Dignus

Privacyreglement

Privacyreglement Dignus Arbo

 

Dignus Arbo b.v. (hierna Dignus of Wij) en de aan haar gelieerde ondernemingen verwerken persoonsgegevens in het kader van de arbodienstverlening en vinden het belangrijk dat met deze persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld. Wij beogen met dit document informatie te geven aan de personen van wie persoonsgegevens verwerkt worden door Dignus. Daarnaast maken wij onze richtlijnen en uitgangspunten op dit gebied duidelijk.

Versie: 17-04-2024

Begrippen

 

Betrokkene

Een individueel en natuurlijk persoon op wie bepaalde persoonsgegevens betrekking hebben, dan wel van wie bepaalde persoonsgegevens worden verwerkt, die in dienst is of is geweest bij werkgever.

Bijzondere persoonsgegevens

Gevoelige persoonsgegevens, die door de wet extra zijn beschermd, zoals gegevens over gezondheid.

Datalek

Een Beveiligingsincident, zoals bedoeld in artikel 4 sub 12 AVG, waarbij het waarschijnlijk is dat de inbreuk in verband met de Persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen (‘Betrokkene’).

Persoonsgegeven

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Toestemming

Elke vrije, specifieke, geïnformeerde en expliciete wilsuiting waarmee de Betrokkene door middel van een verklaring of een dubbelzinnige actieve aanvaardt dat zijn persoonsgegevens worden verwerkt.

Verstrekken van persoonsgegevens

Het bekend maken of ter beschikking stellen van persoonsgegevens die in de persoonsregistratie zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen

Verwerker

Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Verwerking van persoonsgegevens

Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Verwerkings-verantwoordelijke (of Verantwoordelijke)

De natuurlijke persoon, rechtspersoon of ieder ander die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Werkgever

Iedere rechtspersoon die een overeenkomst (basiscontract) heeft gesloten met verantwoordelijke en dus de opdracht verschaft aan Dignus.

1.       Doeleinden

 

 

1.1         Dignus verwerkt persoonsgegevens als Verantwoordelijke ten behoeve van:

 

  • Werkgevers en werknemers die direct of indirect een overeenkomst hebben met Dignus voor de verzuimbegeleiding, re-integratiewerkzaamheden en werkzaamheden in het kader van de Arbowet, waaronder advisering over goede arbeidsomstandigheden, bedrijfsgezondheid en klant- en contactinformatie.
  • Dignus en haar werknemers voor de uitvoering van de werkzaamheden als opleidingsinstelling bedrijfsgeneeskunde, het opleiden en onderwijzen van medewerkers en de uitvoering en naleving van de (arbeids-)overeenkomsten bij Dignus, alsmede administratieve (beheers)activiteiten en uitvoering van wettelijke taken voor Dignus.
  • Het verrichten van statistisch of wetenschappelijk onderzoek.

 

1.2         Dignus verwerkt persoonsgegevens als Verwerker ten behoeve van:

 

  • De uitvoering van de (zakelijke) overeenkomst met werkgever, anders dan de eerdergenoemde wettelijke taken.
  • Werkzaamheden onder regie van de werkgever, zoals advisering in de verzuimbegeleiding namens werkgever (zoals bijvoorbeeld proces-casemanagement).

2.     Voorwaarden voor de verwerking

 

2.1  Dignus draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel op grond van een (arbeids-)overeenkomst tot geheimhouding zijn verplicht. De persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij verkregen zijn. De persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden uit artikel 2, toereikend, ter zake dienend en niet bovenmatig zijn.

