PRIVACYREGLEMENT
PRIVACYREGLEMENT
Definities:
BusinessHealthSupport, de arbodienst met als standplaats Xxxxxxxxxxx 0, 0000 XX s’ Gravenmoer.
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
betrokkene: degene op wie een persoonsgegeven betrekking heeft;
1. Toepassingsgebied
Dit reglement is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens alsmede de geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
In dit privacyreglement wordt uitleg gegeven over de bescherming van privacygevoelige informatie. In de informatiesystemen van BusinessHealthSupport wordt privacygevoelige informatie vastgelegd in Companion. Companion is het algemene Arbo-informatiesysteem.
Gegevens kunnen afkomstig zijn van de geregistreerde persoon, diens leidinggevende of werkgever, personeel van BusinessHealthSupport, professionals van een ingeschakeld interventiebedrijf en de curatieve sector, casemanagers, procesregisseurs, het UWV en andere bij de verzuimbegeleiding, het preventief onderzoek, vaccinatie of keuring betrokken derden.
2. Doel van de gegevensverwerking
BusinessHealthSupport verwerkt persoonsgegevens ten behoeve van:
a) de arbeidsomstandighedenzorg in bedrijven en instellingen die daartoe met de verantwoordelijke direct of indirect een overeenkomst hebben gesloten;
b) begeleiding bij ziekteverzuim van werknemers van bedrijven en instellingen die daartoe met BusinessHealthSupport direct of indirect een overeenkomst hebben gesloten;
c) de re-integratie van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid;
d) de uitvoering van de wettelijke taken die voor BusinessHealthSupport van toepassing zijn (zoals de Belastingwet, Arbowet, Wet verbeterde Poortwachter, etc.).
3. Voorwaarden voor rechtmatige verwerking
3.1 BHS en/ of AWA draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
3.2 De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een (arbeids) overeenkomst tot geheimhouding zijn verplicht.
3.3 Persoonsgegevens worden verwerkt voor de in artikel 2 beschreven doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.
3.4 Persoonsgegevens worden verwerkt indien:
a) betrokkene voor de verwerking expliciet zijn toestemming heeft verleend, of;
b) de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarin betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijke zijn voor het sluiten van een overeenkomst, of;
c) de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen, waaraan de verantwoordelijke onderworpen is, of;
d) de gegevensverwerking noodzakelijk is voor het behartigen van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
3.5 Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 2, toereikend, ter zake dienend en niet bovenmatig zijn.
3.6 BusinessHealthSupport bewaart geheimhouding over de persoonsgegevens waarvan hij/zij kennisneemt, behoudens voor zover enig wettelijk voorschrift hem/haar tot mededeling verplicht of uit zijn/haar taak mededeling voortvloeit.
3.7 BusinessHealthSupport verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging.
3.8 Het vorige lid is niet van toepassing voor zover:
a) dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid met het oog op een goede behandeling of begeleiding van betrokkene, of:
b) dit geschiedt met schriftelijke toestemming van betrokkene, of:
c) de gegevens door betrokkene openbaar zijn gemaakt en hierbij toestemming is gegeven voor verder verwerking, of:
d) dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of:
e) dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende maatregelen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.
Een overzicht van het type gegevens dat BusinessHealthSupport verwerkt met de bijhorende doeleinden en grondslagen is te vinden in bijlage 1.
4. Toegang
In het kwaliteitssysteem van BusinessHealthSupport is aangegeven wie op grond van het vastgestelde autorisatieschema toegang heeft tot de registratiesystemen en hoe de autorisaties worden toegekend en beheerd. (Bedrijfs)artsen van BusinessHealthSupport en door hen gesuperviseerde medewerkers, welke direct bij de behandeling of begeleiding betrokken zijn, hebben toegang tot de medische dossiers. Werkgevers, leidinggevenden en casemanagers hebben geen toegang tot de medische dossiers.
5. Informatie-uitwisseling
De werkgever ontvangt dezelfde informatie die de werknemer ontvangt.
De bedrijfsarts mag medische gegevens van de (zieke) werknemer opvragen bij diens behandelend arts indien hij dit noodzakelijk acht in het kader van de keuringen, preventieve onderzoeken, vaccinaties of verzuimbegeleiding en re-integratie. De bedrijfsarts kan dit alleen nadat de werknemer hiervoor een schriftelijk machtiging heeft afgegeven. Ontvangen medische gegevens worden geregistreerd in het medisch deel van het registratiesysteem.
