Hieronder treft u de complete tekst van onze privacyreglement aan. Liever direct downloaden? Klik dan op deze link: Privacy regelement ViaZuidWest
Inhoudsopgave
Inleiding
1. Begripsbepalingen
2. Reikwijdte
3. Doel van de Verwerking van Persoonsgegevens
4.(Rechtmatige) Verwerking van Persoonsgegevens
5. Opgenomen gegevens
6. Kennisgeving
7. Inzage en afschrift van opgenomen Persoonsgegevens
8. Vernietiging en mutatie van Persoonsgegevens
9. Verstrekking van Persoonsgegevens
10. Toegang tot Persoonsgegevens
11. Bewaartermijnen
12. Beveiliging van Persoonsgegevens
13. Overdracht van opgenomen Persoonsgegevens
14. Klachten
15. Looptijd van Het reglement
16. Wijziging van Het reglement
17. Inwerkingtreding van Het reglement
18. Contactgegevens
Bijlage A Doel van de gegevensverwerking
Bijlage B Verwerken van Persoonsgegevens
Bijlage C Categorieën Persoonsgegevens
– Categorie A: gegevens Klant
– Categorie B: (persoons)gegevens werknemer (Betrokkene);
– Categorie C: Gezondheids- of medische gegevens (Betrokkene)
Bijlage D Toegang tot de persoonsgegevens
Bijlage E Bewaartermijnen en vernietiging
Inleiding
Viazuidwest (hierna: VZW) hecht veel belang aan het zorgvuldig omgaan met persoonsgegevens. De toenemende behoefte aan informatie raakt veelal direct aan de privacy van de individuele werknemer. Vaak betreft het gegevens over de gezondheid van de verzuimende medewerker, een medewerker die in een kwetsbare positie zit. Het is daarom wenselijk en zelfs noodzakelijk om zeer zorgvuldig met persoonsgegevens om te gaan. Hoe we hiermee omgaan is gebaseerd op wet- en regelgeving, waaronder de Algemene verordening gegevensbescherming (AVG), de regels van de Autoriteit Persoonsgegevens, de richtlijnen uit de uitgave “De zieke medewerker en privacy” en conform de KNMG-code ‘Gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (2007)’.
1. Begripsbepalingen
1.1 VZW: Viazuidwest en aan haar gelieerde ondernemingen / instellingen / natuurlijke personen.
1.2 Klant: Iedere opdrachtgever van VZW.
1.3 Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.4 Gezondheids- en medische gegevens: Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van Betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
1.5 Verwerking van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, met elkaar in verband brengen, beschikbaar stellen, verstrekken door middel van doorzending, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens.
1.6 Verwerkingsverantwoordelijke: degene die het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt, die zeggenschap heeft over de Persoonsgegevens en verantwoordelijk is voor de naleving van dit reglement. De Verwerkingsverantwoordelijke heeft daarbij feitelijke invloed op de gegevenswerking. Hij geeft instructies aan de Verwerker ten behoeve van de gegevensverwerking.
1.7 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen.
1.8 Sub-verwerker: Als een Verwerker gebruik maakt van een derde partij om (een deel van de) persoonsgegevens te verwerken, dan wordt deze derde partij ook wel een Sub-verwerker genoemd.
1.9 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.10 Gebruiker: Enig persoon die, onder gezag van de Verwerkingsverantwoordelijke, gemachtigd is Persoonsgegevens te verwerken, dan wel van enigerlei uitvoer van de verwerking kennis te nemen. Dit kunnen personen binnen VZW zijn, maar ook personen werkzaam bij de klant.
1.11 Ontvanger: een natuurlijk persoon of rechtspersoon, aan wie/waaraan de Persoonsgegevens worden verstrekt.
1.12 Beheerder: degene die onder de Verwerkingsverantwoordelijke voor Persoonsgegevens is belast met de dagelijkse technische zorg voor het geautomatiseerde systeem.
1.13 Bestand: elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
1.14 Derde: een natuurlijk persoon of rechtspersoon, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken.
1.15 Toestemming van Betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Betrokkene aanvaardt dat hem betreffende Persoonsgegevens worden verwerkt.
