Privacyreglement
Artikel 1 Begripsbepalingen
Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens daaraan toekent. ReFit BV heeft zich gemeld bij de Autoriteit Persoonsgegevens en staat geregistreerd onder het nummer m1567192.
Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Gezondheidsgegevens: Bijzondere persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen.
Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verstrekken van persoonsgegevens: Het bekendmaken of ter beschikking stellen van persoonsgegevens.
Verzamelen van persoonsgegevens: Het verkrijgen van persoonsgegevens.
Verantwoordelijke: De natuurlijke persoon, rechtspersoon of ieder ander die alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Gebruiker: Enig persoon die, onder gezag van de verantwoordelijke, gemachtigd is persoonsgegevens te verwerken.
Beheerder: Degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft.
Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Derde: Ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker, of de bewerker.
Ontvanger: Degene aan wie persoonsgegevens worden verstrekt.
Uitdrukkelijke toestemming: Elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee deze aanvaardt dat op hem/haar betrekking hebbende persoonsgegevens worden verwerkt.
Medewerker: Degene die onder de verantwoordelijke is belast met de verwerking van persoonsgegevens.
Artikel 2 Reikwijdte, beheer en bewerking
2.1. Dit reglement is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens door/namens de verantwoordelijke. De verantwoordelijke in de zin van dit reglement is ReFit BV.
2.2. ReFit BV garandeert dat zij alle toepasselijke privacywet- en regelgeving naleeft, waaronder begrepen de Wet Bescherming Persoonsgegevens en de toepasselijke gedragscodes en richtlijnen.
2.3 Dit reglement stelt regels voor de persoonsregistratie van ReFit BV. De directie is houder van de registratie en beheert deze in overeenstemming met dit reglement.
2.4 De directie van ReFit BV ziet toe op de goede werking van de registratie overeenkomstig dit reglement en in het vorige lid genoemde afspraken en is verantwoordelijk voor het goed functioneren van de persoonsregistratie.
2.5 De directie van ReFit BV heeft ten aanzien van de registratie niet meer bevoegdheden dan die, welke haar in dit reglement worden toegekend. Haar zeggenschap over de werking van de persoonsregistratie en de verstrekking van gegevens uit die registratie wordt beperkt door dit reglement.
2.6 De directie van ReFit BV is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
2.7 Periodiek wordt een onderzoek uitgevoerd om na te gaan of alle medewerkers van ReFit BV zich houden aan het privacyreglement.
Artikel 3 Doel van de gegevensverwerking
3.1 Doel van de persoonsregistratie is het vastleggen van door de opdrachtgevers en cliënten verstrekte en door ReFit BV zelf verzamelde gegevens ten behoeve van het rapporteren aan opdrachtgevers betreffende de verzuimbegeleiding en re-integratie van werknemers alsmede de uitvoering van het Eigen Risicodragen van de Ziektewet.
3.2 In de persoonsregistratie worden geen persoonsgegevens opgenomen voor andere doeleinden dan hierboven aangegeven. Het gebruik van opgenomen persoonsgegevens vindt alleen plaats overeenkomstig deze doelstelling.
3.3 Geregistreerde in de persoonsregistratie zijn uitsluitend cliënten ten aanzien van wie door een opdrachtgever aan ReFit BV is gevraagd te adviseren over arbeids(on)geschiktheid en arbeidsmogelijkheden.
3.4 De registratie bevat ten hoogste de volgende gegevens:
Cliënt: - Personeelsnummer
- Burger Service Nummer
- Naam, adres en woonplaats
- Telefoonnummer(s)
- Geboortedatum
- Geslacht
- Functie
- Afdeling of opdrachtgever
- Datum in dienst en eventueel datum uit dienst
- Soort dienstverband en aantal uren dienstverband
- Hoogte van het dagloon
- Aanvang, duur en einde van het recht op een Ziektewet uitkering
- Status No-Risk
- Datum ziek- en herstelmelding
Klant: - Loonheffingnummer
- Naam, adres en vestigingsplaats
- Gegevens contactpersoon
- Debiteurnummer
Artikel 4 Voorwaarden voor rechtmatige verwerking
4.1. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 3, toereikend, ter zake dienend en niet bovenmatig zijn.