 

2.2         Persoonsgegevens worden verwerkt indien:

 

  • Betrokkene voor de verwerking zijn toestemming heeft verleend, of;
  • de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van de overeenkomst waarin Betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de Betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of;
  • de verwerking van persoonsgegevens noodzakelijk is om een wettelijke verplichting na te komen of;
  • de verwerking van persoonsgegevens noodzakelijk is ter vrijwaring van een vitaal belang van Betrokkene, of;
  • de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van Dignus of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

 

2.3         Dignus verwerkt geen persoonsgegevens betreffende iemands gezondheid, godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, tenzij:

 

  1. a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
  2. b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheidsrecht, voor zover zulks is toegestaan bij wet of bij een collectieve overeenkomst;
  3. c) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
  4. d) de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  5. e) de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van de wet;
  6. f) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of behandelingen;
  7. g) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid;
  8. h) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

 

2.4 Het burgerservicenummer (BSN) dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Zo gebruikt Dignus het BSN ten behoeve van:

  • communicatie met UWV;[1]
  • communicatie met en verwijzing naar andere zorgverleners;[2]
  • het CBR bij rijbewijskeuringen.[3]

 

 

 

3        Persoonsgegevens verwerkt door Dignus bij arbodienstverlening

 

3.1  Dignus verwerkt enkel de minimale gegevens uit artikel 1.1 en 1.2. Daaronder vallen de gegevens die noodzakelijk zijn voor de identificatie van en met werknemers, het uitvoeren van de verplichtingen die voortvloeien uit de Arbowet en de overeenkomst arbodienstverlening, het adviseren van werknemer en werkgever en daarover terugkoppelen en het vormen van een bedrijfsgeneeskundig/medisch dossier. Deze persoonsgegevens zijn onder te brengen in drie categorieën, vermeld in artikel 3.2, 3.3 en 3.4.

 

3.2         Categorie I        Persoonsgegevens, waaronder

 

  • NAW-gegevens van de werknemer met een zorgvraag, zieke/arbeidsongeschikte werknemers.
  • Contactgegevens waaronder emailadres, telefoonnummer(s) en eventueel verpleegadres;
  • Geboortedatum, geslacht, personeelsnummer of een ander WerknemerID[4] ;.
  • Het BSN.

 

 

3.3         Categorie II        Bijzondere persoonsgegevens, waaronder:

 

Onder deze categorie vallen onder ander medische gegevens, gezondheidsgegevens, en andere in artikel 2.3 genoemde persoonsgegevens.

 

  • Gezondheidsgegevens, zoals een datum of verwachte duur ziekmelding, die noodzakelijk zijn voor onder andere een adequate verzuimbegeleiding, re-integratie of vangnet, ziektewet-, of WIA-bepaling.
  • Wensen van de Betrokkene voor werkzaamheden (zoals soort werk(waarden), niveau, arbeidspatroon, scholing);
  • Interventies nodig voor het wegnemen of verminderen van de beperkingen dan wel voor het vinden van arbeid of het aanpassen van arbeid;
  • Het uitvoeren van werkplek- en (gezondheids-)onderzoeken en het geven van terugkoppelingen.
  • Medische gegevens die de bedrijfsarts of taakgedelegeerde verwerkt over uw gezondheid en die noodzakelijk zijn voor onze werkzaamheden. Hieronder vallen onder andere de dossiervorming, beperkingen en mogelijkheden, rapportages inzake verzuimbegeleiding.

 

3.4         Categorie III      Persoonsgegevens die bij wet zijn voorgeschreven om een persoon te identificeren:

 

  • Het BSN.

 

4       Toegang tot gegevens

 

4.1 Alleen die medewerkers van Dignus hebben toegang tot persoonsgegevens voor zover dat noodzakelijk is voor een goede uitoefening van hun functie en/of taken. De toekennen van rechten en autorisaties gebeurt op basis van rollen, die worden vastgesteld op basis van de daarvoor gestelde normen.

4.2 Personen die belast zijn met de uitvoering van de technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen.

4.3 Derden die door Dignus zijn ingehuurd of anderszins zijn aangesteld om werkzaamheden te verrichten, hebben toegang tot persoonsgegevens voor zover dit noodzakelijk is voor een goede uitoefening van hun taken en zijn contractueel tot geheimhouding verplicht.

4.4 Indien er sprake is van teambegeleiding van Betrokkene, geldt de toegang voor alle teamleden, voor zover dit in het kader van de begeleiding noodzakelijk is.

4.5 Aanvullend op artikel 4.1 is de toetsing van dossiers voor kwaliteitsdoeleinden. In het kader van toetsing ten behoeve van kwaliteitsdoeleinden kan een supervisor of kwaliteitsfunctionaris van Dignus -binnen hetzelfde domein- inzage hebben in een dossier van een collega-professional. De professional deelt actief zijn eigen bevindingen met de collega die de kwaliteitstoets uitvoert. Het doel is daarbij om optimale advisering en begeleiding te realiseren.

