Privacyreglement

Begripsbepalingen 

In dit reglement wordt verstaan onder: 

Persoonsgegevens 
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 

Gezondheidsgegevens 
Die Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een BIG-geregistreerde Staf Staf Bedrijfsarts of Expertisearts op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening. 

Verwerking van persoonsgegevens 
Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 

Bestand 
Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 

Verwerkingsverantwoordelijke 
De besloten vennootschap met beperkte aansprakelijkheid GOED BV, gevestigd aan de Boeing Avenue 213 te Schiphol Rijk (1119 PD) die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. 

Verwerker 
Degene die ten behoeve van GOED BV Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 

Beheerder 
Degene die onder de Verwerkingsverantwoordelijke is belast met de dagelijkse zorg voor de Verwerking van Persoonsgegevens of een gedeelte daarvan. 

Toestemming 
Elke vrije, specifieke en op informatie berustende wilsuiting van Betrokkene waarmee de Betrokkene aanvaardt dat hem betreffende Persoonsgegevens worden verwerkt. 

Gebruiker 
Degene die geautoriseerd is tot het invoeren en/of muteren van Persoonsgegevens dan wel tot het kennisnemen van de verwerkte persoonsgegevens. 

Betrokkene 
De natuurlijk persoon, op wie een persoonsgegeven betrekking heeft of zijn uit de wet voortvloeiende vertegenwoordiger. 

De Wet 
De Algemene Verordening Gegevensbescherming

Reglement 
Dit privacyreglement. 

Reikwijdte 

Dit reglement is een uitwerking van het recht op transparantie overeenkomstig artikel 12 van de Algemene Verordening Gegevensbescherming. Dit Reglement is tevens een uitwerking van artikelen 13 en 14 van de Algemene Verordening Gegevensbescherming. Dit Reglement is van toepassing op iedere geheel of gedeeltelijk geautomatiseerde verwerking van Persoonsgegevens door Goed BV, alsmede de niet geautomatiseerde verwerking van Persoonsgegevens die in een Bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, door personen in dienst of werkzaam ten behoeve van GOED BV. 

Doel van de verwerking van Persoonsgegevens 

  1. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en worden in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze verwerkt. 

  1. GOED BV heeft in haar kwaliteitssysteem een beschrijving opgenomen van welke (bijzondere) Persoonsgegevens worden verwerkt en met welk specifiek doel deze gegevens worden verwerkt. 

  1. De doeleinden voor verwerking van Persoonsgegevens zijn onderverdeeld in een hoofd- en nevendoel: 
    Hoofddoel 
    Het verlenen van arbodienstverlening, verzuimbegeleiding, preventie en re-integratie voor (werknemers van) bedrijven en organisaties die hiervoor direct of indirect met GOED BV een overeenkomst hebben gesloten.; 
    Nevendoel 
    Het vastleggen en beschikbaar stellen van informatie aan werkgever en werknemer, (mede)verkregen op grond van opgeslagen Persoonsgegevens, ten behoeve van een doelmatig beleid en beheer van de dienstverlening voor klant en arbodienst. 

Rechtmatige grondslag Verwerking van Persoonsgegevens 

  1. Persoonsgegevens worden alleen verwerkt door GOED BV en/of Verwerker indien: 
    a. De hierover vooraf geïnformeerde Betrokkene voor de verwerking schriftelijk zijn ondubbelzinnige toestemming heeft verleend, of; 
    b. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is, of; 
    c. Gegevensverwerking noodzakelijk is voor de nakoming van wettelijke verplichtingen van Verwerkingsverantwoordelijke, of; 
    d. Gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de Betrokkene, of; 
    e. De gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt, of; 
    f. Gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van Verwerkingsverantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. 

Verplichtingen verwerkingsverantwoordelijke 

  1. GOED BV is verantwoordelijk voor het goed functioneren van de Verwerking van Persoonsgegevens en treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. De zeggenschap van GOED BV over de Verwerking van de Persoonsgegevens en de verstrekking van die gegevens worden beperkt door dit Reglement. 

