Privacyreglement Arbo.nu
Wij nemen uw privacy, alsmede de privacy van andere betrokkenen zeer serieus en wij doen er alles aan om persoonsgegevens te beschermen. In deze privacyreglement kunt u lezen wie wij zijn, welke persoonsgegevens wij gebruiken, hoe wij met persoonsgegevens omgaan en wat de rechten van betrokkenen zijn.
Privacyreglement
Privacyreglement Arbo.nu
Arbo.nu is actief op het gebied van arbeidsgezondheidszorg, verzuimbegeleiding en re-integratie. Ten behoeve van al haar activiteiten registreert zij (medische) gegevens van haar cliënten. Arbo.nu doet dit conform de voorschriften van de actuele wet- en regelgeving en beroepscodes. Het doel van dit privacyreglement is de betrokkenen op de hoogte te stellen van de aard van de gegevens die worden verwerkt, waarom ze worden verwerkt, wat er mee gebeurt en welke rechten een betrokkene heeft ten aanzien van de gegevensverwerking.
Artikel 1: Begripsbepalingen
Persoonsgegevens: elk gegeven dat naar zijn aard feitelijk informatie geeft betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Gezondheidsgegevens: Persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen.
Betrokkene: iedere natuurlijke persoon op wie een gegeven betrekking heeft.
Derde: ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker of de bewerker.
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens die in de registratie(s) zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
Verwerkingsverantwoordelijke: Arbo.nu, Prins Hendrikweg 18, 3151 AE Hoek van Holland.
Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen
Gebruiker: elke persoon die, onder gezag van de verantwoordelijke, gemachtigd is persoonsgegevens te verwerken, dan wel van uitvoer van de verwerking kennis te nemen.
Beheerder: degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.
Toestemming van de betrokkene: elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee deze aanvaardt dat op hem/haar betrekking hebbende persoonsgegevens worden verwerkt.
Autoriteit: de Autoriteit Persoonsgegevens, de organisatie die tot taak heeft toe te zien op de verwerking van persoonsgegevens conform de geldende wet- en regelgeving
Artikel 2: Toepassingsgebied
2.1. Registratie van gegevens geschiedt uitsluitend voor een goede dienstverlening en bedrijfsvoering van Arbo.nu De registratie beperkt zich tot die informatie die direct of indirect nodig is om dit te waarborgen.
2.2. Dit reglement is onderworpen aan de werking van de Algemene Verordening Gegevensbescherming (AVG) en de daarop betrekking hebbende besluiten en maatregelen.
2.3. Elk geregistreerd gegeven, dat informatie geeft over een geïdentificeerde of identificeerbare natuurlijke persoon, valt onder dit reglement.
2.4. Dit reglement is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin opgenomen te worden.
Artikel 3: Grondslagen voor de gegevensverwerking
Arbo.nu verwerkt persoonsgegevens op basis van de volgende grondslagen:
- Wettelijke verplichting zoals o.a. Arbowet, Arbobesluit, Arboregelingen, Wet verbetering poortwachter en beroepscodes.
- Overeenkomsten voor arbodienstverlening met opdrachtgevers
- Gerechtvaardigd belang voor de uitvoering van de overige dienstverlening en commerciële uitingen
- Toestemming indien er een machtiging nodig is voor het opvragen van medische informatie bij behandelaren.
Artikel 4: Doel van de gegevensverwerking
Arbo.nu verwerkt persoonsgegevens ten behoeve van:
- begeleiding bij ziekteverzuim van werknemers van bedrijven en instellingen die daartoe met Arbo.nu een overeenkomst hebben gesloten;
- de re-integratie van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid;
- de werkgever indien de werkgever ten behoeve van het casemanagement een beroep doet op Arbo.nu
- de arbeidsomstandighedenzorg in bedrijven en instellingen die daartoe met Arbo.nu een overeenkomst hebben gesloten;
- Wet- en regelgeving zoals o.a. Arbeidsomstandighedenwet, Arbeidsomstandighedenbesluit, Wet verbetering poortwachter
Artikel 5: Voorwaarden voor verwerking
De vastlegging van (medische) persoonsgegevens in verband met ziekteverzuim en re-integratie is op basis van KNMG code ‘Gegevens verkeer en samenwerking bij arbeidsverzuim en re-integratie (2007)’
5.1 Alle registraties van persoonsgegevens zijn aangemeld bij de Functionaris Gegevensbescherming (FG)
5.2 De Functionaris Gegevensbescherming is benoemd in overeenstemming met de Europese Richtlijnen voor functionarissen voor gegevensbescherming en bekleed binnen Arbo.nu een onafhankelijke rol.