6. Recht op inzage en overdracht
BusinessHealthSupport deelt een ieder op diens verzoek, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hem betreffende persoonsgegevens worden verwerkt. De geregistreerde of diens gevolmachtigde heeft na vaststelling van de identiteit recht op inzage in de op zijn persoon of op zijn bedrijf betrekking hebbende geregistreerde gegevens. De geregistreerde heeft recht op een kopie van de beschikbare gegevens die over hem zijn vastgelegd. BusinessHealthSupport mag de verzoeker vragen hiervoor een redelijke vergoeding te betalen. De geregistreerde kan BusinessHealthSupport ook verzoeken diens dossier in een technisch bruikbaar format ter beschikking te stellen zodat dit aan een derde kan worden overgedragen.
7. Recht op correctie
De geregistreerde heeft het recht om feitelijk onjuiste gegevens te laten corrigeren. Op schriftelijk verzoek van een betrokkene of diens gevolmachtigde gaat BusinessHealthSupport over tot verbeteren, aanvulling en/of verwijdering van de met betrekking tot de verzoeker verwerkte persoonsgegevens in het bestand, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek behelst de aan te brengen wijzigingen. Dit verzoek wordt alleen in behandeling genomen als hierbij nauwkeurig wordt aangegeven welke specifieke geregistreerde gegevens moeten worden verwijderd en door welke andere specifieke gegevens gecorrigeerd moeten worden. BusinessHealthSupport deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil of kan voldoen, omkleedt hij dat met redenen. Gegevens die zijn vastgelegd in het kader van verplichte periodieke keuringen kunnen slechts verwijderd worden indien daarvan de wettelijke bewaartermijnen zijn verstreken. Verzoeken om gegevens te verwijderen, die zijn vast gelegd n.a.v. vrijwillige arbodienstverlening zoals bezoek van een werknemer aan het arbeidsomstandighedenspreekuur of over vrijwillige deelname van werknemer aan periodieke onderzoeken en vaccinaties, kunnen meestal wel worden ingewilligd.
8. Recht op verwijdering
De Betrokkene heeft er recht op dat BusinessHealthSupport ervoor zorgt dat hem betreffende gegevens worden gewist en verdere verspreiding van dergelijke gegevens achterwege blijft, en (dat Derden ervoor zorgen) dat iedere koppeling naar of kopie of reproductie van die gegevens wordt gewist, op basis van een van de volgende gronden:
⮚ De Betrokkene maakt bezwaar tegen de verwerking van Persoonsgegevens en de gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt.
⮚ De Betrokkene trekt de toestemming waarop verwerking is gebaseerd in, of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor verwerking van de gegevens ontbreekt.
⮚ Een rechtbank of regelgevende instantie heeft een rechtsgeldige uitspraak gedaan dat betreffende gegevens moeten worden gewist.
⮚ De gegevens zijn onrechtmatig verwerkt.
Een verzoek tot correctie, verwijdering of verzet wordt in het betreffende dossier opgenomen. BusinessHealthSupport draagt er zorg voor dat een beslissing tot inzage en/of afschrift, correctie of verwijdering zo spoedig mogelijk wordt uitgevoerd.
9 KLACHTEN EN INCIDENTEN
Heeft u een vraag of een klacht over de manier waarop wij met uw persoonsgegevens omgaan? Neem dan contact op met onze Functionaris Gegevensbescherming via xxxx@xxxxxxxxxxxxxxxxxxxxx.xx. Mocht u er samen met ons onverhoopt niet uitkomen, dan kunt u een klacht indienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
( xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxx-xxxx/xxxxxxxxxxxxxx/xxxxxx-xxxx-xxxxxxx-xxxxxxxxxxxxxxxx ).
Wij hebben daarnaast een protocol opgesteld voor het melden van incidenten. Hiermee geven wij invulling aan de meldplicht datalekken. De afhandeling van deze incidenten volgt een gestructureerd proces, dat ook voorziet in de
juiste stappen rondom de meldplicht datalekken.