1.16 Verzamelen van Persoonsgegevens: het verkrijgen van Persoonsgegevens.
1.17 Verstrekken van Persoonsgegevens: het bekend maken of ter beschikking stellen van Persoonsgegevens.
1.18 Gedragscode: een besluit van één of meer organisaties, representatief voor de sector waarop het besluit betrekking heeft, houdende in het belang van de bescherming van de persoonlijke levenssfeer gestelde regels of gedane aanbevelingen ten aanzien van Persoonsgegevens.
1.19 AVG: Algemene Verordening Gegevensbescherming
1.20 Autoriteit: De Autoriteit Persoonsgegevens (AP, voorheen CBP): de organisatie die tot taak heeft toe te zien op de verwerking van persoonsgegevens conform de geldende wet- en regelgeving.
1.21 Het reglement: dit onderhavige privacyreglement.
1.22 Platform: de online toegankelijke softwareapplicatie die als SaaS-dienst (Software as a Service) door VZW aan Klant ter beschikking wordt gesteld.
2. Reikwijdte
2.1 Dit privacyreglement is van toepassing op de geheel of gedeeltelijke geautomatiseerde Verwerking van Persoonsgegevens, alsmede op de niet geautomatiseerde Verwerking van Persoonsgegevens die in een Bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Verwerking van Persoonsgegevens geschiedt uitsluitend voor een goede dienstverlening aan onze klanten op het gebied van Arbo- en gezondheid en staat direct of indirect ten diensten hiervan. Het reglement ziet op de Verwerking van Persoonsgegevens door VZW en is onderworpen aan de werking van de Algemene Verordening Gegevensbescherming. Ieder gegeven, geautomatiseerd of niet geautomatiseerd dat informatie geeft omtrent een hoedanigheid van een geïdentificeerd of identificeerbare natuurlijke- of rechtspersoon en ongeachte of dit gegeven wordt gebruikt, valt onder dit privacyreglement.
3. Doel van de Verwerking van Persoonsgegevens
3.1 De Verwerkingsverantwoordelijke voor de Persoonsgegevens omschrijft de doelstellingen van de verwerking van de in artikel 2 bedoelde Persoonsgegevens nauwkeurig en duidelijk. Deze omschrijving vormt als Bijlage A één geheel met dit reglement.
3.2 De Verwerkingsverantwoordelijke zal niet meer Persoonsgegevens opslaan of bewaren dan voor het doel noodzakelijk is en zal geen Persoonsgegevens opnemen voor andere doeleinden, dan bedoeld in de artikel 3.1 vermelde omschrijving.
4.(Rechtmatige) Verwerking van Persoonsgegevens
4.1 De Verwerkingsverantwoordelijke omschrijft de verwerking van de in artikel 2 bedoelde Persoonsgegevens. Deze omschrijving vormt als Bijlage B één geheel met dit reglement.
4.2 In artikel 4.1 bedoelde omschrijving wordt ten minste genoemd:
a. de Verwerkingsverantwoordelijke en wie namens de Verwerkingsverantwoordelijke optreedt;
b. de Verwerker(s);
c. de wijze van verwerking van de Persoonsgegevens;
d. of de verwerking voor bepaalde dan wel onbepaalde tijd is ingesteld;
e. indien er sprake is van een beperkte looptijd geeft de Verwerkingsverantwoordelijke aan wat er na afloop met de gegevens gebeurt.
4.3 Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
4.4 De Verwerkingsverantwoordelijke heeft de zeggenschap over het goed functioneren van de Verwerking van Persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming. Zijn handelen met betrekking tot de verwerking van de Persoonsgegevens en de verstrekking vanuit die verwerking wordt beperkt door dit reglement. De Verwerkingsverantwoordelijke is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
4.5 De Verwerkingsverantwoordelijke verplicht de Verwerker dit reglement na te leven. De taken, rechten en verplichtingen van de Verwerker worden door de Verwerkingsverantwoordelijke schriftelijk vastgelegd. De Verwerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging en de geheimhouding van Persoonsgegevens.
