Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Privacyverklaring

Laatst gewijzigd: 29 november 2023

In deze privacy- en cookieverklaring leggen wij uit waarom Z-CERT persoonsgegevens verzamelt en gebruikt, welke persoonsgegevens dat zijn en welke rechten u heeft als wij uw persoonsgegevens verwerken.

Z-CERT is het cybersecurity expertisecentrum voor de zorgsector. Z-CERT is een ‘ander computercrisisteam’ in de zin van art. 3 lid 2 sub c van de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in 2020 aangewezen als het sectorale CERT (Computer Emergency Response Team) voor de gezondheidszorg in Nederland. In haar rol als computercrisisteam voert zij ondersteunende werkzaamheden voorafgaand en tijdens beveiligingsincidenten uit op basis van o.a. haar taak in het algemeen belang (art. 6 lid 1 sub e AVG.) dit is een taak die uit de Wbni voortvloeit. Z-CERT werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC) en andere (sectorale) CERT’s.

Z-CERT hecht naast cybersecurity veel belang aan privacy. Wij gaan daarom zorgvuldig om met uw persoonsgegevens en zorgen ervoor dat de verwerkingen voldoen aan de geldende wet- en regelgeving waaronder de Algemene verordening gegevensbescherming (AVG) en Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Hierbij hanteert Z-CERT de volgende uitgangspunten:

  • Z-CERT verwerkt persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen;
  • Z-CERT verwerkt persoonsgegevens op basis van wettelijke grondslagen, zoals genoemd in artikel 6 van de AVG;
  • Z-CERT verwerkt niet meer persoonsgegevens dan noodzakelijk is;
  • De verwerking vindt plaats op een wijze waarbij de inbreuk op privacy zo klein mogelijk blijft;
  • Z-CERT zorgt ervoor dat de persoonsgegevens juist zijn en daar waar nodig worden geactualiseerd;
  • Persoonsgegevens worden niet langer bewaard dan noodzakelijk is;
  • Z-CERTngeeft de beveiliging van data binnen de eigen organisatie, waaronder
    persoonsgegevens, vorm conform de ISO 27001-standaard.

Z-CERT heeft een taak in het algemeen belang als het gaat om het voorkomen, afhandelen en coördineren van een beveiligingsincident binnen de bij haar aangesloten zorgsector. Deze taak in het algemeen belang vloeit voort uit de Wbni.

Z-CERT sluit op basis van een overeenkomst zorginstellingen aan op haar dienstverlening. Deze zorginstellingen worden daarmee deelnemer van Z-CERT.

Bepaalde diensten, waaronder de monitoring van IP-adressen en domeinnamen, vereisen het verwerken van (technische) informatie rondom de IT-infrastructuur van een deelnemer. Z-CERT houdt hierbij rekening met het gegeven dat een IP-adres indirect naar iemand te herleiden kan zijn. Daarnaast wordt informatie gedeeld met deelnemers rondom digitale dreigingen via verschillende communicatiekanalen waar onze deelnemers gebruik van kunnen maken.

Naast de relatie tussen Z-CERT en de zorgsector heeft zij tevens een arbeidsrelatie met het eigen personeel en een relatie als opdrachtgever. Dit op basis van een (tijdelijke) arbeidsovereenkomst, een overeenkomst van opdracht, inleenovereenkomst of détacheringsovereenkomst.

Z-CERT verwerkt persoonsgegevens tevens op basis van toestemming en biedt de mogelijkheid om ook deze toestemming in te trekken indien men dat wenst. De gegeven toestemming blijft geldig tot het moment van intrekking. Men kan bij deze grondslag denken aan het deelnemen aan een evenement van Z-CERT waarbij foto’s worden gemaakt. Z-CERT vraagt vooraf aan de aanwezige personen om toestemming te geven of zij gefotografeerd mogen worden.

Z-CERT mag als sectoraal CERT informatie over dreigingen, incidenten en kwetsbaarheden delen met haar deelnemers.

Per doeleinde wordt hieronder aangegeven welke gegevens wij van u verwerken en met welke doel wij deze gegevens verwerken en hoelang deze informatie wordt bewaard.

Z-CERT ondersteunt met name haar deelnemers tijdens de afhandeling van (mogelijke) cybersecurity-incidenten en om te voorkomen dat de elektronische (informatie)systemen binnen de zorgsector uitvallen of worden gecompromitteerd. Daarnaast zorgen wij via de diverse communicatiekanalen dat deelnemers vroegtijdig worden geïnformeerd over mogelijke digitale dreigingen.

