SUBMIT A REQUEST
  1. TELUS Health One
  2. Termen en voorwaarden
  3. Archiefbeheer

TELUS Health One Gegevensbeheerbeleid

Beleid

De gegevens en documenten die zijn gecreëerd, gebruikt en opgeslagen door TELUS Health, haar dochterondernemingen en aan haar gelieerde ondernemingen ("TELUS Health" of het "Bedrijf") behoren tot de meest waardevolle activa van het bedrijf. Dit omvat alle bedrijfsdocumenten en gegevens, ongeacht het formaat of medium, of ze nu op papier of elektronisch zijn, waaronder memo's, correspondentie, rapporten, werkdocumenten, presentaties en e-mails ("Gegevens" of "Gegeven").

Het doel van dit Gegevensbeheerbeleid (“Beleid”) is het definiëren en vaststellen van vereisten voor het creëren en beheren van authentieke, betrouwbare, duurzame en bruikbare Gegevens ter ondersteuning van de zakelijke functies en activiteiten van het Bedrijf. Het Beleid is erop gericht dat het Bedrijf de wet- en regelgeving naleeft, voldoet aan de juridische/contractuele eisen inzake het bijhouden van Gegevens, doeltreffend werkt, Gegevens met betrekking tot juridische en andere procedures bewaart en Gegevens vernietigt wanneer dat gepast is. 

Toepassing

Dit Beleid is van toepassing op alle afdelingen van het Bedrijf (“Programmagebied”) en op alle Gegevens, ongeacht het formaat (bijv. Gegevens die zijn verzonden of ontvangen via e-mailaccounts, elektronische Gegevens, papieren Gegevens, enz.). Elke directeur, functionaris, werknemer en contractant van het Bedrijf (gezamenlijk “Bedrijfspersoneel”) is er verantwoordelijk voor dat zij dit Beleid begrijpen en naleven.

Naast de naleving van dit Beleid moet het Bedrijfspersoneel ook het Beleid van het Bedrijf inzake vertrouwelijke informatie, het classificatiebeleid voor Gegevens en bestanden, het privacybeleid van het Bedrijf, alle beveiligingsbeleidslijnen, de toepasselijke privacywetgeving en de voorwaarden van alle andere overeenkomsten met het Bedrijf of tussen het Bedrijf, zijn partners en zijn klanten naleven. Het gebruik van de term "Gegevens" in dit Beleid heeft dezelfde betekenis als de term "Gegevens" in het classificatiebeleid voor Gegevens en bestanden van het Bedrijf.

 

Verplichte vereisten

Creatie, beheer en verwijdering van Gegevens

Elk programmagebied moet, overeenkomstig de in dit Beleid vastgestelde eisen en richtsnoeren, documenten aanmaken, beheren en verwijderen om de programmaverantwoordelijkheid te waarborgen en de zakelijke behoeften van het programmagebied te ondersteunen. Elk programmagebied moet er ook voor zorgen dat de integriteit, betrouwbaarheid en opvraagbaarheid van Gegevens voor lopende juridische, financiële of andere zakelijke doeleinden gewaarborgd zijn.

De verantwoordelijkheid voor de creatie, het beheer en de verwijdering van Gegevens berust bij de bedrijfseigenaar in het programmagebied.

Classificatie van Gegevens

Gegevens moeten worden geclassificeerd volgens de zakelijke functies en activiteiten van elke programmagebied op een manier die:

  • het mogelijk maakt volledige Gegevens betreffende zakelijke beslissingen of transacties gemakkelijk terug te vinden en op te zoeken;
  • dubbele opslag van Gegevens tot een minimum beperkt;
  • het mogelijk maakt de gebruikersmachtigingen en de bescherming van de persoonlijke levenssfeer en de beveiliging op consistente en passende wijze toe te passen; en
  • het mogelijk maakt dat de eisen inzake bewaring nauwkeurig kunnen worden toegepast.

Bij het classificeren van Gegevens dient het Bedrijfspersoneel zich te houden aan het classificatiebeleid voor Gegevens en bestanden en informatiebeveiligingsbeleid en standaarden van het Bedrijf. 

Opslag en beheer van Gegevens

De Gegevens moeten worden opgeslagen in gedeelde opslagplaatsen en door elk programmagebied op zodanige wijze worden beheerd dat:

  • zij efficiënt kunnen worden gelokaliseerd, geïdentificeerd en teruggevonden zolang zij nodig zijn;
  • een consequente en alomvattende toepassing van de beveiligingsvoorschriften inzake toegang, wijziging en verwijdering wordt toegepast;
  • onnodige duplicaties worden geëlimineerd; en
  • efficiënte verwijdering, met inbegrip van overdracht naar archieven en opslag, overeenkomstig de eisen inzake bewaring, mogelijk wordt gemaakt.

Bewaring en vernietiging van Gegevens

Bedrijfspersoneel moet Gegevens binnen een programmagebied zo lang bewaren als nodig is om te voldoen aan een legitiem zakelijk of juridische doel, rekening houdend met de toepasselijke wet- en regelgeving en de voorwaarden van overeenkomsten met het Bedrijf of tussen het bedrijf, zijn partners en zijn klanten.

Bedrijfseigenaren dienen ervoor te zorgen dat de Gegevens in hun programmagebieden worden beheerd, opgeslagen en verwijderd in overeenstemming met de vereisten van het toepasselijke Gegevensbewaringsschema (“Schema”).

De bewaringsplichten voor Gegevens, zoals vastgelegd in het toepasselijke Schema, worden bepaald in overleg met deskundigen op elk programmagebied op basis van:

  • zakelijke behoeften;
  • wettelijke en reglementaire vereisten die specifiek zijn voor de Gegevens;
  • contractuele verbintenissen;
  • de noodzaak om verantwoording af te leggen over de activiteiten en besluiten die in de Gegevens zijn vastgelegd; en
  • de rechten en belangen van andere belanghebbenden bij de bewaring van de inhoud van de Gegevens.