4.6 De Verwerkingsverantwoordelijke treft de nodige maatregelen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de beveiliging van de Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de Verwerker voor het geheel of het gedeelte van de faciliteiten, die hij onder zich heeft.
4.7 De te verwerken Persoonsgegevens worden slechts verder verwerkt op een wijze die niet onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de Betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de Verwerkingsverantwoordelijke onderworpen is of geschiedt met de ondubbelzinnige toestemming van de Betrokkene.
4.8 U heeft tevens het recht om schriftelijk bezwaar te maken tegen de verwerking van uw persoonsgegevens. Indien u bezwaar maakt, verzoeken wij u om aan ons toe lichten waarom u het niet eens bent met de verwerking van uw persoonsgegevens.
5. Opgenomen gegevens
5.1 De Persoonsgegevens kunnen ten hoogste de volgende gegevenscategorieën van klanten van VZW bevatten:
a. Categorie A: gegevens werkgever;
b. Categorie B: (persoons)gegevens werknemer (Betrokkene);
c. Categorie C: gezondheids- of medisch gegevens;
5.2 De categorieën in artikel 5.1 van gegevens en hun herkomst worden nader gespecificeerd in Bijlage C bij dit reglement. Deze bijlage vormt één geheel met dit reglement.
6. Kennisgeving
6.1 De Verwerkingsverantwoordelijke zal door middel van een algemene kennisgeving het bestaan en het doel van de Persoonsgegevens en van dit reglement vermelden.
6.2 Indien andere doelen dan genoemd in Bijlage A een doelstelling vormen van de gegevens, heeft de Verwerkingsverantwoordelijke de plicht de Betrokkene vooraf gericht te informeren omtrent de aard van de gegevens die over zijn persoon in de verwerking worden opgenomen, alsmede omtrent de doeleinden die daarmee worden nagestreefd.
6.3 De Verwerkingsverantwoordelijke is niet tot kennisgeving, bedoeld in de vorige leden, verplicht, indien de uitkomsten waarvoor de Persoonsgegevens worden gebruikt, bijvoorbeeld ten behoeve van rapportage aan bedrijven, niet meer herleidbaar zijn tot individuele natuurlijke personen.
7. Inzage en afschrift van opgenomen Persoonsgegevens
7.1 De Betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.
7.2 Een verzoek tot het in 7.1 gestelde wordt schriftelijk bij de Verwerkingsverantwoordelijke ingediend. Binnen één maand na indiening wordt het verzoek afgehandeld.
7.3 De gevraagde kennisneming wordt aan de Betrokkene in persoon verleend, door het tonen van de op deze persoon betrekking hebbende gegevens. De Betrokkene dient zich vooraf te legitimeren.
7.4 De Betrokkene heeft recht op kopieën van de in 7.1 bedoelde gegevens. Voor de verstrekking hiervan mag een redelijke vergoeding in rekening worden gebracht.
7.5 Een verzoek tot kennisneming kan met redenen omkleed worden geweigerd, evenals het verstrekken van kopieën zoals in 7.4 bedoeld. Een mogelijke weigeringsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de Betrokkene, de Verwerkingsverantwoordelijke daaronder begrepen.
7.6 Kennisneming is mogelijk door een daartoe schriftelijk gemachtigde vertrouwenspersoon van de Betrokkene.
8. Vernietiging en mutatie van Persoonsgegevens
8.1 De Betrokkene heeft het recht te verzoeken om vernietiging of mutatie (rectificatie of aanvulling) van de tot persoon herleidbare gegevens.
8.2 Daartoe dient de Betrokkene een schriftelijk en gemotiveerd verzoek bij de Verwerkingsverantwoordelijke in.
8.3 Binnen een maand na indiening wordt de Betrokkene schriftelijk in kennis gesteld van de gemotiveerde beslissing.
8.4 Een verzoek tot vernietiging of mutatie van de gegevens kan worden ingewilligd indien:
a. de gegevens feitelijk onjuist zijn;
b. de gegevens voor het doel van de gegevensverwerking onvolledig zijn;
c. de gegevens niet ter zake dienend zijn;
d. de gegevens in strijd met een wettelijk voorschrift zijn.