Tot het takenpakket van Z-CERT behoort met name:

  • Het reageren op en adviseren omtrent het mitigeren van beveiligingsincidenten in de zorgsector;
  • Het monitoren van (internationale) incidenten en zorginstellingen hieromtrent informeren en waarschuwen met betrekking tot (mogelijke) incidenten;
  • Het samenwerken met andere organisaties zowel op nationaal als op internationaal niveau, denk hierbij aan o.a. andere sectorale CERT’s, brancheorganisaties in de zorg en de Rijksoverheid;
  • Op samenwerking gerichte contacten onderhouden met de zorgsector. Naast onze ondersteunende rol voorafgaand en tijdens cybersecurity-incidenten organiseren wij met enige regelmaat webinars, evenementen om onze deelnemers te informeren en de cyberweerbaarheid van de gehele zorgsector te vergroten.

Contactinformatie wordt in het kader van deze taken verwerkt en het is mogelijk dat ook technische incidentinformatie wordt gedeeld met en door Z-CERT waarin persoonsgegevens zijn verwerkt (bijvoorbeeld een IP-adres of een gecompromitteerd zakelijk e-mailadres). Z-CERT onderhoudt contact met de zorginstellingen en verwerkt persoonsgegevens in het kader van het uitvoeren van de bovenstaande taken. Het vroegtijdig kunnen informeren van deelnemersvereist daarbij de meest actuele en correcte contactinformatie van een deelnemer. Het gaat hier dan met name om:

  • Voor- en achternaam contactpersoon;
  • Functienaam contactpersoon;
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer.

Op dit moment heeft Z-CERT geen specifieke grondslag voor het verwerken van bijzondere persoonsgegevens tijdens de afhandeling en coördinatie van incidenten.

Daarom acht Z-CERT zich een ‘derde’ in de zin van de AVG mocht zij binnen de uitvoering van de genoemde taken rondom afhandeling van incidenten dit type persoonsgegevens ontvangen (en daarmee verwerken).

Bewaartermijn

Z-CERT bewaart de contactgegevens van deelnemers niet langer dan noodzakelijk tenzij er een wettelijke verplichting bestaat om persoonsgegevens langerte moeten bewaren.

Z-CERT controleert of IP-adressen en domeinnamen van deelnemers
op zogenaamde blocklists Daarnaast ontvangt Z-CERT regelmatig lijsten
met kwetsbare systemen van zorginstellingen. Mochten er bijzonderheden
zijn dan nemen wij contact op met de deelnemer en geven een
handelingsadvies. Voor dit doel verwerken wij met name:

  • IP-adressen en domeinnamen:
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer.

Bewaartermijn

Z-CERT bewaart deze technische informatie en contactgegevens van de deelnemers niet langer dan noodzakelijk tenzij er een wettelijke verplichting bestaat om persoonsgegevens langer te moeten bewaren.

Om de deelnemers van Z-CERT te informeren over de ontwikkelingen op het gebied van cybersecurity en informatiebeveiliging organiseert Z-CERT regelmatig webinars en (online) evenementen. Daarvoor verwerken wij met name:

  • Naam contactpersoon deelnemer (of andere partij die betrokken is bij een webinar of evenement);
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer.

Wij gebruiken deze persoonsgegevens om de uitnodiging te versturen en te informeren over de inhoud van bijvoorbeeld het webinar of om te informeren over een evenement waar Z-CERT een bijdrage aan levert.

Daarnaast organiseert Z-CERT met regelmaat projecten vanuit de informatiebehoefte die leeft binnen deelnemers op het gebied van informatiebeveiliging en cybersecurity. Deze informatiebehoefte kan via een project vertaald worden naar een nieuw product of een nieuwe dienst binnen Z-CERT. Dit om vanuit Z-CERT bij te dragen aan de cyberweerbaarheid binnen de gezondheidssector. Daarvoor verwerken wij met name:

  • Naam contactpersoon deelnemer (of andere partij die deelneemt aan het project binnen Z-CERT);
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer.

Wij gebruiken de persoonsgegevens om contact te onderhouden met u tijdens het project en om informatie gericht uit te wisselen in het kader van het project tussen de projectleden.