  1. GOED BV bepaalt wie de eventuele Verwerker van verwerkte Persoonsgegevens is. GOED BV verplicht de Verwerker contractueel om dit Reglement na te leven. De taken, rechten en verplichtingen van de Verwerker worden door GOED BV schriftelijk vastgelegd. 

  1. GOED is als verwerkingsverantwoordelijke eindverantwoordelijk voor de verwerkte persoonsgegevens. 

  1. De Verwerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen ten aanzien van onder andere apparatuur, programmatuur en de Persoonsgegevens die, gezien de huidige stand der techniek en de daarmee gemoeide kosten, overeenstemmen met de aard van de te verwerken Persoonsgegevens en de opdracht waarin de Persoonsgegevens worden gebruikt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking. 

  1. Verwerkers en/of Beheerders werken overeenkomstig de richtsnoeren van de Autoriteit Persoonsgegevens en werken overeenkomstig de NEN-EN-ISO/IEC 27001:2017. 

  1. Verwerkingsverantwoordelijke legt aan de door haar ingeschakelde Derden en/of Verwerkers dezelfde verplichtingen op als de verplichtingen die krachtens de Algemene Verordening Gegevensbescherming op Verwerkingsverantwoordelijke rusten 

  1. Indien noodzakelijk zal Verwerkingsverantwoordelijke deze verplichtingen middels een Verwerkersovereenkomst aan Derden en/of Verwerkers opleggen. 

  1. Verwerking van Gezondheidsgegevens in verband met keuringen, preventieve activiteiten, ziekteverzuim en re-integratie zijn gebaseerd op de Wet op de Medische Keuringen (WMK), de KNMG code “Gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (2007)”, het KNMG advies voor “Inrichting en overdracht van het bedrijfsgeneeskundig dossier (april 2009), de KNMG richtlijn inzake het “Omgaan met medische gegevens (januari 2010)” en de AP beleidsregels “De zieke werknemer, Beleidsregels voor de verwerking van Persoonsgegevens over de gezondheid van zieke werknemers” (februari 2016).Er is geen sprake van grensoverschrijdend verkeer van (bijzondere) Persoonsgegevens naar landen binnen en buiten de Europese Unie. 

  1. GOED BV zal informatie betreffende preventieve activiteiten, waaronder in ieder geval wordt verstaan: een vrijwillig bezoek van Betrokkene aan de Expertisearts, een bezoek aan het arbeidsomstandighedenspreekuur en/of Periodiek onderzoek door de Expertisearts, nooit aan derden verstrekken, behoudens Toestemming en een schriftelijke machtiging van Betrokkene. 

  1. De gegevens die door Verwerkingsverantwoordelijke worden verwerkt worden uitsluitend in Nederland opgeslagen en verwerkt. 

Verwerkte Persoonsgegevens en toegang tot Persoonsgegevens 

  1. GOED BV bepaalt wie de eventuele Verwerker van verwerkte Persoonsgegevens is. GOED BV verplicht de Verwerker om dit Reglement na te leven. De taken, rechten en verplichtingen van de Verwerker worden door GOED BV schriftelijk vastgelegd. 

  1. De Verwerking van Persoonsgegevens kan ten hoogste deze gegevenscategorieën bevatten:

    Persoonsgegevens 
    – Personalia en identificatiegegevens (stamgegevens);
    – Financiële en administratieve gegevens; 
    – Werkplekgegevens. 

    Gezondheidsgegevens 
    – (para-)medische, sociale en psychologische gegevens. 

    Deze categorieën gegevens, alsmede de herkomst daarvan zijn nader gespecificeerd in Bijlage A bij dit Reglement. Deze bijlage vormt één geheel met dit Reglement. 

  1. Werkwijze van de persoonsregistratie: 
    – De BSN-nummers van medewerkers van klanten die door GOED vanwege ziekteverlof begeleid of bijgestaan worden, worden opgenomen in het digitale verzuimsysteem. 
    – De Expertisearts legt de onderzoeksgegevens, de beschouwing, persoonlijke aantekeningen en de conclusie vast in het digitale verzuimsysteem. 
    – De werkgever en/of casemanager krijgt een leken gedeelte te zien. Hierin staan geen Gezondheidsgegevens van de Betrokkene. 
    – Gezondheidsgegevens of bijzondere Persoonsgegevens worden uitsluitend opgenomen in het afgeschermde medische dossier. Dit is uitsluitend inzichtelijk voor de Staf Bedrijfsarts en Expertisearts en zijn assistent die werkt in de gedelegeerde taak constructie met Staf Bedrijfsarts (behandelteam/verlengde arm). 