4.2. Persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een (arbeids-)overeenkomst tot geheimhouding zijn verplicht.
4.3. Persoonsgegevens worden verwerkt voor de in artikel 3 beschreven doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.
4.4. Persoonsgegevens worden slechts verwerkt indien één van de verwerkingsgronden uit artikel 8 Wet Bescherming Persoonsgegevens van toepassing is.
4.5. De verantwoordelijke bewaart geheimhouding over de persoonsgegevens waarvan de verantwoordelijke kennisneemt, behoudens voor zover enig wettelijk voorschrift de verantwoordelijke tot mededeling verplicht of uit de taak van de verantwoordelijke mededeling voortvloeit.
Artikel 5 Werkwijze van persoonsregistratie
5.1 De werkwijze:
- de medewerkers van klanten worden opgenomen in het digitale verzuimsysteem zodra er sprake is van een ziekmelding.
- de casemanager werkt in gedelegeerde taken van de bedrijfsarts en in het systeem waarin geen medische zaken geregistreerd staan. In dit systeem heeft de werkgever een inkijkscherm.
- de bedrijfsarts legt de onderzoeksgegevens, de beschouwing en de conclusie vast in een separaat verzuimsysteem waarin ReFit BV geen toegang heeft.
5.2 De directie stelt, in overleg met de beheerder, beveiligingsvoorschriften voor de persoonsregistratie op.
Artikel 6 Opgenomen gegevens
6.1. Alle medewerkers mogen gegevens verwerken voor zover dit noodzakelijk is in de uitoefening van hun taken. Dit betreft in ieder geval de volgende gegevens:
- De werkzaamheden waartoe de werknemer nog wel of niet meer in staat is.
- De verwachte duur van het verzuim.
- De mate waarin de werknemer arbeidsongeschikt is.
- Recht en hoogte van de eventuele Ziektewet uitkering.
- De eventuele aanpassing(en) of werkvoorziening(en) die de werkgever in het kader van de re-integratie van betrokkene moet treffen.
6.2 De bedrijfsarts is tevens als verantwoordelijke aan te merken heeft op basis van de wet (waaronder de Wet BIG) en toepasselijke gedragscodes een vergaande geheimhoudingsverplichting, met strenge privacy waarborgen. De casemanager heeft, voor zover deze door de bedrijfsarts gedelegeerde werkzaamheden verricht, een afgeleide strenge geheimhoudingsplicht, welke tevens is vastgelegd in een geheimhoudingsverklaring.
6.3. Door de personen genoemd in artikel 6.2. kunnen, met inachtneming van het bepaalde in dit reglement, in ieder geval de gegevens onder artikel 3.4 inzien.
Artikel 7 Digitale toegang tot persoonsgegevens
7.1 Het raadplegen van gegevens is aan te merken als een verwerking in de zin van de Wet Bescherming Persoonsgegevens. Het bovenstaande is dan ook van toepassing.
7.2. ReFit BV maakt gebruik van verzuimsysteem VerzuimXpert. Medewerkers hebben slechts toegang tot die delen van het verzuimsysteem, waarover zij voor een goede uitoefening van hun taken moeten beschikken. Bij in- en uitdiensttreding worden accounts toegekend en afgesloten. Alleen contactpersonen van klanten ontvangen een inlogaccount en die accounts worden periodiek gecontroleerd of ze nog actief zijn en eventueel afgesloten dienen te worden. Het beheer van die accounts ligt niet bij de klant zelf dus ze kunnen ook geen wijzingen aanbrengen. Eventuele mutaties dienen via ReFit BV te lopen.
7.3. De beheerder en degenen, die in het kader van een door de verantwoordelijke of gebruiker gegeven opdracht werken, hebben slechts toegang tot persoonsgegevens, voor zover dit voor het gebruik en de bewerking van de gegevens noodzakelijk is, en zij hiertoe een geheimhoudingsverklaring hebben ondertekend.