Bewaartermijn

De gegevens worden niet langer dan noodzakelijk maar in ieder geval gedurende de looptijd van een project. Voor webinars geldt in het algemeen dat wij de contactgegevens bewaren zolang dat nodig is om over de inhoud van het webinar te kunnen communiceren met de daaraan deelnemende personen.

Heeft u gereageerd op één van onze vacatures of heeft u een open sollicitatie ingestuurd? Dan verwerken wij uw persoonsgegevens om uw sollicitatie in behandeling te kunnen nemen.

Hiervoor verwerken wij de volgende persoonsgegevens:

  • NAW-gegevens sollicitant;
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer;
  • Curriculum Vitae;
  • Motivatiebrief;
  • Opgegeven referenties (Naam, e-mailadres, telefoonnummer opgegeven referentie);
  • Eventuele overige informatie die u meestuurt met uw sollicitatie.
  • Het overhandigen van een Verklaring Omtrent Gedrag (VOG) maakt onderdeel uit van de sollicitatieprocedure binnen Z-CERT. Dit is op het moment dat u in dienst treedt bij Z-CERT.

Bewaartermijn sollicitatieprocedure

Mocht u na afloop van de sollicitatieprocedure niet in dienst treden bij Z-CERT, dan bewaren wij de sollicitatiegegevens niet langer dan twee weken na het beëindigen van deze procedure.

Wanneer wij u op dit moment geen functie kunnen aanbieden, kunnen wij – met uw toestemming – uw sollicitatiegegevens maximaal één jaar na beëindiging van de sollicitatieprocedure bewaren. Wij kunnen u dan alsnog benaderen voor een passende functie binnen Z-CERT. U kunt uw toestemming op elk moment intrekken door ons een e-mail te sturen naar [email protected].

Bewaartermijn persoonsgegevens na indiensttreding bij Z-CERT

Indien u bij ons komt werken bewaren wij uw sollicitatiegegevens in het daarvoor bestemde en afgeschermde personeelsdossier. Deze gegevens bewaren wij gedurende het dienstverband. Na afloop van het dienstverband kan Z-CERT wettelijk verplicht zijn om bepaalde informatie en persoonsgegevens langer te bewaren, bijvoorbeeld vanwege de fiscale bewaartermijn van 7 jaar. Deze termijn loopt vanaf het moment dat het dienstverband is geëindigd.

Treedt u in dienst van Z-CERT of neemt u een opdracht van ons aan dan verwerkt Z-CERT informatie van u die nodig is voor o.a. de salarisbetalingen en facturatie (indien u extern wordt ingehuurd door Z-CERT), het gaat hierbij met name om de volgende persoonsgegevens:

  • Naam, adres en woonplaats (interne of externe) medewerker;
  • Burgerservicenummer (interne medewerker);
  • Geboortedatum;
  • Nationaliteit;
  • Soort ID-bewijs, documentnummer en geldigheidsduur;
  • IBAN-nummer (interne of externe) medewerker;
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer;
  • Bedrijfsnaam externe medewerker;
  • Factuurnummer en bankgegevens externe medewerker.

Verzuim en re-integratie

Er zijn specifiek wettelijke verplichtingen op basis waarvan Z-CERT persoonsgegevens moet verwerken tijdens de situatie waarin sprake is van verzuim of re-integratie van medewerkers binnen Z-CERT. Denk hierbij aan het moeten
voldoen aan de Arbeidsomstandighedenwet en zorgwetgeving (bijvoorbeeld de Wet Verbetering Poortwachter) in het kader van bijvoorbeeld re-integratie. Binnen deze wetgeving zijn er specifieke bewaartermijnen van toepassing op basis waarvan Z-CERT informatie en persoonsgegevens moet bewaren. Deze specifieke bewaartermijnen zijn opgenomen in het verwerkingsregister binnen Z-CERT. Z-CERT verwerkt in deze situaties met name:

  • Naam medewerker;
  • (Zakelijk) e-mailadres;
  • (Zakelijk) telefoonnummer;
  • Telefoonnummer en (verpleeg)adres;
  • Of de ziekmelding verband houdt met een bedrijfs- of verkeersongeval;
  • De vermoedelijke duur van het verzuim.


Z-CERT verwerkt hierbij geen bijzondere persoonsgegevens of informatie rondom de gezondheid van de werknemer. Wel is er contact met onze arbodienst en onze verzuimverzekeraar.