5        Verstrekking

 

5.1  Tenzij zulks noodzakelijk is ter uitvoering van een wet en regelgeving is voor de verstrekking van persoonsgegevens aan derden de gerichte schriftelijke goedkeuring van Betrokkene vereist

 

5.2  Met inachtneming van het bij of krachtens de wet en regelgeving bepaalde worden persoonsgegevens zonder voorafgaande toestemming van Betrokkene verstrekt aan de volgende derden:

 

  • Verwerkers van persoonsgegevens en derden in het kader van de gegeven opdracht door Dignus, zoals de ICT -leverancier, mits deze verwerkers voldoende waarborgen bieden dat de bescherming van de persoonsgegevens plaatsvindt en met inachtneming van geheimhouding en overeenkomstig alle artikelen van dit privacyreglement;
  • De werkgever in geval van verzuimbegeleiding, mits het slechts de volgende gegevens betreft:
    • naam en geboortedatum;
    • datum van het laatste consult;
    • de mate van arbeidsongeschiktheid;
    • conclusies ten aanzien van de mogelijkheden tot werkhervatting door de betrokkene;
    • procesmatige begeleidingsafspraken.
    • Eventuele aanpassingen in werkplek of werkvoorzieningen
  • Uitvoeringsinstituten voor de sociale verzekeringen in het kader van het re-integratieplan volgens de richtlijnen van het UWV;
  • Nederlands Centrum voor Beroepsziekten in het kader van de wettelijke plicht om beroepsziekten te melden. Deze gegevens zijn niet herleidbaar tot een persoon.
  • Verzekeringsmaatschappijen in het kader van de verzekering van uitkeringen bij arbeidsongeschiktheid en het vaststellen van reserveringen op uitkeringen, een en ander volgens het Convenant gegevensuitwisseling arbodiensten – verzekeraars.
  • Instituten ten behoeve van wetenschappelijke of statistische doeleinden indien en voor zover deze persoonsgegevens niet meer herleidbaar tot betrokkene zijn.

 

6        Rechten van Betrokkene

 

Iedere Betrokkene heeft recht op informatie, inzage en rectificatie, wissen van gegevens, beperking van de verwerking, alsmede recht van bezwaar.

 

6.1         Recht op informatie

 

  • Dignus informeert Betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt en de daarbij behorende rechten. Het privacyreglement is opvraagbaar bij Dignus en wordt op eerste verzoek overhandigd.

De gevraagde actie, informatie of opvolging zal zo spoedig mogelijk, doch uiterlijk binnen vier weken na ontvangst van een correct en volledig verzoek, plaatsvinden respectievelijk worden verricht of verstrekt. Dignus kan aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

 

6.2         Recht op inzage en afschrift

 

  • De Betrokkene, zijn wettelijke vertegenwoordiger dan wel een door hem schriftelijk daartoe gemachtigde heeft recht op inzage en afschrift van de op zijn persoon betrekking hebbende gegevens. De Betrokkene dient hiertoe een schriftelijk verzoek bij Dignus in te dienen. Het recht op afschrift of inzage kan worden geweigerd indien dit noodzakelijk is in de bescherming van de persoonlijke levenssfeer van een ander.

 

  • Recht op dataportabiliteit

 

  • De Betrokkene heeft het recht om de gegevens die op hem/haar betrekking hebben, te ontvangen in een gestructureerd, gangbaar formaat, dat geschikt is om te delen met andere instanties zoals een andere arbodienst.

 

6.4        Rectificatierecht (verbetering, aanvulling, beperking, afscherming)

 

  • De Betrokkene kan verzoeken om rectificatie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. De Betrokkene kan middels een aanvulling zijn mening in het dossier laten opnemen.

 

6.5         Recht op verwijdering

 

  • De Betrokkene kan in bepaalde gevallen verzoeken om vernietiging van op hem betrekking hebbende gegevens. Indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien er een wettelijke plicht tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.