Artikel 8 Verstrekking van persoonsgegevens
8.1. Met inachtneming van het bij of krachtens de Wet Bescherming Persoonsgegevens en de regels voor de verwerking van persoonsgegevens van zieke werknemers van het AP bepaalde worden persoonsgegevens zonder voorafgaande toestemming van de betrokkene verstrekt aan:
- Opdrachtgevers: Terugkoppeling van de spreekuren. In de terugkoppeling staan geen medische gegevens en termen. Er wordt uitsluitend gerapporteerd in mogelijkheden en beperkingen.
- UWV: De bedrijfsarts is verplicht om op verzoek díe gegevens te verstrekken aan het UWV, die noodzakelijk zijn voor de taakuitvoering van het UWV. Gezien de privacybescherming van de werknemer en het op de bedrijfsarts rustend medisch beroepsgeheim mag een bedrijfsarts slechts de (strikt) noodzakelijke “medische gegevens” verstrekken betreffende de zieke werknemer.
- Arbeidsomstandighedenspreekuur: De werkgever wordt niet op de hoogte gesteld als een medewerker het arbeidsomstandighedenspreekuur bezoekt.
Artikel 9 Informatieverstrekking aan betrokkene
9.1. Indien bij de betrokkene persoonsgegevens worden verkregen, deelt de verantwoordelijke voor het moment van verkrijging de betrokkene, zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is.
9.2. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
Artikel 10 Recht op inzage en afschrift van opgenomen persoonsgegevens
10.1 Een ieder omtrent wie gegevens in een persoonsregistratie zijn opgenomen kan op zijn verzoek van die gegevens kennis nemen.
10.2 Een verzoek tot kennisneming wordt schriftelijk ingediend bij de directie van ReFit BV. Dit verzoek moet zoveel mogelijk gespecificeerd zijn om welke persoonsgegevens het gaat.
10.3 Het verzoek tot kennisneming wordt binnen een maand na ontvangst van het verzoek afgehandeld.
10.4 De gevraagde kennisneming wordt met de nodige toelichting aan de verzoek(st)er in persoon verleend, door het tonen van de op deze persoon betrekking hebbende gegevens. De verzoeker dient zich deugdelijk te legitimeren.
10.5 Kennisneming houdt in het recht op geprinte documenten van de betreffende gegevens.
10.6 Een verzoek tot kennisneming of afgifte van kopieën kan worden geweigerd als aan het gestelde in lid 4 niet genoegzaam voldaan is.
10.7 Kennisneming of afgifte van print documenten kan eveneens worden geweigerd indien gewichtige belangen van anderen dan de verzoeker, ReFit BV daaronder begrepen, dit noodzakelijk maken. Een weigering van inzage is met redenen omkleed.
10.8 Inzage is kosteloos, op verzoek wordt het privacyreglement toegestuurd via e-mail.
10.9 Inzage kan ook plaats vinden door een schriftelijk daartoe gemachtigde vertrouwenspersoon van de geregistreerde.
Artikel 11 Recht op afscherming, aanvulling en correctie van opgenomen persoonsgegevens
11.1. Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
11.2. De betrokkene kan verzoeken om correctie of afscherming van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. De betrokkene kan middels een aanvulling zijn mening in het dossier laten opnemen.
11.3. De verantwoordelijke bericht de verzoeker binnen een maand na ontvangst van het schriftelijk verzoek tot correctie of aanvulling schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
11.4. De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
Artikel 12 Recht op vernietiging van opgenomen persoonsgegevens
12.1. De betrokkene kan schriftelijk verzoeken om vernietiging van op hem betrekking hebbende gegevens. Indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien er een wettelijke plicht tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.
12.2. De verantwoordelijke bericht de verzoeker binnen een maand na ontvangst van het schriftelijk verzoek tot verwijdering of vernietiging schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
12.3. De verantwoordelijke verwijdert of vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
Artikel 13 Recht van verzet tegen de verwerking van persoonsgegevens
13.1 Indien gegevens het voorwerp zijn van verwerking op grond van artikel 4.4, kan de betrokkene daartegen bij de verantwoordelijke verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden, indien er sprake is van een gerechtvaardigd belang.
13.2 De verantwoordelijke beoordeelt binnen een maand na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij terstond de verwerking.
13.3 De verantwoordelijke kan voor het in behandeling nemen van een verzet een kostenvergoeding vragen. De vergoeding wordt teruggegeven in het geval het verzet gegrond wordt bevonden.