5.3 Iedereen dit toegang tot persoonsgegevens heeft draagt er zorg voor dat deze in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
5.4 De gegevens worden alleen verwerkt door personen die uit hoofde van beroep of wettelijk voorschrift, of krachtens een (arbeids)overeenkomst tot geheimhouding zijn verplicht.
5.5 Persoonsgegevens worden verwerkt voor de in artikel 3 beschreven doelen en worden verwerkt op een manier die overeenstemt met de doelen waarvoor zij zijn verkregen.
5.6 Arbo.nu bewaart geheimhouding over de persoonsgegevens waarvan kennis wordt genomen, tenzij mededeling verplicht is volgens een wettelijk voorschrift of voor de uitvoering van een overeenkomst mededeling noodzakelijk is.
Artikel 6: Opgenomen gegevens
6.1 Persoonsgegevens, die door Arbo.nu worden verwerkt, zijn verzameld door haar medewerkers of door haar ingeschakelde derden, en verstrekt door de betrokkene, de werkgever van de betrokkene of door eventuele behandelaar(s) van de betrokkene.
6.2 De navolgende persoonsgegevens kunnen door Arbo.nu met inachtneming van het bepaalde in dit reglement worden verwerkt:
- personalia en identificatiegegevens
- (para-)medische en psychologische gegevens
- financiële en administratieve gegevens
- sociale gegevens
- werkplekgegevens
- arbeidsverzuimgegevens
Artikel 7: Toegang tot persoonsgegevens
7.1 Autorisaties voor toegang tot persoonsgegevens worden alleen afgegeven nadat de directie van Arbo.nu daar toestemming voor heeft verleend.
7.2 Beheer van toegangsrechten vindt plaats door de directie van Arbo.nu
7.3 Toegang tot de gegevens van betrokkenen hebben die medewerkers van Arbo.nu die uit hoofde van hun functie betrokken zijn bij de uitvoering van de contractuele taken die tussen verantwoordelijke en Arbo.nu overeengekomen zijn. Deze medewerkers hebben slechts toegang tot die delen van de gegevens die voor de goede uitvoering van hun functie of taak noodzakelijk zijn.
7.4 De beheerder, die in het kader van een door de Arbo.nu gegeven opdracht werken, hebben toegang voor zover dit voor het gebruik en de bewerking van de gegevens noodzakelijk is
7.5 Ten behoeve van kwaliteitstoetsen kan de stafarts van Arbo.nu toegang hebben tot dossiers van zijn collega bedrijfsartsen.
7.6 In het kader van haar certificeringen worden er door een onafhankelijke derde audits uitgevoerd, waarbij toegang tot persoonsgegevens, onder toezicht, noodzakelijk kan zijn.
7.7 Medewerkers van Arbo.nu die direct betrokken zijn bij de actuele dienstverlening aan en begeleiding van betrokkene hebben toegang die is beperkt tot die gegevens die in verband met deze verantwoordelijkheid noodzakelijk zijn.
Artikel 8: Verstrekking van persoonsgegevens
Onder toepassing van het in de Algemene Verordening Gegevensbescherming en de regels voor de verwerking van persoonsgegevens van zieke werknemers van de AP (“De zieke werknemer – Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers “, februari 2016) bepaalde worden persoonsgegevens zonder voorafgaande toestemming van de betrokkene verstrekt aan:
- medewerkers van Arbo.nu en Opdrachtgever die direct betrokken zijn bij de actuele dienstverlening aan en begeleiding van betrokkene. Het betreft in dat geval echter uitsluitend conclusies ten aanzien van de mogelijkheden tot werkhervatting door de betrokkene en/of procesmatige begeleidingsafspraken (waaronder datum van laatste consult bedrijfsarts).