 

6.6         Recht van verzet

 

  • Indien de rechtmatige grondslag voor een bepaalde verwerking is gelegen in het gerechtvaardigde belang van Dignus, kan de betrokkene bezwaar aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke omstandigheden.
  • Zo spoedig mogelijk, doch uiterlijk binnen een maand na ontvangst van het bezwaar beoordeelt Dignus of dit verzet gerechtvaardigd is.

 

De Betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming kan de rechtmatigheid van eerder verrichte verwerkingen niet aantasten.

7         Klachten

 

Indien er vragen of onduidelijkheden zijn over de verwerking van persoonsgegevens door Dignus, dan verzoeken wij u contact op te nemen met ons. Dit geldt eveneens voor klachten. Wij hebben hiervoor een aparte klachtenprocedure. Als u niet tevreden bent over hoe Dignus uw klacht afhandelt of als u uw klacht liever niet bij Dignus indient, kunt u deze ook indienen bij de Autoriteit Persoonsgegevens.

 

8        Meldplicht datalekken

 

8.1  Indien Dignus als Verantwoordelijke persoonsgegevens verwerkt dan zal Dignus ingevolge de AVG (Mededeling van een inbreuk in verband met persoonsgegevens aan de Betrokkene : “Meldplicht Datalekken”) en met inachtneming van hetgeen daarover is bepaald, de Autoriteit Persoonsgegevens onverwijld in kennis stellen van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens;

 

8.2 De Betrokkene onverwijld in kennis van de inbreuk indien deze inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Betrokkene.

 

9        Beveiliging

 

9.1  Dignus zorgt ervoor dat alle passende technische en organisatorische maatregelen worden genomen om de Persoonsgegevens die zij Verwerkt te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen hebben een passend beveiligingsniveau gelet op de risico’s die Verwerking en de gevoelige aard van de Persoonsgegevens en Gezondheidsgegevens met zich meebrengen.

 

9.2 Indien Dignus als Verantwoordelijke te zijnen behoeve persoonsgegevens laat verwerken door een verwerker, dan draagt Dignus ervoor zorg dat deze derde voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen (in ieder geval het ISO 27001 certificaat) met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. Ook ziet Dignus toe als Verantwoordelijke toe op de naleving van die (beveiligings-)maatregelen. De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de verwerker en de verantwoordelijke.

10. Bewaartermijnen

 

  • Dignus past de bewaartermijnen toe die volgen uit de geldende wet- en regelgeving.

 

10.2      Indien de bewaartermijn is verstreken, worden de persoonsgegevens binnen 6 maanden uit het bestand verwijderd, tenzij er een wettelijke plicht tot bewaring hiertoe in de weg staat.

 

11. Cookies

 

11.1      Dignus maakt op haar website gebruik van cookies. In onze cookieverklaring kunt u meer lezen over wat cookies zijn en welke cookies Dignus op haar website plaatst.

12.  Publicatie

 

12.1      Het privacyreglement ligt ter inzage bij Dignus en is op het eerste verzoek opvraagbaar en zal op de website te downloaden zijn.

 

13. Inwerkingtreding en looptijd

 

 13.1      Dit reglement treedt in werking per 18 februari 2020 en is van kracht jegens alle Betrokkenen.

 13.2      Wijzigingen van dit reglement worden met vermelding van de datum door Dignus via haar website (www.dignusarbo.nl) bekend gemaakt.

 13.3      De wijzigingen in dit reglement worden van kracht een maand na bekendmaking.

 

     14. Contactgegevens

 

Dignus Arbo

Muiderstraatweg 15 B

1111 PS DIEMEN

030 – 207 25 25

info@dignusarbo.nl

 

[1] op grond van de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI)

[2] op grond van de de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

[3] op grond van de Wet algemene bepalingen burgerservicenummer

[4] Hiermee wordt bedoeld het Werknemer ID, dan wel een andere specifiek bij een werknemer behorende codering die het Burgerservicenummer vervangt als sleutelwaarde, zoals omschreven in de Nationale Verzuimstandaard (‘NVS’) 2017. Deze standaard wordt onderschreven door arbodiensten aangesloten bij brancheorganisatie OVAL en beheerd door de Stichting Sivi