  1. Toegang tot Persoonsgegevens 
    Onverminderd enige wettelijke voorschriften hebben uitsluitend toegang tot de Gezondheidsgegevens van een Betrokkene de gecertifieerde (BIG-geregistreerde) Expertisearts die deze gegevens verzameld, diens waarnemer(s) en diegenen die tot het behandelteam van de Betrokkene worden gerekend. Voorts hebben de Beheerder en de Verwerker toegang tot algemene Persoonsgegevens van Betrokkene, voor zover dit in het kader van het te realiseren doel en het beheer en bewerking daarvan, noodzakelijk is.

    Binnen de organisatie van Goed BV hebben alleen toegang tot de Persoonsgegevens:
    – De personen werkzaam voor GOED BV voor zover dat noodzakelijk is voor een goede uitoefening van hun taken. De betreffende personen hebben allen een geheimhoudingsverklaring ondertekend. In Bijlage B is een overzicht opgenomen van de welke personen toegang hebben tot welke Persoonsgegevens van Betrokkenen.
    – GOED BV heeft geen toegang tot de verwerkte persoonsgegevens, tenzij dit noodzakelijk is in verband met de uitvoering van haar wettelijke en contractuele verplichten en in verband met zijn algemene verantwoordelijkheid.
    – Buiten de organisatie van GOED BV (en door haar ingeschakelde Verwerkers) hebben alleen toegang tot de Persoonsgegevens van de door GOED BV ingehuurde of anderszins aangestelde Ontvangers/Derden in het kader van de uitvoer van de overeenkomst met GOED BV. De betreffende personen hebben allen een geheimhoudingsverklaring ondertekend.

  1. GOED BV heeft in het kader van de toegang tot Persoonsgegevens de volgende autorisatie procedure opgesteld: 
    a. Inbreng gebruiker: De medewerker die op basis van zijn of haar functie (zie bijlage B) toegang nodig heeft tot het digitale verzuimsysteem wordt door de systeembeheerder op aangeven van de Manager operatie en kwaliteit geautoriseerd. 
    b. Einde gebruik: Indien een gebruiker van functie verandert of zijn/haar werkzaamheden binnen GOED BV stopt, zal de autorisatie op aangeven van de Manager operatie en kwaliteit per direct worden beëindigd. 

Beveiliging 

  1. GOED BV heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de Gebruikers bekende autorisatiecodes en/of wachtwoorden. 

  1. Gelijke plicht rust op de Verwerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. De Verwerkingsverantwoordelijke ziet erop toe dat de Verwerker eveneens handelt dienovereenkomstig de voorschriften van artikel 32 van de Algemene Verordening Gegevensbescherming. 

  1. GOED BV verricht daar waar nodig een privacy impact analyse (‘DPIA’) met betrekking tot de naleving van de hiervoor genoemde verplichtingen.

Digitale gegevens  Elektronische Persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast, te weten: MFA Bitlocker Intune Conditional Access 
Papieren gegevens  Daar waar er sprake is van Persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Er zijn afspraken over sleutelbeheer: alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten. Ten aanzien van Gezondheidsgegevens geldt dat alleen de Staf Bedrijfsarts of Expertisearts en/of de onder taakdelegatie werkzame medewerkers toegang hebben tot de sleutels van deze afsluitbare kasten. 
Spreekkamers  GOED BV hanteert bij het aanvaarden van een nieuwe opdracht in het kader van arbodienstverlening voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze: de ruimte kan vanaf de gang niet ingezien worden, de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn. 

Functionaris gegevensbescherming 

  1. Verwerkingsverantwoordelijke verwerkt bijzondere Persoonsgegevens. Ter waarborging van de verwerking van deze Persoonsgegevens in overeenstemming met de wet is een functionaris gegevensbescherming aangesteld overeenkomstig artikel 37 lid 1 onder c van de Algemene Verordening Gegevensbescherming. 