8.5 Wanneer het verzoek tot vernietiging van de gegevens wordt ingewilligd, vernietigt de Verwerkingsverantwoordelijke de gegevens binnen 3 maanden na dit verzoek, tenzij redelijkerwijs aannemelijk is dat de bewaring een aanmerkelijk belang is voor een ander dan de Betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift is vereist.
8.6 Indien een verzoek tot mutatie van de gegevens heeft plaatsgevonden worden de binnen 3 maanden gemuteerd.
9. Verstrekking van Persoonsgegevens
9.1 Binnen VZW kunnen Persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:
a. Ontvangers, de beroepsbeoefenaars, die rechtstreeks betrokken zijn bij de actuele dienstverlening aan en begeleiding van de Betrokkene;
b. Ontvangers, de beroepsbeoefenaars, wier taak het is de verleende zorg te toetsen; De Ontvanger is, als beroepsbeoefenaar, medeverantwoordelijk voor het dagelijkse beheer van de Persoonsgegevens.
9.2 Buiten VZW kunnen Persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:
a. Ontvangers die rechtstreeks betrokken zijn bij de actuele dienstverlening aan en begeleiding of behandeling van de Betrokkene, uitsluitend met Toestemming van Betrokkene;
b. aan het Uitvoeringsinstituut Werknemersverzekeringen (UWV);
c. het Nederlands Centrum voor Beroepsziekten, op basis van de wettelijke verplichting van melding door arbodiensten, ten behoeve van wetenschappelijke of statistische doelen, mits deze gegevens de Betrokkene niet identificeren.
d. Verzekeringsmaatschappijen in het kader van de verzekering van de loondoorbetaling bij ziekte volgens het Convenant gegevensuitwisseling arbodiensten – verzekeraars.
9.3 Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als genoemd in de artikelen 9.1, 9.2 en 9.4 is voor verstrekking van Persoonsgegevens aan Derden steeds de schriftelijke toestemming van de Betrokkene vereist.
9.4 Indien Persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs de Betrokkene niet identificeren, kan de Verwerkingsverantwoordelijke beslissen deze te verstrekken ten behoeve van wetenschappelijk onderzoek en statistiek.
10. Toegang tot Persoonsgegevens
10.1 Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de Persoonsgegevens de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer, alsmede degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst in de zin van de Wet Geneeskundige Behandelingsovereenkomst (WGBO). Voorts hebben de Beheerder en de Verwerker toegang tot Persoonsgegevens voor zover dit voor het beheer en de verwerking van de registratie noodzakelijk is.
10.2 De personen, bedoeld in artikel 10.1, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de Persoonsgegevens, waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Hiertoe ondertekenen zij een geheimhoudingsverklaring.
10.3 Middels een rechtenstructuur in de software hebben uitsluitend daartoe geautoriseerde personen toegang tot Persoonsgegevens.
10.4 De Verwerkingsverantwoordelijke heeft als zodanig geen toegang tot de Persoonsgegevens, tenzij dit noodzakelijk is in verband met zijn algemene verantwoordelijkheid als Verwerkingsverantwoordelijke.
10.5 Personen die belast zijn met de uitvoering van technische werkzaamheden aan o.a. Platform zijn gehouden tot geheimhouding van alle Persoonsgegevens waarvan zij kennis hebben kunnen nemen.
11. Bewaartermijnen
11.1 Met inachtneming van eventuele wettelijke voorschriften stelt de Verwerkingsverantwoordelijke vast hoelang de Persoonsgegevens bewaard blijven. De bewaartermijn die door de Verwerkingsverantwoordelijke wordt vastgesteld op basis van het doel van de verwerking van de betreffende gegevens en dientengevolge voor onderscheiden soorten gegevens kan verschillen, wordt neergelegd in Bijlage E. Deze bijlage wordt geacht één geheel te vormen met dit Reglement.