Artikel 14 Kennisgeving van verwerking van persoonsgegevens
14.1 De verantwoordelijke maakt het volgende bekend aan de betrokkene:
- het bestaan van het bestand bevattende persoonsgegevens.
- het doel van de verwerking van persoonsgegevens.
- het bestaan van dit reglement voor het beheer en verwerking van persoonsgegevens.
- de wijze waarop van de inhoud van dit reglement kennis kan worden genomen.
Artikel 15 Klachten
15.1. Indien een betrokkene of belanghebbende van mening is, dat de verantwoordelijke handelt in strijd met het bepaalde in dit reglement, kan bij de verantwoordelijke schriftelijk een met redenen omklede klacht worden ingediend.
15.2. Ingediende klachten worden door de verantwoordelijke afgehandeld volgens de klachtenprocedure van ReFit BV.
Artikel 16 Bewaartermijnen
16.1 Met inachtneming van eventuele wettelijke voorschriften heeft ReFit BV de bewaartijd van gegevens vastgelegd op 15 jaar. Wordt voor bepaalde gegevens een langere bewaar termijn noodzakelijk geacht op grond van historische, statistische of wetenschappelijke doeleinden, conform art. 10 lid 2 van de Wet Bescherming Persoonsgegevens, dan gelden die bewaartermijnen.
Artikel 17 Beveiliging van gegevens
17.1 ReFit BV heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de Gebruikers bekende autorisatiecodes en/of wachtwoorden.
17.2 Gelijke plicht rust op de Bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. De Verantwoordelijke ziet er op toe dat de Bewerker eveneens handelt dienovereenkomstig de voorschriften van artikel 13 Wbp.
Elektronische persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast. Indien er sprake is van persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten.
Artikel 18 Overdracht van persoonsgegevens
18.1. Indien de bestanden worden overgedragen aan een andere verantwoordelijke, blijven de in dit reglement gestelde regels van toepassing.
18.2. Overdracht van persoonsgegevens aan een andere verantwoordelijke zal slechts plaatsvinden indien dat in overeenstemming is met de wet en nadere specifieke eisen gesteld door de AP.
Artikel 19 Interne instructies medewerkers ReFit BV
19.1 Medewerkers van ReFit BV mogen alleen gerichte informatie en advies aan de werkgever geven over:
- De werkzaamheden waartoe de werknemer nog wel of niet in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort arbeid dat de werknemer nog kan verrichten).
- De verwachte duur van het verzuim.
- De mate waarin de werknemer arbeidsongeschikt is.
- De eventuele aanpassing(en) of werkvoorziening(en), die de werkgever in het kader van de re-integratie moet treffen.
19.2 Andere relevante (medische) gegevens mogen alleen worden verstrekt als de werknemer de bedrijfsarts daartoe expliciet heeft gemachtigd.
19.3 Alle medewerkers van ReFit BV tekenen bij indiensttreding een geheimhoudingsbeding, waarin zij aangeven dat gegevens van cliënten en opdrachtgevers vertrouwelijk worden behandeld.
19.4 Binnen ReFit BV werken de casemanagers nauw samen met de bedrijfsartsen. Wat betreft geheimhouding werken zij onder “gedelegeerde taken”.
Artikel 20 Datalekken
Indien ReFit BV geconfronteerd wordt met een datalek, dan volgen wij de volgende procedure:
- Elk vermoeden op een beveiligingsincident of een datalek wordt direct gemeld bij functionaris gegevensbescherming.
- De functionaris gegevensbescherming bepaalt of er sprake is van een datalek of een beveiligingsincident.
- Indien er sprake is van een datalek, wordt er een melding bij de Autoriteit Persoonsgegevens gedaan.
- De functionaris gegevensbescherming licht, in geval van een ernstig datalek, de betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens.
- De functionaris gegevensbescherming neemt het initiatief om een analyse te maken, om een zelfde soort datalek in de toekomst te voorkomen.
Artikel 21 Inwerkingtreding en looptijd
21.1 Behoudens wettelijke bepalingen is dit reglement van kracht zolang artikel 3 van toepassing is, met inachtneming van artikel 17.
21.2 Dit reglement treedt in werking per 1 mei 2018.