  1. De verwerkte Persoonsgegevens, als genoemd in “Verwerkte Persoonsgegevens en Toegang tot Persoonsgegevens” zijn aangemeld bij de functionaris gegevensbescherming. 

Bewaartermijnen 

  1. GOED BV zal de Persoonsgegevens niet langer bewaren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij de Persoonsgegevens noodzakelijk zijn ter voldoening aan een in specifieke wetgeving opgenomen concrete bewaartermijn of bewaarverplichting. 

  1. Voor Gezondheidsgegevens geldt in beginsel een bewaartermijn van 15 jaar, te rekenen vanaf het einde van de behandeling. De termijn kan eventueel langer zijn indien dit voor een zorgvuldige hulpverlening noodzakelijk is, bijvoorbeeld indien sprake is van beroepsgebonden aandoeningen. 

  1. Indien de bewaartermijn is verstreken, worden de betreffende gegevens binnen een termijn van één jaar uit de registratie vernietigd, tenzij een wettelijk voorschrift zich tegen vernietiging verzet. De gegevens kunnen in geanonimiseerde vorm behouden blijven. 

  1. De vernietiging van Gezondheidsgegevens kan bovendien achterwege blijven als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijk belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld de Staf Bedrijfsarts of Expertisearts zelf als de Betrokkene een gerechtelijke of tuchtrechtelijke procedure tegen hem heeft aangespannen. 

Rechten betrokkene 

GOED BV draagt er zorg voor dat Betrokkene al zijn wettelijke rechten kan uitoefenen. 

Informatie- inzagerecht 

  1. De Betrokkene is gerechtigd om GOED BV om informatie over (de verwerking van en/of het al dan niet verstrekken aan derden van) zijn/haar Persoonsgegevens te verzoeken, zonder dat de Betrokkene daarbij een bijzondere reden hoeft op te geven. 

  1. Verwerkingsverantwoordelijke zal op eerste schriftelijk verzoek van Betrokkene zo spoedig mogelijk, doch uiterlijk binnen vier weken nadat daartoe een verzoek is gedaan, overgaantot het schriftelijk verstrekken van een afschrift van alle benodigde informatie die Betrokkene verzoekt. 

  1. GOED BV kan buitensporige verzoeken om informatieverstrekking afwijzen. Van buitensporige verzoeken is sprake wanneer de Betrokkene GOED BV meer dan gemiddeld en noodzakelijk benadert met informatieverzoeken. 

  1. GOED BV draagt zorg voor een deugdelijke vaststelling van de identiteit van de Betrokkene die om informatie verzoekt. 

  1. Verwerkingsverantwoordelijke is gerechtigd Betrokkene redelijke kosten in rekening te brengen voor het verstrekken van een afschrift als bedoeld in dit artikel, voor zover dit in de Algemene Verordening Gegevensbescherming niet is uitgesloten. 

Recht op rectificatie, gegevenswissing, beperking en overdraagbaarheid van de verwerking 

  1. Betrokkene heeft recht op rectificatie van hem betreffende onjuiste Persoonsgegevens, dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige en/of onjuiste Persoonsgegevens. 

  1. Verwerkingsverantwoordelijke stelt Betrokkene direct op de hoogte van de rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vergt van Goed BV. 

  1. Betrokkene heeft het recht om Verwerkingsverantwoordelijke definitieve wissing van de hem betreffende Persoonsgegevens te verzoeken. Verwerkingsverantwoordelijke zal aan dit verzoek gehoor geven met inachtneming van hetgeen in artikel 17 van de Algemene Verordening Gegevensbescherming is bepaald. 

  1. Betrokkene heeft het recht op beperking van de verwerking van zijn Persoonsgegevens te verkrijgen, een en ander in overeenstemming met artikel 18 van de Algemene Verordening Gegevensbescherming. 

  1. Betrokkene heeft het recht om de hem betreffende Persoonsgegevens in een gestructureerd, gangbaar en machine leesbaar formaat te ontvangen. 

  1. Betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens met betrekking tot het verwerken van zijn Persoonsgegevens door Verwerkingsverantwoordelijke. 

