Privacyreglement

Privacyreglement WIM arbo – mkb
Versie februari 2024
Inleiding
WIM arbo – mkb is een arbodienst die voor het dagelijks werk persoonsgegevens vastlegt.
Zonder deze vastlegging kan de dienstverlening niet worden uitgevoerd. Het is algemeen
aanvaard dat deze vastleggingen noodzakelijk zijn.
Vanaf de start heeft WIM arbo – mkb zich ingespannen om zeer zorgvuldig met
persoonsgegevens om te gaan. De directie vindt zorgvuldigheid rondom privacy erg
belangrijk. Vertrouwelijk omgaan met de persoonsgegevens van onze klanten is
onderdeel van onze bedrijfscultuur en dagelijkse gedrag. Je komt de aandacht voor
privacy tegen in al onze regels, afspraken en contracten.
Omdat privacy zo belangrijk is, heeft WIM arbo dit privacyreglement. Hierin zijn onder
andere de volgende onderwerpen beschreven:
o Welke persoonsgegevens er bij WIM arbo – mkb worden vastgelegd (hoofdstuk 5),
o Hoe WIM arbo – mkb deze gegevens gebruikt (hoofdstuk 7)
o Dat je recht hebt op inzage in de persoonsgegevens (hoofdstuk 7)
o De bewaartermijn van medische gegevens: minimaal 20 jaar (hoofdstuk 8)
o De bewaartermijn van de (niet medische) persoonsgegevens: 2 tot 7 jaar
(hoofdstuk 8)
o Dat je gegevens soms kunt laten aanpassen of verwijderen (hoofdstuk 8)
o Hoe bij WIM arbo – mkb een klacht over privacy kan worden ingediend
(hoofdstuk 9)
o Wie de Functionaris Gegevensbescherming van WIM arbo – mkb is (hoofdstuk 10)

1. Begripsbepalingen
   1.1 Persoonsgegevens
   Een persoonsgegeven is een gegeven dat herleidbaar is tot een natuurlijke persoon
   en in welke vorm dan ook bewaard kan worden.
   1.2 Persoonsregistratie
   Een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd, of met
   het oog op een doeltreffende raadpleging van die gegevens is aangelegd. De
   gegevens zijn in het kader van de dienstverlening, gedurende het traject door de
   medewerkers van WIM arbo – mkb verzameld.
   1.3 Geregistreerde
   Een geregistreerde is degene waarover persoonsgegevens worden vastgelegd.
   1.4 Opdrachtgever
   De opdrachtgever is degene die de opdracht verstrekt waarvoor persoonsregistratie
   noodzakelijk is.
   1.5 Opdrachtnemer
   De opdrachtnemer is WIM arbo – mkb die de opdracht uitvoert of laat uitvoeren.
   1.6 Medewerker
   De medewerker is diegene die de persoonsgegevens vastlegt in dienst of in opdracht
   van opdrachtnemer c.q. opdrachtgever.
2. Reikwijdte
   2.1 Toepasselijkheid
   Dit privacyreglement is geldend voor alle medewerkers van opdrachtgever c.q.
   opdrachtnemer en cliënten.
3. Doel van de persoonsregistratie
   3.1 Hoofddoel
   Het registreren en beschikbaar hebben van gegevens met betrekking tot personalia,
   opleiding, werkervaring, werkbeleving en sociale activiteit, welke nodig zijn om te
   komen tot een succesvolle dienstverlening.
   3.2 Nevendoelen
   o Het vastleggen en beschikbaar stellen van gegevens ten behoeve van de
   opdrachtgever in het kader van zijn wettelijk dan wel privaatrechtelijk overeengekomen taakuitoefening.
   o Het financieel afhandelen van de geboden dienstverlening.
   o Het stimuleren van een permanente kwaliteitscontrole.
4. Bevoegdheden en verantwoordelijkheden ten aanzien van de
   persoonsregistratie
   4.1 Opdrachtgever en opdrachtnemer
   Zowel opdrachtgever als opdrachtnemer zijn verplicht de medewerker opdracht te
   geven dit reglement na te leven. De taken, rechten en verplichtingen van de
   medewerker worden schriftelijk vastgelegd.
   4.2 De medewerker
   De medewerker is verantwoordelijk voor het goed functioneren van de onder zijn /
   haar beheer staande faciliteiten. Hij / zij treft noodzakelijke maatregelen met
   betrekking tot de beveiliging van onder andere apparatuur, programmatuur en de
   gegevens waarmee de (persoons)registratie wordt gevoerd.
   4.3 Juistheid en volledigheid gegevens
   De medewerker treft de nodige voorzieningen ter bevordering van de juistheid en
   volledigheid van de opgenomen gegevens.
5. Opgenomen gegevens
   5.1 Persoonsregistratie
   De persoonsregistratie kan de volgende gegevenscategorieën bevatten.
   Personalia / adresgegevens / identificatiegegevens:
   o naam, adres, postcode, woonplaats, e-mailadres
   o geboortedatum
   o geslacht
   o telefoonnummer
   o bsn-nummer
   o burgerlijke staat
   o opleiding
   o werkervaring
   o werkbeleving
   o beschikbaarheid werkdagen / werkuren per week
   o ZW, WIA, WAJONG historie
   o beroep / functie
   o sociale situatie
   En verdere relevante gegevens die voor een goede dienstverlening aan cliënt
   noodzakelijk zijn.