- door Arbo.nu aangewezen verwerkers van persoonsgegevens in het kader van de gegeven opdracht voor zover deze verwerkers voldoende er voor zorg dragen dat de bescherming van de persoonsgegevens plaatsvindt overeenkomstig dit reglement;
- uitvoeringsinstituten voor de sociale verzekeringen in het kader van het re-integratieplan volgens de richtlijnen van het UWV;
- verzekeringsmaatschappijen in het kader van de verzekering van de loondoorbetaling bij ziekte volgens het Convenant gegevensuitwisseling arbodiensten – verzekeraars.
Artikel 9: Recht op inzage en afschrift van opgenomen persoonsgegevens
Arbo.nu is verplicht om iedere betrokkene inzage te geven in de op betrokkene geregistreerde gegevens, tenzij Wet- en regelgeving of andere zwaarwegende belangen zich daartegen verzetten.
De betrokkene dient een verzoek tot inzage schriftelijk in bij Arbo.nu De gevraagde inzage zal binnen 4 weken na ontvangst van het verzoek tot inzage plaats vinden. Indien betrokkene dit wenst kan op zijn verzoek een afschrift van de geregistreerde gegevens ter inzage worden verstrekt.
Artikel 10: Recht op correctie, aanvullingen afscherming van persoonsgegevens
Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
De betrokkene kan Arbo.nu schriftelijk verzoeken om aanvulling, afscherming of correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist zijn of voor het doel van de verwerking onvolledig of niet ter zake zijn, dan wel in strijd zijn met een wettelijk voorschrift. De betrokkene kan zijn mening door middel van een aanvulling in het dossier laten opnemen.
Arbo.nu informeert de betrokkene binnen vier weken na ontvangst van het schriftelijk verzoek in hoeverre daaraan wordt voldaan. Wordt een verzoek geweigerd dan wordt dit met redenen omkleed.
Arbo.nu draagt zorg dat een verzoek tot aanvulling, afscherming of correctie zo spoedig mogelijk wordt uitgevoerd.
Artikel 11: Recht op vernietiging van opgenomen persoonsgegevens
De betrokkene kan Arbo.nu schriftelijk verzoeken om vernietiging van op hem betrekking hebbende gegevens. De gegevens worden niet vernietigd indien er een wettelijke plicht tot bewaring is of indien de bewaring voor een ander dan betrokkene van aanzienlijk belang is.
Arbo.nu informeert de betrokkene binnen vier weken na ontvangst van het schriftelijk verzoek tot vernietiging in hoeverre daaraan wordt voldaan. Wordt een verzoek tot vernietiging geweigerd dan wordt dit met redenen omkleed.
Arbo.nu draagt zorg dat een verzoek tot verwijdering zo spoedig mogelijk wordt uitgevoerd.
Artikel 12: Bewaartermijnen
Arbo.nu stelt met inachtneming van wettelijke voorschriften vast hoe lang en op welke wijze de persoonsgegevens bewaard blijven. Na een maximale bewaartermijn van 20 jaar eindigt de bewaartermijn, tenzij er een wettelijke verplichting is om bewaring voort te zetten. Tijdens de bewaartermijn blijft het voor Arbo.nu mogelijk om toegang tot de persoonsgegevens te verkrijgen.
Artikel 13: Beveiliging van gegevens
Arbo.nu treft, rekening houdend met de stand van de techniek en de kosten die implementatie met zich meebrengen, voldoende maatregelen om ongewenste toegang tot, en verlies of diefstal van persoonsgegevens tegen te gaan.
Toegang tot applicaties waarin persoonsgegevens worden vermeld wordt verkregen door middel van toegekende autorisaties. Voor zover het applicaties betreft waartoe via Internet (online) toegang verkregen kan worden wordt een meer factor authenticatie toegepast.