Verstrekking van gegevens 

  1. Op basis van geldende wet- en regelgeving kunnen (algemene) Persoonsgegevens worden verstrekt aan personen en instanties wier taak het is de verleende begeleiding te controleren en te toetsen, enkel indien ervoor zover de gegevensverstrekking noodzakelijk is voor de uitoefening van hun wettelijk taak. 

  1. GOED BV verstrekt, indien dit is overeengekomen met haar opdrachtgever, periodiek uit de ziekteverzuimregistratie statistische, niet tot een individueel persoon herleidbare, gegevens met betrekking tot het ziekteverzuim van de organisatie van de werkgever in de vorm van overzichten. 

Vernietiging c.q. anonimiseren van opgenomen Persoons- en Gezondheidsgegevens 

  • Na afloop van de periode gedurende welke Betrokkene onder de zorg van de geregistreerde Stafbedrijfsarts valt, kan de Betrokkene verzoeken om de vernietiging van zijn Persoonsgegevens inclusief Gezondheidsgegevens. Daartoe dient hij een schriftelijk verzoek in bij GOED BV. Dit verzoek kan worden geweigerd indien bewaring op grond van een wettelijk voorschrift vereist is. Bovendien kunnen de gegevens na het verzoek in geanonimiseerde vorm behouden blijven. 

  • Het verzoek tot vernietiging van Medische gegevens kan bovendien worden geweigerd als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijke belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld de arts zelf als de Betrokkene een gerechtelijke of tuchtrechtelijke procedure tegen hem heeft aangespannen. 

Overdracht van Persoonsgegevens 

  1. Overdracht van opgenomen Persoonsgegevens geschiedt te allen tijde met in achtneming van de wettelijk voorschriften. 

  1. Terzake de overdacht van Persoonsgegevens van Betrokkene aan een andere Verwerkingsverantwoordelijke mag door GOED BV een redelijke vergoeding in rekening worden gebracht. 

Klachten 

  1. Indien de Betrokkene van mening is dat de bepalingen vanuit dit Reglement, de AVG of andere wet- en regelgeving niet juist worden nageleefd of andere redenen heeft tot klagen, kan deze zich wenden tot GOED BV. 

  1. Met betrekking tot de wijze van indiening van klachten en de afhandeling daarvan zijn door GOED BV nadere voorschriften opgesteld, zoals vastgelegd in het Klachtenreglement. Het klachtenreglement is te downloaden op onze website, www.goed.co. 

Looptijd van de registratie 

  1. Onverminderd eventuele wettelijke bepalingen is dit Reglement van kracht gedurende de bewaartermijn zoals aangegeven in het hoofdstuk Bewaartermijnen. 

  1. In geval van een voorgenomen overdracht of overgang van de Persoonsgegevens naar een andere Verwerkingsverantwoordelijke dient de Betrokkene voorafgaand aan de overdracht of overgang schriftelijk zijn toestemming te verlenen. 

Dit Reglement 

  1. Wijzigingen van dit Reglement worden aangebracht door GOED BV. De wijzigingen in het Reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan belanghebbenden en indien en voor zover belanghebbende geen bezwaren hebben ingebracht. 

  1. De door de directie aangestelde beheerder is de Manager operatie en kwaliteit 

  1. Driemaal per jaar voert GOED een interne systeem controle uit op alle regeling en afspraken die gemaakt zijn om de privacy te waarborgen. Daarnaast wordt GOED minimaal eenmaal per jaar geauditeerd door een externe onafhankelijke instantie. 

Datalekken 

  1. Op Verwerkingsverantwoordelijke rust de verplichting indien een beveiligingsincident moet worden aangemerkt als datalek als bedoeld in artikel 33 AVG, deze te melden aan de Autoriteit Persoonsgegevens en indien noodzakelijk (artikel 34 AVG) tevens aan de Betrokkene(n). 

  1. Verwerkingsverantwoordelijke legt aan de door haar ingeschakelde Derde(n) en/of Verwerker(s) dezelfde verplichtingen op als de verplichtingen die krachtens de AVG op Verwerkingsverantwoordelijke rusten. Indien noodzakelijk zal Verwerkingsverantwoordelijke deze verplichtingen middels een Verwerkersovereenkomst aan die Derde(n) en/of Verwerker(s) opleggen. 