11.2 Indien de bewaartermijn is verstreken, worden de Persoonsgegevens binnen één jaar verwijderd en vernietigd.
11.3 Vernietiging blijft eventueel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de Betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de Betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot identificeerbare personen redelijkerwijs onmogelijk is, kunnen zij in deze geanonimiseerde vorm bewaard blijven.
12. Beveiliging van Persoonsgegevens
12.1 De volgende maatregelen zijn genomen ter beveiliging van de Persoonsgegevens:
a. automatisering
b. Inlognamen, wachtwoorden en twee-factor authenticaties;
c. rechten en rollen;
d. firewalls;
e. de aanmaak van back-uptapes etc. Meer informatie is vastgelegd in ons kwaliteitshandboek.
12.2 De geautoriseerde toegang tot Persoonsgegevens wordt per medewerker c.q. beroepsbeoefenaar besproken en afgesproken.
13. Overdracht van opgenomen Persoonsgegevens
13.1 De Betrokkene heeft het recht op hem betrekking hebbende Persoonsgegevens te doen overdragen aan een andere, door hem aan te wijzen, Verwerkingsverantwoordelijke. Dit komt voor als de werkgever van Betrokkene bijvoorbeeld verandert van arbodienstverlener c.q. de arbeidsomstandighedenzorg regelt conform de andere mogelijkheden van de Arbeidsomstandighedenwet.
13.2 Voor het overdragen van de Persoonsgegevens van Betrokkene naar een andere Verwerkingsverantwoordelijke mag een redelijke vergoeding in rekening worden gebracht.
13.3 In geval de Verwerkingsverantwoordelijke het voornemen heeft tot overdracht van door haar gehouden Persoonsgegevens, bijvoorbeeld in verband met beëindiging van de onderneming, worden de Betrokkenen door middel van een openbare bekendmaking in kennis gesteld van dit voornemen. In deze bekendmaking worden de reden(en) van de overdracht en de beoogde nieuwe Verwerkingsverantwoordelijke vermeld. Binnen twee maanden na de bekendmaking kan tegen de overdracht bezwaar worden gemaakt. Indien tegen de overdracht bezwaar wordt gemaakt, stelt de Verwerkingsverantwoordelijke in overleg met de Betrokkene vast wat er met de gegevens gebeurt. Indien wordt geopteerd voor vernietiging van de gegevens, dient dit binnen drie maanden kosteloos te geschieden. Wanneer de Persoonsgegevens worden overgedragen naar een andere Verwerkingsverantwoordelijke blijven de in dit reglement gestelde regels van toepassing.
14. Klachten
14.1 Indien de Betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden tot klagen heeft, dient hij zich te wenden tot de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke zal vervolgens de klacht afhandelen conform de klachtenregeling.
14.2 Indien dit voor de Betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft de Betrokkene de mogelijkheid om een beroep te doen op de rechter met het verzoek te bemiddelen of te adviseren in zijn geschil met de Verwerkingsverantwoordelijke. Dit dient te geschieden binnen een termijn van acht weken na ontvangst van het antwoord van de Verwerkingsverantwoordelijke of, indien de Verwerkingsverantwoordelijke niet binnen de gestelde termijn heeft geantwoord, binnen acht weken na afloop van die termijn.
15. Looptijd van Het reglement
15.1 Behoudens eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de Verwerking van Persoonsgegevens, zoals aangegeven in Bijlage B.
16. Wijziging van Het reglement
16.1 Wijziging van Het reglement geschiedt door de Verwerkingsverantwoordelijke.
16.2 Wijzigingen in het doel van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de Persoonsgegevens dienen te leiden tot wijziging van dit reglement.
17. Inwerkingtreding van Het reglement
17.1 Dit reglement is per 31-05- 2018 in werking getreden en geheel herzien in mei 2020.
17.2 Desgewenst kan tegen kostprijs een kopie van dit reglement worden verkregen.
18. Contactgegevens
Mocht u vragen hebben over dit privacyreglement of de verwerking van uw persoonsgegevens door Viazuidwest dan kunt u contact opnemen met onze Functionaris voor Gegevensbescherming via onderstaande contactgegevens.
Viazuidwest B.V.
