Privacyreglement
1. Toepasselijkheid
Dit reglement geldt voor de gehele organisatie die deel uitmaakt van De Nieuwe Arts B.V. (hierna DNA). DNA is gevestigd aan Van Boschhuizenstraat 12, 1083 BA Amsterdam. Zie voor contact informatie: www.denieuwearts.nl
2. Contactgegevens verwerkingsverantwoordelijke De Nieuwe Arts
Van Boshuizenstraat 12
Amsterdam
085-0653172
info@denieuwearts.nl
De Nieuwe Arts heeft een Functionaris Gegevensbescherming aangesteld. U kunt deze functionaris raadplegen voor al uw vragen omtrent privacy.
3. De contactgegevens van de Functionaris Gegevensbescherming zijn:
Sander van de Molen (Mr. A.C.M. van de Molen CIPP/E)
085 – 065 31 72
FG@denieuwearts.nl
4. Definities
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, een identificatienummer, locatiegegevens, adres, geboortedatum, titel(s), geslacht, telefoonnummer, e-mailadres, functie, personeelsnummer, medische rapportages, inhoud van e-mails, ziek- en hersteld meldingen, brieven, klachten, loginnamen en wachtwoorden.
Verwerking van persoonsgegevens
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Bijzondere persoonsgegevens
Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.
Betrokkene
Degene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: werknemers van klanten van DNA, andere medewerkers en bezoekers.
Verwerkingsverantwoordelijke
De entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van dit reglement is dit: DNA, vertegenwoordigd door de directie.
Verwerker
De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (DNA) persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een geautomatiseerd systeem, of administrateur (Planningsagenda en Microsoft). Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.
Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.
5. Reikwijdte en doelstelling
- Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrokkenen, waaronder werknemers van klanten van DNA en hun wettelijk vertegenwoordigers, medewerkers, bezoekers en externe relaties (bijv. leveranciers en opdrachtnemers). De persoonsgegevens worden verwerkt binnen het geautomatiseerde systeem van DNA wat wordt geleverd door Planningsagenda B.V.
- Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door DNA worden verwerkt. Het reglement heeft tot doel:
- de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;
- vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens binnen DNA worden verwerkt;
- ook overigens te borgen dat persoonsgegevens binnen DNA rechtmatig, transparant en behoorlijk worden verwerkt;
- de rechten van betrokkenen vast te leggen en te borgen dat deze rechten door DNA worden gerespecteerd.
6. Doelen van de verwerking van persoonsgegevens
Bij de verwerking van persoonsgegevens houdt DNA zich aan de relevante wet- en regelgeving waaronder de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en de wet- en regelgeving omtrent verzuim en re-integratie en preventie, zoals bijvoorbeeld de Arbowet, Wet verbetering poortwachter, Ziektewet, WIA en Regeling procesgang eerste en tweede ziektejaar.
Doelen
De verwerking van persoonsgegevens vindt plaats voor:
- Medische keuringen, waaronder aanstellingskeuringen.
- Begeleiding van arbeidsongeschikte werknemers (ziekteverzuimbegeleiding).
- Re-integratie van werknemers in verband met ziekte of arbeidsongeschiktheid.
- De arbeidsomstandighedenzorg in bedrijven en instellingen, conform de wettelijke taken van een arbodienst.
- Het uitvoeren van een consultatie met betrekking tot gezondheidskundige vraagstukken in verband met de arbeid, zoals bedoeld in artikel 14 lid 1 sub c Arbowet.
- De uitvoering of toepassing van wet- en regelgeving.
- Juridische procedures waarbij DNA betrokken is.
- De verwerking van persoonsgegevens mag ook plaatsvinden voor doelen die verenigbaar zijn met de doelen zoals beschreven in lid 1.
- Deze doelen houden rechtstreeks verband met de wettelijke verplichtingen van bedrijven en instellingen als goed werkgever. In dit kader heeft een werkgever diverse wettelijke verplichtingen, waarbij hij (vaak verplicht) een arbodienst nodig heeft. De werkgever zorgt voor de veiligheid en de gezondheid van de werknemers inzake alle met de arbeid verbonden aspecten en voert daartoe een beleid dat gericht is op zo goed mogelijke arbeidsomstandigheden. De arbodienst adviseert de werkgever bij het uitvoeren en nakomen van deze taken.
De hoofddoelstelling van de verwerking van persoonsgegevens is het goed kunnen uitvoeren van deze (wettelijk verplichte) diensten aan bedrijven en instellingen. DNA draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
7. Doelbinding
Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. DNA verwerkt niet meer gegevens dan noodzakelijk is om de betreffende doelen te bereiken.
