Privacyreglement
Begripsbepalingen
In dit reglement wordt verstaan onder:
Reikwijdte
- Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en worden in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze verwerkt.
- GOED BV heeft in haar kwaliteitssysteem een beschrijving opgenomen van welke (bijzondere) Persoonsgegevens worden verwerkt en met welk specifiek doel deze gegevens worden verwerkt.
- De doeleinden voor verwerking van Persoonsgegevens zijn onderverdeeld in een hoofd- en nevendoel:
1. Persoonsgegevens worden alleen verwerkt door GOED BV en/of Verwerker indien:
a. De hierover vooraf geïnformeerde Betrokkene voor de verwerking schriftelijk zijn ondubbelzinnige toestemming heeft verleend, of;
b. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is, of;
c. Gegevensverwerking noodzakelijk is voor de nakoming van wettelijke verplichtingen van Verwerkingsverantwoordelijke, of;
d. Gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de Betrokkene, of;
e. De gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt, of;
f. Gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van Verwerkingsverantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
- Persoonsgegevens
– Personalia en identificatiegegevens (stamgegevens);
– Financiële en administratieve gegevens;
– Werkplekgegevens. - Gezondheidsgegevens
– (para-)medische, sociale en psychologische gegevens.
- De BSN-nummers van medewerkers van klanten die door GOED vanwege ziekteverlof begeleid of bijgestaan worden, worden opgenomen in het digitale verzuimsysteem.
- De Expertisearts legt de onderzoeksgegevens, de beschouwing, persoonlijke aantekeningen en de conclusie vast in het digitale verzuimsysteem.
- De werkgever en/of casemanager krijgt een leken gedeelte te zien. Hierin staan geen Gezondheidsgegevens van de Betrokkene.
- Gezondheidsgegevens of bijzondere Persoonsgegevens worden uitsluitend opgenomen in het afgeschermde medische dossier. Dit is uitsluitend inzichtelijk voor de Staf Bedrijfsarts en Expertisearts en zijn assistent die werkt in de gedelegeerde taak constructie met Staf Bedrijfsarts (behandelteam/verlengde arm).
4. Toegang tot Persoonsgegevens
Binnen de organisatie van Goed BV hebben alleen toegang tot de Persoonsgegevens:
- De personen werkzaam voor GOED BV voor zover dat noodzakelijk is voor een goede uitoefening van hun taken. De betreffende personen hebben allen een geheimhoudingsverklaring ondertekend. In Bijlage B is een overzicht opgenomen van de welke personen toegang hebben tot welke Persoonsgegevens van Betrokkenen.
- GOED BV heeft geen toegang tot de verwerkte persoonsgegevens, tenzij dit noodzakelijk is in verband met de uitvoering van haar wettelijke en contractuele verplichten en in verband met zijn algemene verantwoordelijkheid.
- Buiten de organisatie van GOED BV (en door haar ingeschakelde Verwerkers) hebben alleen toegang tot de Persoonsgegevens van de door GOED BV ingehuurde of anderszins aangestelde Ontvangers/Derden in het kader van de uitvoer van de overeenkomst met GOED BV. De betreffende personen hebben allen een geheimhoudingsverklaring ondertekend.
5. GOED BV heeft in het kader van de toegang tot Persoonsgegevens de volgende autorisatie procedure opgesteld:
Beveiliging
- GOED BV heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de Gebruikers bekende autorisatiecodes en/of wachtwoorden.
- Gelijke plicht rust op de Verwerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. De Verwerkingsverantwoordelijke ziet erop toe dat de Verwerker eveneens handelt dienovereenkomstig de voorschriften van artikel 32 van de Algemene Verordening Gegevensbescherming.
- GOED BV verricht daar waar nodig een privacy impact analyse (‘DPIA’) met betrekking tot de naleving van de hiervoor genoemde verplichtingen.
Digitale gegevens
Elektronische Persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast, te weten:
- MFA
- Bitlocker
- Intune
- Conditional Access
Papieren gegevens
Daar waar er sprake is van Persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Er zijn afspraken over sleutelbeheer: alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten. Ten aanzien van Gezondheidsgegevens geldt dat alleen de Staf Bedrijfsarts of Expertisearts en/of de onder taakdelegatie werkzame medewerkers toegang hebben tot de sleutels van deze afsluitbare kasten.
Spreekkamers
GOED BV hanteert bij het aanvaarden van een nieuwe opdracht in het kader van arbodienstverlening voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze: de ruimte kan vanaf de gang niet ingezien worden, de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
Functionaris gegevensbescherming
- Verwerkingsverantwoordelijke verwerkt bijzondere Persoonsgegevens. Ter waarborging van de verwerking van deze Persoonsgegevens in overeenstemming met de wet is een functionaris gegevensbescherming aangesteld overeenkomstig artikel 37 lid 1 onder c van de Algemene Verordening Gegevensbescherming.