Fysieke dossiers en persoonsgegevens worden opgeslagen in afgesloten archiefkasten. Toegang tot deze archiefkasten is conform het door Arbo.nu gevoerde sleutelplan.
Arbo.nu heeft voor de verwerking van (persoons)gegevens een verwerkingsregister opgesteld. In de tabel hieronder is beknopt weergegeven welke registraties Arbo.nu hanteert.
Registratie |
Wijze van opslag |
Doel opslag |
Toegankelijk voor |
Verantwoordelijke |
Verzuim en preventie (uitsluitend niet medische gegevens conform artikel 5 van dit reglement) |
Digitaal |
Verzuimbegeleiding -verzuimpreventie, re-integratie |
Bedrijfsarts, Arbeidsdeskundigen, Casemanagers, Opdrachtgevers/ Leidinggevenden Beheerder |
Opdrachtgevers, Directie |
Beroep en bezwaar |
Digitaal, papier* |
Dossiervorming |
Bedrijfsarts, Gemachtigde, Administratie Beheerder |
Directie |
Medische gegevens |
Digitaal, papier* |
Dossiervorming, Verzuimbegeleiding re-integratie |
Bedrijfsarts Gemachtigde (bij Beroep en Bezwaar) |
Directie |
Klantgegevens |
Digitaal |
Commercie, dienstverlening, verzuimpreventie en -begeleiding |
Administratie, Directie |
Directie |
Financiële gegevens |
Digitaal, papier* |
Facturering |
(financiële) Administratie, Directie |
Directie |
Klachten |
Digitaal, papier* |
Afhandeling en kwaliteitsbeheer |
Administratie, Directie |
Directie |
Schadeclaims |
Digitaal, papier* |
Afhandeling en kwaliteitsbeheer |
Administratie, Directie |
Directie |
Cliëntgegevens |
Digitaal |
Verzuimbegeleiding, -preventie, re-integratie, Beroep en Bezwaar |
Bedrijfsarts, Arbeidsdeskundigen, Administratie Casemanagers, Opdrachtgevers/ Leidinggevenden Beheerder |
Opdrachtgevers, Directie |
*papieren documenten worden direct na ontvangst gescand en digitaal opgeslagen, waarna het papieren document wordt vernietigd.
Artikel 14: Klachten
Klachten worden afgehandeld conform de klachtenprocedure die Arbo.nu hanteert. Deze klachtenprocedure is via de website www.arbo.nu in te zien. Daarnaast bestaat altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, zie daarvoor hun website.
Artikel 15: Datalekken
Arbo.nu hanteert bij (het vermoeden van) een datalek de volgende procedure:
- Bij (een vermoeden van) een datalek wordt direct de functionaris gegevensbescherming geïnformeerd
- De functionaris gegevensbescherming bepaalt in overleg met de directie of er sprake is van een datalek of -incident
- In geval van een datalek onderzoekt de functionaris gegevensbescherming of er sprake is van een meldingsplicht bij de Autoriteit Persoonsgegevens
- Als er sprake is van een meldingsplicht dan informeert de functionaris gegevensbescherming de betrokkenen en de Autoriteit Persoonsgegevens
- De functionaris gegevensbescherming onderzoek en analyseert het datalek of -incident en adviseert maatregelen om deze in de toekomst te voorkomen
Artikel 16: Bepaling betreffende bekendmaking
Inhoud c.q. strekking van de in dit reglement opgenomen bepalingen worden aan eenieder die dit aangaat bekend gemaakt. De meest recente versie van dit privacyreglement kan via de website van Arbo.nu worden opgevraagd.
Artikel 17: Slotbepaling
Dit reglement treedt in werking met ingang van 21 augustus 2024 en wordt aangehaald als: Privacyreglement Arbo.nu.
Dit reglement blijft van kracht tot dat er een nieuwe versie in werking treedt en door Arbo.nu op haar website beschikbaar wordt.
Vragen met betrekking tot dit privacyreglement kunnen gericht worden aan de functionaris gegevensbescherming van Arbo.nu via FG@arbo.nu.