8. Soorten persoonsgegevens
De categorieën van persoonsgegevens zoals deze binnen DNA worden verwerkt, worden geregistreerd in een verwerkingsregister.
9. Grondslag verwerking
Verwerking van persoonsgegevens gebeurt alleen indien aan een van de onderstaande voorwaarden is voldaan:
- De betrokkene heeft voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden zijn toestemming verleend. Bij het gebruik van toestemming als grondslag voor gegevensverwerking in een arbeidsrelatie moet bijzonder terughoudend worden omgegaan. Er zijn enkele uitzonderlijke situaties denkbaar waarin de bedrijfsarts op grond van toestemming van de zieke werknemer gegevens over zijn gezondheid aan de werkgever kan verstrekken. Bijvoorbeeld als de werknemer zelf expliciet vraagt om de werkgever te laten weten dat hij epilepsie heeft en wat de werkgever moet doen in noodsituaties. Tevens kan het voorkomen dat er bij de uitvoering van de dienstverlening en het leveren van de ziekteverzuimbegeleiding nadere (medische) informatie nodig is. Deze aanvullende informatie betreft bijzondere persoonsgegevens en dient opgevraagd te worden bij een behandelaar, huisarts of medisch specialist. Bij de opvraag van aanvullende medische informatie bij een derde wordt er gebruik gemaakt van een machtiging. De informatie opvraag is op de machtiging gespecificeerd tot die informatie die de bedrijfsarts nodig heeft, dit om te voorkomen dat de opvraag te breed geformuleerd is. Middels de machtiging geeft de betrokkene toestemming voor het opvragen en verwerken van deze specifieke bijzondere persoonsgegevens. Geeft de betrokkene deze machtiging niet af dan wel trekt de betrokkene de machtiging in, dan dient het proces van opvragen gestaakt te worden.
- De verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt. Voor de uitvoering van het Arbo contract, dan wel het verzuimcontract dat DNA met de klant afspreekt, zullen er persoonsgegevens van de betrokkene worden verwerkt, op het moment dat de noodzaak hiertoe bestaat. Dit is bijvoorbeeld het geval indien de betrokkene ziek wordt en arbeidsongeschikt wordt gemeld.
- De verwerking van persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de werkgever dan wel DNA onderworpen is, zoals bijvoorbeeld de Arbowet, Wet verbetering poortwachter, Ziektewet, WIA en Regeling procesgang eerste en tweede ziektejaar.
- De gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen.
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van DNA of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen; in het kader van deze grondslag zal dus een belangenafweging moeten plaatsvinden.
10. Bewaartermijnen
DNA bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor deze worden verwerkt, tenzij het langer bewaren van de persoonsgegevens op grond van wet- of regelgeving verplicht is. De bewaartermijnen zijn voor DNA in beeld gebracht en samenvattend zijn de volgende termijnen van toepassing: medische dossiers 20 jaar; overige persoonsgegevens (niet medische deel) 2 jaar na afronding van de verzuimbegeleiding en/of het re-integratietraject.
11. Toegang
Binnen de organisatie van DNA geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is. De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en (dus) hun werkzaamheden. Verder wordt slechts toegang verschaft tot de administratie en systemen van DNA aan:
- de verwerker die van DNA de opdracht heeft gekregen om persoonsgegevens te verwerken, Planningsagenda B.V., maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken;
- derden voor zover uit de wet voortvloeit dat DNA verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking.
12. Beveiliging en geheimhouding
- DNA neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Deze maatregelen zijn er mede op gericht om niet noodzakelijke verzameling en verdere (niet noodzakelijke) verwerking van persoonsgegevens te voorkomen. Het uitgangspunt is dat DNA voldoet aan de NEN 7510.
- Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenen.
- Een ieder die betrokken is bij de verwerking van persoonsgegevens binnen DNA is verplicht tot geheimhouding van de betreffende persoonsgegevens, en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.
13. Verstrekken gegevens aan derden
DNA kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag bestaat in de zin van artikel 7 van dit reglement. Persoonsgegevens kunnen worden verstrekt aan UWV, re-integratiebedrijven, verzuimverzekeraars en andere derden die op basis van een wettelijke grondslag mogen of moeten beschikken over bepaalde persoonsgegevens.