Bewaartermijnen:

Ten aanzien van de salarisadministratie bewaart Z-CERT de informatie die nodig is gedurende de looptijd van de arbeidsovereenkomst of overeenkomst van opdracht. Een langere bewaartermijn geldt ten aanzien
van de persoonsgegevens die volgende fiscale bewaartermijnen door Z-CERT bewaard moeten worden.

Z-CERT bewaart de noodzakelijke informatie gedurende de periode van het ziekteverzuim maar niet langer dan noodzakelijk. Daarnaast worden persoonsgegevens bewaard conform de daarvoor bepaalde wettelijke bewaartermijnen. Zo mogen bijvoorbeeld verzuimgegevens maximaal 2 jaar na afloop van een arbeidscontract worden bewaard.

Z-CERT neemt de bescherming van uw persoonsgegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van deze gegevens tegen te gaan. Z-CERT voert regulier intern en extern een beveiligingsaudit uit en is gecertificeerd conform de ISO-27001-standaard.

Daarnaastzijn de (interne en externe) medewerkers van Z-CERT gebonden aan een geheimhoudingsplicht en tekenen hiervoor een geheimhoudingsverklaring.

Als u een kwetsbaarheid ontdekt m.b.t. de systemen of de website van Z-CERT dan kunt u gebruik maken van het daarvoor bestemde Coordinated Vulnerability Disclosure (CVD)-proces zoals beschreven staat op onze website. De procedure is te vinden via de link.

Z-CERT deelt normaliter geen persoonsgegevens zonder uw toestemming tenzij het delen van persoonsgegevens nodig is in het kader van onze dienstverlening of er een wettelijke verplichting op Z-CERT rust. Soms moeten bijvoorbeeld persoonsgegevens worden gedeeld met onze arbodienst, overheden of andere partijen (IT-leveranciers).

U heeft als betrokkene een aantal rechten in het kader van de AVG, zoals het:

  • Het recht op inzage in uw persoonsgegevens;
  • Het recht op rectificatie, de correctie van uw persoonsgegevens ;
  • Het recht op beperking van de verwerking van uw persoonsgegevens;
  • Het recht op vergetelheid, het recht om uw persoonsgegevens te laten wissen;
  • Het recht van bezwaar;
  • Het recht op overdraagbaarheid van persoonsgegevens.

Voor de uitoefening van deze rechten kunt u zich wenden tot de Privacy Officer van Z-CERT.

Binnen één maand kunt u een reactie op uw verzoek tegemoet zien. Mocht het om een complex verzoek gaan dan kan deze termijn met maximaal twee maanden worden verlengd.

Een verzoek kan ingediend worden via het e-mailadres: [email protected] of u stuurt een brief per post naar onderstaand postadres. Indien nodig kunnen wij telefonisch nadere informatie bij u opvragen om uw identiteit vast te stellen. Indien er na het stellen van aanvullende vragen nog steeds twijfel bestaat m.b.t. uw identiteit kunnen wij u vragen om een afgeschermde kopie van uw identiteitskaart te overleggen. Na identificatie zal deze kopie uiteraard direct worden verwijderd.

Z-CERT plaatst een noodzakelijke (functionele) cookie op het apparaat van de bezoeker van onze website. Dit ter beveiliging van de website en specifiek om onderscheid te maken tussen mensen en bots. De geplaatste cookie verloopt 30 minuten nadat deze voor het laatst door een gebruiker is gebruikt.

Er wordt geen gebruik gemaakt van trackingcookies op deze website.

Heeft u een vraag of een klacht over de verwerking van uw persoonsgegevens door Z-CERT? Dan kunt u contact opnemen met de Privacy Officer binnen Z-CERT via het e-mailadres:

[email protected].

Of uw vraag of klacht per post richten aan:

Stichting Z-CERT
T.a.v. Privacy Officer
Stationsplein 121
3818 LE Amersfoort

Wanneer u het niet eens bent met de wijze waarop Z-CERT uw klacht heeft afgehandeld, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Z-CERT behoudt zich het recht voor om wijzigingen aan te brengen in deze privacyverklaring. Het is raadzaam om deze privacyverklaring regelmatig te raadplegen, zodat u op de hoogte bent van deze wijzigingen.

Z-CERT verwacht in het kader van de nationale implementatie van de NIS2-wetgeving deze privacyverklaring op termijn weer te gaan herzien.