data by Stichting mirro.
The data is processed for the following purposes:
(A) to allow the user to use the mirro modules and all its technical and functional features
(b) to (further) develop and/or improve the mirro modules
(c) to achieve the statutory mission of Stichting mirro, namely to contribute to a mentally fitter country and to provide persons with mental issues in the Netherlands with better care, in a timely manner. To this end, Stichting mirro develops web-based applications and other activities that are linked to the above, in the broadest sense, or that may be beneficial.
(d) to create reports, always at an aggregated level, that provide insights in total number of users, the number of sessions, the type of modules being used and specifications of the use of modules within a certain population.
1. Data can only be processed with prior consent from the user. Consent must be given during the registration process, and subsequently users must create an account.
2. Users have the right to revoke their consent at any time. If a user revokes their consent, Stichting mirro shall immediately terminate the user’s account and destroy all data linked to that account.
3. Stichting mirro keeps a record of its processing activities in accordance with article 30 of the General Data Protection Regulation. A register is also kept of the consent given by users based on the date, time and a personal identification code.
1. Upon registration for the mirro modules the following user data is collected: name, user name, email address and password. This data is necessary to provide the user with a personal account.
2. If the user uses the mirro modules, the user’s personal answers are also recorded, in addition to the data mentioned in the previous article.
3. Stichting mirro does not process more data than necessary for the purposes for which it was collected. If data can be processed anonymously or by means of pseudonyms for the intended purposes, Stichting mirro shall follow this approach.
1. If the user has an active internet connection, he or she can get access to the data by logging in to their personal account.
2. The user can edit and/or add data in the personal account, and make a copy of this data. Editing data also includes (partial) destruction of this data.
3. The user has the right to obtain confirmation from Stichting mirro on whether or not their personal data is being processed and if so, to get access to this personal data. Stichting mirro will then provide access to the data by creating a personal account for the user to manage their data.
4. The user has the right to request immediate rectification of any incorrect personal data in accordance with article 16 of the General Data Protection Regulation.
5. The user has the right to object to Stichting mirro processing the data. In that case, Stichting mirro will immediately stop processing the data by cancelling the user’s account, destroying all the data linked to the account in question.
6. If Stichting mirro receives a request as described in paragraph 3, 4 and 5 of this article, the person submitting the request must identify themselves with a valid identification document.
7. The user has the right to request the deletion of all their data (“the right to be forgotten”). If the user withdraws authorisation for the data to be processed as described in article 4 of this policy, the data will be deleted immediately, as well as the user’s account.
1. The data is stored for as long as the user’s account remains active.
2. The user obtains an account for a one-year period. Following this year, the account and all the data linked to it is deleted, unless the user has requested that the account remain active for an additional year.
1. Stichting mirro is committed to keeping the user’s data confidential.
2. Exceptions to this confidentiality obligation can only be made if Stichting mirro has explicitly received written authorisation from the user or if Stichting mirro is legally obliged to do so, e.g. based on a final binding court decision.
3. The confidentiality obligation is imposed to all third parties that Stichting mirro relies upon to carry out its activities.
1. Stichting mirro takes all suitable and feasible technical and organisational measures to guarantee data security. This includes:
(a) securing connections with SSL certificates
(b) meeting the NEN 7510, NEN 7512 and NEN 7513 standards on the technical log-in requirements
(c) signing processing agreements with the relevant suppliers/partners for data security.
2. The data may include medical details. Therefore, Stichting mirro regularly carries out a Data Protection Impact Assessment (DPIA).
Stichting mirro has an in-house data protection officer.
1. Stichting mirro reserves the right to change its policy unilaterally. If Stichting mirro decides to do so, the user will be informed in writing. If the user disagrees with the changes, the consent described in article 4 paragraph 2 of the policy can be revoked and the data processing will cease immediately.
2. Stichting mirro can delete an account and the linked data if the user has not used it for longer than one (1) month following the expiry of the account. In order for Stichting mirro to delete a “dormant” account, the user will first be informed in writing that the account will be deleted and they will be offered a reasonable timeframe to reactivate the dormant account.
1. If you have any questions, you can contact the Stichting mirro service desk every weekday from 09:00 to 17:00 by telephone on (+31) (0)85 4898999 or by email at info@mirro.nl.
2. If you have any complaints, you can contact our service desk.
3. Users have the right to lodge a complaint with the Dutch Data Protection Authority.