T.a.v. Functionaris voor Gegevensbescherming, A.A.J. Nijsse
Postadres
Postbus 201
4460 AE Goes
Bezoekadres
Vosmaerstraat 2
4461 HT Goes
Telefoonnummer : 0113 275817
E-mailadres: privacy@viazuidwest.nl
Waar vind u dit privacyreglement
Het reglement is in te zien en gratis te downloaden via de website www.viazuidwest.nl
Inwerkingtreding van het privacy
Wij behouden ons het recht voor om dit privacyreglement te wijzigen. Wijzigingen zullen op onze website worden gepubliceerd. Het verdiend aanbeveling om dit Privacyreglement geregeld te raadplegen zodat u van eventuele wijzigingen op de hoogte bent.
Bijlage A Doel van de gegevensverwerking
Doel 1: Het systematisch en bondig vastleggen van gegevens over cliënten, voortvloeiend uit plaatsgehad hebbende geneeskundige keuringen, bedrijfsgeneeskundige en andere consulten, behandelingen, verrichtingen en arbeidsgezondheidskundig onderzoek, met het oogmerk deze gegevens in het kader van arbeidsgeschiktheidsbeoordeling, zorgverlening en zorgondersteuning te raadplegen in geval van:
a (vervolg)consulten en/of keuringen en/of verrichtingen en/of advisering aan de Betrokkene (de cliënt / werknemer);
b advisering aan de werkgever van de Betrokkene (de cliënt / werknemer);
c financiële afhandeling van de geboden zorgverlening;
d kwaliteitstoetsing.
e de uitvoering van de wettelijke taken die voor VZW van toepassing zijn (zoals de Arbowet, Wet verbeterde Poortwachter, etc.).
Grondslag: VZW heeft op grond van de wet onder meer de taak om werkgever/Klant (waarmee een contract is afgesloten) te helpen bij de begeleiding van zieke werknemers; nader te lezen in Artikel 14, eerste lid, onder b, Arbeidsomstandighedenwet (Arbowet) en artikel 2.14a, tweede lid, Arbeidsomstandighedenbesluit (Arbobesluit).
Doel 2: VZW biedt via Platform ondersteuning bij de verwerking van persoonsgegevens door en uitwisseling van persoonsgegevens tussen werkgevers, werknemers, zorgaanbieders en adviseurs, maar heeft geen invloed op welke persoonsgegevens in Platform worden opgeslagen. Dat bepaalt betrokkene, Klant, zorgaanbieder of adviseur zelf. Voordat toegang wordt verleend tot Platform, heeft VZW een contract gesloten met Klant, zorgaanbieder of adviseur. Daarin wordt aan VZW opdracht gegeven om de Persoonsgegevens te verwerken voor bepaalde specifieke doeleinden. VZW zal de Persoonsgegevens alleen voor die doeleinden verwerken en zich daarbij houden aan de wettelijke en contractuele verplichtingen die op de gegevensuitwisseling van toepassing zijn. Op verzoek van werkgever of werknemer verstrekt VZW Persoonsgegevens uit het Platform die door de Klant wordt gebruikt aan zorgaanbieders voor zover daarvoor een wettelijke grondslag bestaat en voor zover dat noodzakelijk is. Hierover zijn nauwkeurige afspraken gemaakt tussen VZW en de Klant. VZW zorgt ervoor dat de persoonsgegevens die Betrokkene, Klant, zorgaanbieder of adviseur in Platform verwerkt, veilig zijn opgeslagen en niet voor onbevoegde personen toegankelijk zijn.
Grondslag: VZW verwerkt bovengenoemde Persoonsgegevens omdat dit noodzakelijk is voor de uitvoering van de overeenkomsten die VZW heeft gesloten met Klant, zorgaanbieder of adviseur zoals hierboven toegelicht.
Bijlage B Verwerken van Persoonsgegevens
1 De Verwerking van Persoonsgegevens functioneert ten behoeve van de dienstverlening van VZW aan Klant op het gebied van Arbo- en gezondheid.
2 VZW is aan te merken als Verwerker voor de uitvoering van een zakelijke overeenkomst met de Klant, anders dan ten behoeve van de wettelijke taken als arbodienstverlener.