Indien u een andere klacht heeft die geen betrekking heeft op uw privacy dan verwijzen we u graag naar ons klachtenreglement. Deze is te vinden op onze website.
10 BEVEILIGING
BusinessHealthSupport heeft technische en organisatorische maatregelen genomen om uw persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De belangrijkste maatregelen zijn:
• Binnen de organisatie is een kwaliteitsmanagementsysteem ingericht conform ISO 9001, daarmee borgen we een hoge kwaliteit in al onze processen. Belangrijke onderdelen hiervan zijn Privacy en informatiebeveiliging. Zo bevinden papieren dossiers met (medische) gegevens zich altijd achter slot en grendel en zijn er afspraken over sleutelbeheer.
• Er zijn binnen de organisatie verantwoordelijkheden toegekend op het gebied van privacy en informatiebeveiliging.
• Alleen die medewerkers kunnen bij de gegevens, die dat ook voor de uitvoering van hun werk nodig hebben. Zo is een zorgvuldige scheiding gemaakt wie welke dossiers in mag zien.
• Werknemers die inzage hebben in persoonsgegevens zijn (contractueel) gehouden aan geheimhouding.
• IT voorzieningen en apparatuur zijn fysiek en logisch beschermd tegen toegang door onbevoegden en schade of storingen.
• Digitale toegang tot uw medische dossier vindt altijd plaats via meervoudige authenticatie (2 factor authenticatie).
• Met alle derde partijen die gegevens namens ons verwerken worden verwerkersovereenkomsten afgesloten waarin afspraken worden gemaakt over de toegang en beveiliging tot gegevens. Daarnaast gaan we alleen met leveranciers in zee die beschikken over een ISO 27001 certificaat, het internationale keurmerk voor informatiebeveiliging.
11 EXTERNE ONTVANGERS
Een deel van de gegevens die wij verwerken wordt met derden gedeeld voor de daaraan gerelateerde doeleinden. Vaak gebeurd dit op basis van een wettelijke verplichting. Organisaties of instanties waarmee wij gegevens delen zijn:
• Uw werkgever. Hierbij worden alleen die gegevens gedeeld over uw afwezigheid die wettelijk zijn toegestaan. Wij zullen nooit medische gegevens of details over uw toestand of begeleiding delen met uw werkgever. De bedrijfsarts zal u altijd informeren over welke gegevens met uw werkgever zullen worden gedeeld.
• Bedrijfsartsen, deskundigen of andere functionarissen die rechtstreeks betrokken zijn bij de behandeling, hulpverlening of begeleiding van een werknemer.
• Andere zorgverleners, zoals een huisarts of medisch specialist. Dit mag alleen met uw uitdrukkelijke toestemming, dit zullen wij u altijd schriftelijk vragen te bevestigen.
• Verzekeringsmaatschappijen in het kader van de verzekering van de loondoorbetaling bij ziekte volgens de meest actuele versie van de Handleiding Privacy Verzuimverzekeringen, en voor zover wetgeving dit toestaat.
• Het UWV, bijvoorbeeld in het geval van langdurige ziekte en re-integratie.
• Accountant
• Cloud/ICT leverancier
• Belastingdienst
12 DE BEWAARTERMIJNEN
Voor alle persoonsgegevens die wij verwerken zijn bewaartermijnen bepaald. In principe geldt dat gegevens niet langer worden bewaard dan nodig. Voor administratieve verzuimgegevens hanteren we een bewaartermijn van 2 jaar na beëindiging van het dienstverband. Waar aanwezig worden de wettelijke bewaartermijnen gehanteerd. Dat geldt voor de volgende gegevens:
• Voor een medisch dossier (voorzover opgesteld onder de Wet op de Geneeskundige Behandelingsovereenkomst) geldt een wettelijke bewaartermijn van 20 jaar.
• Indien werknemers tijdens werkzaamheden in aanraking zijn geweest met bepaalde gevaarlijke stoffen kan een langere wettelijke bewaartermijn gelden tot maximaal 40 jaar na beëindiging van het dienstverband.
• Gegevens van cliënten waarbij namens een gemeente in het kader van de uitvoering van de WWB of WMO contact, onderzoek, en/of beoordeling of indicatiestelling heeft plaatsgevonden worden minimaal 15 jaar bewaard.
• Voor financiële gegevens geldt een wettelijke bewaartermijn van 7 jaar.