Gegevens in het bezit van het Bedrijf, inclusief relevante programmagebieden, kunnen worden onderworpen aan het volgende:

  • juridische procedures; en
  • toegangsverzoeken uit hoofde van toepasselijke wet- en regelgeving en de voorwaarden van eventuele andere overeenkomsten met het Bedrijf of tussen het Bedrijf, zijn partners en zijn klanten.

Wanneer op grond van het bovenstaande een verzoek wordt ontvangen, moet het Bedrijfspersoneel alle relevante Gegevens bewaren en overleggen en de vereisten naleven die zijn uiteengezet in de sectie Wettelijke Bewaringsplicht van dit Beleid.

Bewaring van e-mail

Gegevens die zijn gecreëerd, verzonden of ontvangen met gebruikmaking van e-mailaccounts, met inbegrip van de e-mails zelf, vallen onder dit Beleid.

Voordat een e-mailaccount wordt uitgeschakeld of verwijderd, moeten de Gegevens die met gebruikmaking van het e-mailaccount zijn gecreëerd, verzonden of ontvangen, worden beheerd in overeenstemming met de hierboven uiteengezette vereisten.

Deze soorten Gegevens mogen niet worden opgeslagen op de harde schijf van iemands computer, op portaalapparatuur of verwisselbare media, op iemands persoonlijke netwerkschijf of elektronische werkruimte, in e-mailaccounts, of in het geval van papieren Gegevens, in de fysieke bestandsopslag van een persoon. 

Archivering en opslag van Gegevens

Papieren kopieën van Gegevens die niet langer onmiddellijk toegankelijk zijn als actieve Gegevens, maar nog wel moeten worden bewaard gedurende de rest van hun aangewezen bewaringstermijn, moeten worden gearchiveerd. Bedrijfspersoneel dient contact op te nemen met de Afdeling Zakelijke Dienstverlening of het management van het regionale kantoor om een afspraak te maken voor het archiveren van Gegevens op een door het Bedrijf goedgekeurde externe opslagplaats. Bij het treffen van regelingen voor externe opslag, moet het Bedrijfspersoneel een datum voor de vernietiging van de Gegevens vaststellen.

Wettelijke bewaringsplicht

Gegevens over een lopende of verwachte juridische procedure, audit of onderzoek moeten worden bewaard. Op alle Gegevens kan een "Wettelijke Bewaringsplicht" worden geplaatst, ongeacht of de Gegevens de definitieve, officiële versie van de Gegevens zijn. Bedrijfspersoneel dat een bericht ontvangt van de Juridische, Risico- en Privacyafdeling of via een andere bron dat bepaalde Gegevens onderworpen zijn aan een wettelijk bewaringsplicht, moet er onmiddellijk voor zorgen dat alle Gegevens die onder de Wettelijke Bewaringsplicht vallen, worden beveiligd en bewaard, zoals beschreven in het bericht Wettelijke Bewaringsplicht. Als Bedrijfspersoneel zich bewust wordt van een lopende of verwachte juridische procedure, audit of onderzoek, of dagvaarding, moet het alle Gegevens die relevant kunnen zijn veiligstellen en bewaren, en de Juridische, Risico- en Privacyafdeling op de hoogte stellen.

Het Bedrijfspersoneel mag in geen geval Gegevens met betrekking tot een lopende of te verwachten juridische procedure, audit of onderzoek wijzigen, vernietigen of verbergen. Elke dergelijke actie zou een wezenlijk nadelig effect kunnen hebben op de juridische procedure, audit of onderzoek. Ongeoorloofde wijziging, vernietiging of verzwijging van Gegevens kan leiden tot disciplinaire maatregelen tegen het Bedrijfspersoneel, tot en met ontslag, en tot juridische aansprakelijkheid.

Jaarlijkse Gegevensherziening

Het Bedrijfspersoneel moet alle Bedrijfsgegevens, met inbegrip van e-mails, die in hun bezit zijn, regelmatig en minstens eenmaal per jaar herzien. Daarbij moet het Bedrijfspersoneel alle Gegevens waarvan de bewaringstermijn is verstreken identificeren met het oog op vernietiging, maar de Gegevens bewaren die het voorwerp uitmaken van een Wettelijke Bewaringsplicht of die het voorwerp uitmaken van een onderzoek of audit. 

Vernietiging van Gegevens

Gegevens moeten worden vernietigd als aan alle onderstaande criteria is voldaan:

  • de Gegevens hun beoogd doel hebben bereikt; en
  • de toepasselijke bewaringstermijn is verstreken; en
  • Het Bedrijfspersoneel dat de Gegevens behandelt, schriftelijk heeft bevestigd dat dergelijke Gegevens niet onder een Wettelijke Bewaringsplicht vallen.

Vragen en naleving

Eventuele vragen over het bewaren van Gegevens die niet in dit Beleid worden behandeld, dienen te worden gericht aan de Juridische, Risico- en Privacyafdeling, die in overleg met deskundigen op het gebied van het programmagebied waarop de Gegevens betrekking hebben, aanwijzingen zal geven.

Eventuele vragen over de archivering en vernietiging van papieren Gegevens moeten worden gericht aan de Afdeling Zakelijke Dienstverlening of het management van het regionale kantoor.

Dit Beleid zal periodiek worden herzien en zo nodig worden aangepast door de juridische, risico- e privacyafdeling om wijzigingen in wet- en regelgeving of zakelijke vereisten te weerspiegelen.