3 Vastlegging en verstrekking van (medische) Persoonsgegevens door VZW als Verwerkingsverantwoordelijke gebeurt op basis van de KNMG-code ‘Gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie’ (2007).
4 De Verwerkingsverantwoordelijke en tevens houder van de Persoonsgegevens is: de directie van VZW
5 VZW zal al hetgeen doen wat redelijkerwijs van hem verlangd kan worden teneinde te voorkomen dat bij de Verwerking van Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke deze Persoonsgegevens worden aangepast, ter kennis komen van onbevoegden, door onbevoegden worden gewijzigd, of ten onrechte aan derden worden verstrekt of anderszins onrechtmatig worden verwerkt.
6 Gebruikers van de Persoonsgegevens zijn de medewerkers en professionals van VZW betrokken bij de actuele zorg voor en begeleiding van werknemers in het kader van het uitvoeren van onder andere de Arbeidsomstandighedenwet en de Wet Verbetering Poortwachter. De Gebruikers van de Persoonsgegevens zijn, ieder voor zich, verantwoordelijk voor de juiste vastlegging en raadpleging van de Persoonsgegevens, c.q. het dossier, alsmede voor het bewaren van de dossiers die zij in verband met hun taakuitoefening aanleggen.
7 De Verwerking van Persoonsgegevens is, met inachtneming van artikel 11 van Het reglement, voor onbepaalde tijd ingesteld.
8 De verwerking van gegevens heeft geen verbanden met andere gegevensverzamelingen.
9 Aan de volgende categorieën van personen of instanties worden de volgende soorten gegevens verstrekt:
a. werkgever: Arbo- en verzuiminformatie; adviezen op organisatieniveau; re-integratieplannen.
b. Werknemer: individuele gegevens en adviezen; re-integratieplan.
c. UWV: individuele gegevens en adviezen; re-integratieplan.
d. Verzekeringsmaatschappijen in het kader van de verzekering van de loondoorbetaling bij ziekte volgens het Convenant gegevensuitwisseling arbodiensten – verzekeraars.
Bijlage C Categorieën Persoonsgegevens
In dit reglement wordt een onderscheid gemaakt in categorieën van gegevens naar het doel waarvoor deze gegevens mogen worden verwerkt. Voor alle gegevens geldt dat deze alleen verwerkt mogen worden voor zover dit noodzakelijk is voor het doel waarvoor zij verkregen worden en bij de uitvoering van de wettelijke taken die voor VZW van toepassing zijn.
Categorie A: gegevens Klant
Dit zijn algemene gegevens van de werkgever en betrokkene. Hiertoe behoren onder meer:
a NAW-gegevens van de werkgever inclusief contactgegevens;
b Offertes, opdrachtbevestigingen, contracten en overeenkomsten;
c Facturatiegegevens.
Categorie B: (persoons)gegevens werknemer (Betrokkene);
Dit zijn de gegevens die een rol spelen bij de uitvoering van de overeenkomst tussen VZW en werkgever. Het zijn hoofdzakelijk proces- en administratieve gegevens die de werkgever, de verzuimverzekeraar in de hoedanigheid van claimbeoordelaar en VZW mogen verwerken. Hiertoe behoren onder meer:
a NAW-gegevens van de betrokkene;
b BSN;
c Geboortedatum betrokkene;
d Contact gegevens betrokkene (telefoonnummer, e-mail);
e Dienstverbandgegevens;
f Datum eerste verzuimdag, datum van (gedeeltelijk) herstel, (vermoedelijke) duur van het verzuim;
g Overige informatie ten behoeve van advisering, dossiervorming en administratie ten aanzien van re-integratie, verzuim, duurzame inzetbaarheid en gezondheidsmanagement;
Categorie C: Gezondheids- of medische gegevens (Betrokkene)
Dit zijn bijzondere persoonsgegevens die in het kader van een medisch onderzoek of een medische behandeling door VZW worden verwerkt. In het proces rondom verzuim is de verwerking van deze gegevens voorbehouden aan VZW of aan haar gelieerde professionals. Hiertoe behoren onder meer:
a Diagnose en behandelgegevens;
b Oorzaak en aard van de ziekte/aandoening;
c Informatie waaruit de diagnose en/of de aard en oorzaak ven de ziekte/aandoening is af te leiden;
d Interventies nodig voor het wegnemen of verminderen van de beperkingen dan wel voor het vinden van arbeid of het aanpassen van de arbeid.