  1. Indien GOED geconfronteerd wordt met (het vermoeden) van een datalek, dan volgt GOED de volgende procedure: 
    – Elk vermoeden op een beveiligingsincident of beveiligingsincident wordt direct gemeld bij de Manager operatie en kwaliteit. 
    – De Manager operatie en kwaliteit bepaalt in samenspraak met de Medisch adviseur of er sprake is van een datalek. 
    – Indien er sprake is van een datalek bespreken betrokken partijen wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen. 
    – De Manager operatie en kwaliteit licht, in geval van een datalek, de Betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens. 
    – Manager operatie en kwaliteit neemt het initiatief om een analyse te maken, om eenzelfde soort datalek in de toekomst te voorkomen. 

  1. Los van eventuele datalekken voert GOED BV jaarlijks en ten minste eenmaal in de drie jaar een risicoanalyse uit ten aanzien van informatiebeveiliging. Naar aanleiding van eventuele concrete beveiligingsincidenten worden adequate maatregelen genomen en wordt een incidentenregister bijgehouden. Het incidentenregister vormt de basis van de voornoemde risicoanalyse. 

Inwerkingtreding 

Dit Reglement is per 1 januari 2018 in werking getreden en bij GOED BV in te zien en opvraagbaar. 

Overzicht 

Onderstaand een overzicht van de bijlagen waarnaar in dit Reglement wordt verwezen. Deze bijlage vormen één geheel met het Privacyreglement voor de Verwerking van Persoonsgegevens. Deze bijlage zijn: 

Bijlage A; 

Bijlage B. 

Deze bijlagen zijn in werking getreden op 02 april 2016. Namens GOED BV 

De heer B. Moerdijk, directeur 

Bijlage A: Gegevens die worden vastgelegd in de “Ziekteverzuim/ Arbeidsomstandighedenregistratie” 

Persoonsgegevens 

NAW-gegevens Geboortedatum Telefoon 

E-mail Nationaliteit Geslacht 

Werkgeversgegevens Datum: In- uitdiensttreding Salarisgegevens (optioneel) BSN 

Functie Aanstellingsomvang 

Verzuimgegevens: data van ziek- en (vermoedelijke) hersteld meldingen, aantal ziektedagen, arbeids(on)geschiktheidspercentage 

Gezondheidsgegevens 

Aard en oorzaak ziekte (diagnose) 

Gegevens over de inhoud van consulten (onderzoek, diagnose, verslag) Gegevens over actuele of vroegere gezondheidsproblemen Arbeidsmogelijkheden en belastbaarheid 

Knelpunten functie + kwaliteit arbeidsverhouding Beperkingen + re-integratie activiteiten Biometrische gegevens 

Gegevens van (huis)artsen, medisch specialisten en andere artsen, opgevraagd met toestemming van de betrokkene 

Toestemmingsverklaringen voor het opvragen van Gezondheidsgegevens/ medische informatie Rapportages aan het UWV 

Bijlage B: Toegang tot de Persoonsgegevens 

Deze bijlage betreft alle persoonsregistraties genoemd bij het overzicht persoonsregistratie. Onderstaand overzicht is uitgangspunt voor de toegang tot deze persoonsregistratie. Per gegevenscategorie wordt aangegeven vanuit welke functie welk type van activiteiten mag worden ondernomen. 

Functie  Persoonsgegevens  Gezondheidsgegevens 
Staf Stafbedrijfsarts  R  V 
Expertisearts  R  V 
Medisch management assistent  R  M 
Arbeidsdeskundige  X  X 
Inzetbaarheidsdeskundige  R  X 
Inzetbaarheidsdeskundige in gedelegeerde taken  R  M 
Applicatiebeheerder  V  X 
P&O/HR  V  X 
Casemanager  R  X 
Leidinggevende  R  X 

Verklaring van de gebruikte letters en tekens: 

  • R = raadplegen 
  • M = raadplegen èn invoeren/muteren 
  • V = raadplegen, invoeren/muteren en verwijderen 
  • X = geen toegang