- De verwerkte Persoonsgegevens, als genoemd in “Verwerkte Persoonsgegevens en Toegang tot Persoonsgegevens” zijn aangemeld bij de functionaris gegevensbescherming.
Bewaartermijnen
- GOED BV zal de Persoonsgegevens niet langer bewaren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij de Persoonsgegevens noodzakelijk zijn ter voldoening aan een in specifieke wetgeving opgenomen concrete bewaartermijn of bewaarverplichting.
- Voor Gezondheidsgegevens geldt in beginsel een bewaartermijn van 20 jaar, te rekenen vanaf het einde van de behandeling. De termijn kan eventueel langer zijn indien dit voor een zorgvuldige hulpverlening noodzakelijk is, bijvoorbeeld indien sprake is van beroepsgebonden aandoeningen.
- Indien de bewaartermijn is verstreken, worden de betreffende gegevens binnen een termijn van één jaar uit de registratie vernietigd, tenzij een wettelijk voorschrift zich tegen vernietiging verzet. De gegevens kunnen in geanonimiseerde vorm behouden blijven.
- De vernietiging van Gezondheidsgegevens kan bovendien achterwege blijven als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijk belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld de Staf Bedrijfsarts of Expertisearts zelf als de Betrokkene een gerechtelijke of tuchtrechtelijke procedure tegen hem heeft aangespannen.
Rechten betrokkene
- De Betrokkene is gerechtigd om GOED BV om informatie over (de verwerking van en/of het al dan niet verstrekken aan derden van) zijn/haar Persoonsgegevens te verzoeken, zonder dat de Betrokkene daarbij een bijzondere reden hoeft op te geven.
- Verwerkingsverantwoordelijke zal op eerste schriftelijk verzoek van Betrokkene zo spoedig mogelijk, doch uiterlijk binnen vier weken nadat daartoe een verzoek is gedaan, overgaan tot het schriftelijk verstrekken van een afschrift van alle benodigde informatie die Betrokkene verzoekt.
- GOED BV kan buitensporige verzoeken om informatieverstrekking afwijzen. Van buitensporige verzoeken is sprake wanneer de Betrokkene GOED BV meer dan gemiddeld en noodzakelijk benadert met informatieverzoeken.
- GOED BV draagt zorg voor een deugdelijke vaststelling van de identiteit van de Betrokkene die om informatie verzoekt.
- Verwerkingsverantwoordelijke is gerechtigd Betrokkene redelijke kosten in rekening te brengen voor het verstrekken van een afschrift als bedoeld in dit artikel, voor zover dit in de Algemene Verordening Gegevensbescherming niet is uitgesloten.
Recht op rectificatie, gegevenswissing, beperking en overdraagbaarheid van de verwerking
- Betrokkene heeft recht op rectificatie van hem betreffende onjuiste Persoonsgegevens, dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige en/of onjuiste Persoonsgegevens.
- Verwerkingsverantwoordelijke stelt Betrokkene direct op de hoogte van de rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vergt van Goed BV.
- Betrokkene heeft het recht om Verwerkingsverantwoordelijke definitieve wissing van de hem betreffende Persoonsgegevens te verzoeken. Verwerkingsverantwoordelijke zal aan dit verzoek gehoor geven met inachtneming van hetgeen in artikel 17 van de Algemene Verordening Gegevensbescherming is bepaald.
- Betrokkene heeft het recht op beperking van de verwerking van zijn Persoonsgegevens te verkrijgen, een en ander in overeenstemming met artikel 18 van de Algemene Verordening Gegevensbescherming.
- Betrokkene heeft het recht om de hem betreffende Persoonsgegevens in een gestructureerd, gangbaar en machine leesbaar formaat te ontvangen.
- Betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens met betrekking tot het verwerken van zijn Persoonsgegevens door Verwerkingsverantwoordelijke.
- Op basis van geldende wet- en regelgeving kunnen (algemene) Persoonsgegevens worden verstrekt aan personen en instanties wier taak het is de verleende begeleiding te controleren en te toetsen, enkel indien ervoor zover de gegevensverstrekking noodzakelijk is voor de uitoefening van hun wettelijk taak.
- GOED BV verstrekt, indien dit is overeengekomen met haar opdrachtgever, periodiek uit de ziekteverzuimregistratie statistische, niet tot een individueel persoon herleidbare, gegevens met betrekking tot het ziekteverzuim van de organisatie van de werkgever in de vorm van overzichten.
- Overdracht van opgenomen Persoonsgegevens geschiedt te allen tijde met in achtneming van de wettelijk voorschriften.
- Terzake de overdacht van Persoonsgegevens van Betrokkene aan een andere Verwerkingsverantwoordelijke mag door GOED BV een redelijke vergoeding in rekening worden gebracht.
- Indien de Betrokkene van mening is dat de bepalingen vanuit dit Reglement, de AVG of andere wet- en regelgeving niet juist worden nageleefd of andere redenen heeft tot klagen, kan deze zich wenden tot GOED BV.