Bijlage D Toegang tot de persoonsgegevens
Alleen het personeel, de professionals en de kerndeskundigen van VZW hebben toegang tot persoonsgegevens voor zover dit noodzakelijk is voor een goede uitoefening van hun taken en zij zijn contractueel tot geheimhouding verplicht. Elektronische (medische) persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. In het kwaliteitsmanagementsysteem van VZW is aangegeven wie toegang heeft tot de registratiesystemen en hoe de autorisaties worden toegekend en beheerd. Per gegevenscategorie is hieronder weergegeven vanuit welke functie(groep), welke toegang, is verschaft tot welke gegevens binnen een categorie.
| Autorisatieschema Functie | Categorie A | Categorie B | Categorie C |
| Directie | B | G | G |
| Applicatiebeheerder/ICT | B | B | B |
| Medewerker VZW overig | B | B | G |
| Verzuimadministratie | B | B | G |
| Arbeid hygiënist | L | L | G |
| (Hoger) Veiligheidskundige | L | L | G |
| Arbeidsdeskundige | L | L | G |
| Klant (werkgever) | B | B | G |
| Arts/bedrijfsarts/medisch adviseur/verzekeringsarts | B | B | B |
| Casemanager | B | B | G |
| Praktijkondersteuner Bedrijfsarts | B | B | B |
| Vertrouwenspersoon | B | B | G |
| Mediator | L | L | G |
| Arbeids- en Organisatiedeskundige | L | L | G |
L = leesrecht;
B = lees- én bewerkrecht
G = geen toegang
Bijlage E Bewaartermijnen en vernietiging
De Verwerkersverantwoordelijke voor Persoonsgegevens conformeert zich aan de algemene richtlijnen voor het bewaren en vernietigen van Medische gegevens van de Koninklijke Nederlandse Maatschappij ter bevordering der Geneeskunst (KNMG) te Utrecht, welke richtlijnen bij de Verwerkersverantwoordelijke kunnen worden ingezien of opgevraagd. Met inachtneming van de KNMG-richtlijnen inzake het bewaren en vernietigen van Medische gegevens gelden de volgende uitgangspunten:
a Na het overlijden van de Betrokkene worden de in bijlage C genoemde gegevens na een bewaartermijn van tien jaar en indien blootstelling aan carcinogene stoffen of biologische agentia heeft plaatsgevonden 40 jaar en bij werken met ioniserende straling 30 jaar, binnen één jaar vernietigd of geanonimiseerd (niet herleidbaar tot Betrokkene).
b Na beëindiging van de overeenkomst met VZW worden de in bijlage C genoemde gegevens na een bewaartermijn van tien jaar en indien blootstelling aan carcinogene stoffen of biologische agentia heeft plaatsgevonden 40 jaar en bij werken met ioniserende straling 30 jaar, binnen één jaar vernietigd of geanonimiseerd (niet herleidbaar tot Betrokkene).
c Na uit dienst treden bij de werkgever, waar de Betrokkene werkzaam is, of na beëindiging van het contract van de werkgever met VZW worden de in bijlage C genoemde gegevens op verzoek van Betrokkene dan wel met diens instemming (in afschrift) overgedragen aan de nieuwe Verwerkersverantwoordelijke of anders, na een bewaartermijn van tien jaar en indien blootstelling aan carcinogene stoffen of biologische agentia heeft plaatsgevonden 40 jaar en bij werken met ioniserende straling 30 jaar, binnen één jaar vernietigd of geanonimiseerd (niet herleidbaar tot Betrokkene).
d De Verwerkersverantwoordelijke beslist over het bewaren en vernietigen van deze gegevens, conform de KNMG-richtlijnen en dit privacyreglement.