14. Rechten betrokkenen
- DNA erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het betreft in het bijzonder de volgende rechten:
Inzage
- Een betrokkene heeft recht op inzage van de door DNA verwerkte persoonsgegevens die op hem betrekking hebben. Indien en voor zover dit recht op inzage ook de rechten en vrijheden van anderen raakt, bijvoorbeeld als in de documenten ook persoonsgegevens van anderen dan de betrokkene zijn vermeld, kan DNA het recht op inzage beperken.
Bij het verstrekken van de betreffende gegevens verschaft DNA voorts informatie over:
- de verwerkingsdoeleinden;
- de categorieën van persoonsgegevens die worden verwerkt;
- de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- (indien van toepassing) ontvangers in derde landen of internationale organisaties;
- hoe lang de gegevens worden bewaard;
- dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, alsmede dat hij het recht heeft om bezwaar te maken tegen de verwerking van de persoonsgegevens;
- het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens, dan wel zich kan wenden tot de rechter;
- de bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;
- het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;
- de passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.
Verbetering, aanvulling, verwijdering
- DNA verbetert de persoonsgegevens van een betrokkene in het geval de betrokkene terecht heeft aangegeven dat de gegevens onjuist zijn en DNA vult de persoonsgegevens van een betrokkene aan indien de betrokkene terecht om aanvulling heeft verzocht. Voorts kan de betrokkene verzoeken om verwijdering van zijn persoonsgegevens. DNA gaat daartoe over indien is voldaan aan een wettelijke grondslag voor het verzoek, tenzij het onmogelijk is om aan het verzoek te voldoen of dit een onredelijke inspanning zou vergen.
Beperken verwerking
- De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, of als de gegevensverwerking onrechtmatig is, als de persoonsgegevens niet meer nodig zijn voor het doel van de verwerking, indien hij bezwaar heeft gemaakt tegen de verwerking. DNA staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, DNA de gegevens nodig heeft voor een rechtszaak of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.
Kennisgevingsplicht
- Als DNA op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal DNA eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.
Overdracht
- De betrokkene heeft het recht zijn persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm van DNA te ontvangen en deze vervolgens aan een andere verwerkingsverantwoordelijke over te dragen of DNA te verzoeken deze gegevens rechtstreeks aan de andere verwerkingsverantwoordelijk te zenden, indien dit technisch mogelijk is.
Bezwaar
- Indien DNA persoonsgegevens verwerkt op de grondslag van artikel 9 onder e van dit reglement, kan de betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens. In dat geval staakt DNA de verwerking van de betreffende persoonsgegevens, behalve als naar het oordeel van DNA het belang van DNA, het belang van derden of het algemeen belang in het betreffende concrete geval zwaarder weegt of DNA de gegevens nodig heeft voor een rechtszaak.
Procedure
- DNA handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd.
Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. Wanneer DNA geen gevolg geeft aan het verzoek van de betrokkene, deelt DNA onverwijld en uiterlijk binnen een maand na ontvangst mede waarom het verzoek niet wordt ingewilligd en informeert hij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.
Intrekken toestemming
- Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene of zijn wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt DNA de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 7) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan.
15. Transparantie
DNA informeert de betrokkene(n) actief over de verwerking van hun persoonsgegevens, in ieder geval door middel van een laagdrempelige Privacyverklaring. Deze Privacyverklaring is te vinden op de website van DNA.
16. Klachten
Indien een betrokkene of belanghebbende van mening is dat DNA handelt in strijd met het bepaalde in dit reglement, kan een klacht worden ingediend bij DNA conform de procedure die beschreven staat in het klachtenreglement. Het klachtenreglement is in te zien via de website van DNA.
Ook heeft betrokkene het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (zie: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-over-gebruik-persoonsgegevens). Tevens kunt u zich wenden tot de bevoegde rechter. Wel stellen wij het op prijs indien betrokkene de klacht eerst aan DNA meldt conform de procedure die beschreven staat in het klachtenreglement.
17. Onvoorziene situatie
Indien zich een situatie voordoet die niet beschreven is in dit reglement, neemt de directie van DNA de benodigde maatregelen, en wordt beoordeeld of dit reglement dientengevolge moet worden aangevuld of aangepast.
18. Wijzigingen reglement
- Dit reglement is vastgesteld door de directie van DNA. Het reglement wordt gepubliceerd op de website van DNA. Het reglement wordt verder actief onder de aandacht gebracht, bijvoorbeeld door middel van verwijzing in de informatieplicht aan betrokkene en de Privacyverklaring.
- De directie kan dit reglement wijzigen. Het verdient daarom aanbeveling periodiek op de website van DNA te kijken naar de meest recente versie.