Bijlage 1: Persoonsgegevens, doeleinden en grondslagen
Categorieën persoonsgegevens | Doeleinden | Grondslag | Herkomst |
Werknemers van klanten | |||
Naam, voornamen, voorletters, titulatuur, adres, postcode, woonplaats, telefoonnummer, e-mailadres en functie. | De registratie van werknemers in ons systeem en het kunnen communiceren met werknemers. | Wettelijke verplichting op basis van artikel 14 van de arbeidsomstandighedenwet. | Werkgever |
Geslacht, geboortedatum. | Het kunnen bieden van de juiste begeleiding passende bij het geslacht en de leeftijd van de werknemer. | Wettelijke verplichting op basis van artikel 14 van de arbeidsomstandighedenwet. | Werkgever |
Het BSN nummer | Voor de individuele begeleiding, re-integratie verplichtingen en uitwisseling met overheidsinstellingen is het BSN vereist. | Wettelijke verplichting: Arbeidsomstandighedenwet artikel 14, lid 6 | Werkgever |
(Para)medische en overige persoonlijke gegevens inzake de mentale en fysieke gezondheid alsmede informatie over de redenen van verzuim, diagnose(s), medicatie, medische historie, aantekeningen en begeleidingsgegevens en herstelgegevens alsmede overige gegeven die noodzakelijk zijn voor adequate begeleiding en re-integratie. | Het kunnen bieden van de juiste begeleiding aan de werknemer met als doel spoedig herstel van werkzaamheden of re- integratie. | Wettelijke verplichting: Arbeidsomstandighedenwet artikel 14, lid 1 alsmede de Wet Verbetering Poortwachter. Wettelijke verplichting medisch dossier (WGBO, Burgerlijk wetboek boek 7 artikel 455, lid 1) | Werknemer |
(Medische) en overige persoonlijke gegevens voortkomend uit een vrijwillig spreekuur of deelname aan een (vrijwillig) (preventief medisch) onderzoek of begeleiding op eigen initiatief van de werknemer. | De juiste begeleiding kunnen bieden en het (preventief medisch) toetsen van werknemers alsmede het maken van analyses en het geven van adviezen aan zowel werkgever als werknemer. | Uitvoering van de geneeskundige behandelingsovereenkomst of de dienstverleningsovereenkomst voor het uitvoeren van arbodienstverlening aan werknemer | Werknemer |
Wettelijke verplichting (PMO): Arbeidsomstandighedenwet artikel 18. | |||
Wettelijke verplichtingen tot het uitvoeren van een PMO voor bepaalde beroepsgroepen. | |||
Wettelijke verplichting medisch | |||
dossier (WGBO, Burgerlijk wetboek boek 7 artikel 455, lid 1) | |||
Gegevens betreffende aanstellingskeuringen. | Het kunnen beoordelen of een kandidaat geschikt is voor een bepaalde functie. | Toestemming. | Werknemer of sollicitant |
Gegevens betreffende klachten conform de wettelijke klachtenregeling. | Het behandelen van geschillen en klachten. | Wettelijke verplichting: Arbeidsomstandighedenwet wet artikel 14, lid 2H. | Werknemer |
Gegevens van werknemers inzake hun (medische) toestand of aanverwante gegevens die gebruikt worden voor het uitvoeren van wetenschappelijk of statistisch onderzoek. | Het verrichten van wetenschappelijk, statistisch en kwalitatief onderzoek. | Toestemming (voor zover het naar personen herleidbare gegevens betreft en in redelijkheid mogelijk is toestemming te vragen). | Werknemer |
Klanten en leveranciers | |||
naam, voornamen, voorletters, titulatuur, adres, postcode, woonplaats, telefoonnummer, e-mailadres en functie. | Het kunnen opstellen en beheren van de overeenkomst en het communiceren met leveranciers en klanten. | Uitvoering van de overeenkomst. | |
Gegevens betreffende de financiële afwikkeling van producten en diensten zoals facturen, contracten, rekeningnummers en BTW nummers. | Het kunnen betalen of factureren van diensten en producten. | Uitvoering van de overeenkomst. Wettelijke verplichting: Wet op de Rijksbelasting artikel 52. | |
Privacy regelement versie 2.0 dd 01 11 2020