- Met betrekking tot de wijze van indiening van klachten en de afhandeling daarvan zijn door GOED BV nadere voorschriften opgesteld, zoals vastgelegd in het Klachtenreglement. Het klachtenreglement is te downloaden op onze website, www.goed.co.
- Onverminderd eventuele wettelijke bepalingen is dit Reglement van kracht gedurende de bewaartermijn zoals aangegeven in het hoofdstuk Bewaartermijnen.
- In geval van een voorgenomen overdracht of overgang van de Persoonsgegevens naar een andere Verwerkingsverantwoordelijke dient de Betrokkene voorafgaand aan de overdracht of overgang schriftelijk zijn toestemming te verlenen.
- Wijzigingen van dit Reglement worden aangebracht door GOED BV. De wijzigingen in het Reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan belanghebbenden en indien en voor zover belanghebbende geen bezwaren hebben ingebracht.
- De door de directie aangestelde beheerder is de Manager operatie en kwaliteit
- Driemaal per jaar voert GOED een interne systeem controle uit op alle regeling en afspraken die gemaakt zijn om de privacy te waarborgen. Daarnaast wordt GOED minimaal eenmaal per jaar geauditeerd door een externe onafhankelijke instantie.
Datalekken
- Op Verwerkingsverantwoordelijke rust de verplichting indien een beveiligingsincident moet worden aangemerkt als datalek als bedoeld in artikel 33 AVG, deze te melden aan de Autoriteit Persoonsgegevens en indien noodzakelijk (artikel 34 AVG) tevens aan de Betrokkene(n).
- Verwerkingsverantwoordelijke legt aan de door haar ingeschakelde Derde(n) en/of Verwerker(s) dezelfde verplichtingen op als de verplichtingen die krachtens de AVG op Verwerkingsverantwoordelijke rusten. Indien noodzakelijk zal Verwerkingsverantwoordelijke deze verplichtingen middels een Verwerkersovereenkomst aan die Derde(n) en/of Verwerker(s) opleggen.
- Indien GOED geconfronteerd wordt met (het vermoeden) van een datalek, dan volgt GOED de volgende procedure:
– Elk vermoeden op een beveiligingsincident of beveiligingsincident wordt direct gemeld bij de Manager operatie en kwaliteit.
– De Manager operatie en kwaliteit bepaalt in samenspraak met de Medisch adviseur of er sprake is van een datalek.
– Indien er sprake is van een datalek bespreken betrokken partijen wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen.
– De Manager operatie en kwaliteit licht, in geval van een datalek, de Betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens. - Manager operatie en kwaliteit neemt het initiatief om een analyse te maken, om eenzelfde soort datalek in de toekomst te voorkomen.
- Los van eventuele datalekken voert GOED BV jaarlijks en ten minste eenmaal in de drie jaar een risicoanalyse uit ten aanzien van informatiebeveiliging. Naar aanleiding van eventuele concrete beveiligingsincidenten worden adequate maatregelen genomen en wordt een incidentenregister bijgehouden. Het incidentenregister vormt de basis van de voornoemde risicoanalyse.
- Bijlage A;
- Bijlage B.
Bijlage A: Gegevens die worden vastgelegd in de “Ziekteverzuim/
Arbeidsomstandighedenregistratie”
- NAW-gegevens Geboortedatum Telefoon
- E- mail Nationaliteit Geslacht
- Werkgeversgegevens Datum: In- uitdiensttreding Salarisgegevens (optioneel) BSN
- Functie Aanstellingsomvang
- Verzuimgegevens: data van ziek- en (vermoedelijke) hersteld meldingen, aantal ziektedagen, arbeids(on)geschiktheidspercentage
Gezondheidsgegevens
- Aard en oorzaak ziekte (diagnose)
- Gegevens over de inhoud van consulten (onderzoek, diagnose, verslag) Gegevens over actuele of vroegere gezondheidsproblemen Arbeidsmogelijkheden en belastbaarheid
- Knelpunten functie + kwaliteit arbeidsverhouding Beperkingen + re-integratie activiteiten Biometrische gegevens
- Gegevens van (huis)artsen, medisch specialisten en andere artsen, opgevraagd met toestemming van de betrokkene
- Toestemmingsverklaringen voor het opvragen van Gezondheidsgegevens/ medische informatie Rapportages aan het UWV
Bijlage B: Toegang tot de Persoonsgegevens
Functie | Persoonsgegevens | Gezondheidsgegevens |
Staf Stafbedrijfsarts | R | V |
Expertisearts | R | V |
Medisch management assistent | R | M |
Arbeidsdeskundige | X | X |
Inzetbaarheidsdeskundige | R | X |
Inzetbaarheidsdeskundige in gedelegeerde taken | R | M |
Applicatiebeheerder | V | X |
P&O/HR | V | X |
Casemanager | R | X |
Leidinggevende | R | X |
Verklaring van de gebruikte letters en tekens:
- R = raadplegen
- M = raadplegen èn invoeren/muteren
- V = raadplegen, invoeren/muteren en verwijderen
- X = geen toegang