6. Vertegenwoordiging
   6.1 Leeftijd
   Indien de geregistreerde de leeftijd van achttien jaar nog niet heeft bereikt en niet in
   staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake,
   treden de ouders die de ouderlijke macht uitoefenen dan wel de voogd in de plaats
   van de geregistreerde.
   Indien de geregistreerde in de leeftijdscategorie van twaalf tot zestien jaar valt en in
   staat is tot een redelijke waardering van zijn belangen, treden naast de persoon zelf
   diens ouders op.
7. Rechten van geregistreerden en gebruik van persoonsgegevens
   7.1 Registratie en reglement
   De medewerker zal door middel van een algemene kennisgeving het bestaan van de
   registratie en van dit reglement vermelden, alsmede daarin aangeven op welke wijze
   het reglement kan worden ingezien en verkregen en nadere informatie ter zake kan
   worden ingewonnen.
   7.2 Machtiging
   Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift is voor de verstrekking van persoonsgegevens aan derden schriftelijke toestemming van de
   geregistreerde vereist.
   Van de geregistreerde wordt verwacht dat hij actief zal meewerken aan zijn reintegratie om het herstel bevorderen. Het de bedrijfsarts onthouden van een
   machtiging hindert hem in ernstige mate in het bepalen van de belastbaarheid en
   kan worden uitgelegd als het niet actief meewerken aan re-integratie.
   De geldigheid van de machtiging eindigt met het afsluiten van het dossier. Het
   intrekken van een eerder verstrekte machtiging geschiedt middels een schriftelijke
   kennisgeving aan het medisch secretariaat van WIM arbo – mkb
   (medisch@wimarbo.nl).
   7.3 Intern gebruik
   Binnen de organisatie kunnen, zonder toestemming van de geregistreerde,
   persoonsgegevens worden verstrekt voor zover voor hun taakuitoefening noodzakelijk,
   aan degenen die rechtstreeks betrokken zijn bij de actuele dienstverlening, tenzij de
   geregistreerde kenbaar heeft gemaakt daartegen bezwaar te hebben.
   7.4 Extern gebruik
   Buiten de organisatie kunnen, zonder toestemming van de geregistreerde, persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan
   degenen die rechtstreeks betrokken zijn bij de actuele dienstverlening, tenzij de
   geregistreerde kenbaar heeft gemaakt daartegen bezwaar te hebben.
   7.5 Geanonimiseerd
   Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet tot de
   individuele persoon herleidbaar zijn, kan de medewerker beslissen deze te verstrekken
   ten behoeve van wetenschappelijk onderzoek en statistiek
   7.6 Geautomatiseerde besluitvorming
   WIM arbo – mkb maakt geen gebruik van artificiële Intelligentie en past geen
   geautomatiseerde besluitvorming toe.
   7.7 Toegang
   Onverminderd eventuele wettelijke voorschriften ter zake, hebben slechts toegang tot
   de persoonsgegevens de medewerker die deze gegevens heeft verzameld of diens
   waarnemer, de opdrachtgever c.q. opdrachtnemer voor zover dit noodzakelijk is voor
   voortgang en controle van de werkzaamheden.
   7.8 Inzage
   De geregistreerde heeft het recht kennis te nemen van de op zijn persoon betrekking
   hebbende geregistreerde gegevens. Vooralsnog kan inzage worden verkregen door
   een verzoek daartoe schriftelijk te sturen aan medisch@wimarbo.nl De gevraagde
   inzage en / of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen
   vier weken aan geregistreerde worden toegestaan c.q. worden toegezonden. De
   medewerker draagt zorg voor een deugdelijke vaststelling van de identiteit van de
   geregistreerde.
   7.9 Verstrekking, beperking en onkostenvergoeding
   Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige
   belangen van anderen dan de verzoeker, de opdrachtgever en WIM arbo – mkb
   daaronder begrepen. Voor de verstrekking van een afschrift mag een redelijke
   vergoeding in rekening worden gebracht.
8. Aanvulling, correctie of vernietiging van opgenomen
   persoonsgegevens
   8.1 Verzoek tot aanpassing
   Indien de in de registratie opgenomen gegevens feitelijk onjuist zijn, voor het doel van
   de registratie onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk
   voorschrift in de registratie voorkomen, kan de geregistreerde schriftelijk aan de
   privacy officer van WIM arbo – mkb verzoeken om aanvulling van de gegevens met
   een door de geregistreerde afgegeven verklaring, dan wel om correctie van op hem
   betrekking hebbende gegevens, of om vernietiging van tot zijn persoon herleidbare
   gegevens. Een verzoek daartoe kan schriftelijk worden gericht aan
   medisch@wimarbo.nl
   8.2 Honorering van aanpassing
   De privacy officer van WIM arbo – mkb deelt haar beslissing binnen vier weken na ontvangst van het schriftelijk verzoek tot aanvulling, correctie of vernietiging schriftelijk
   aan de geregistreerde mee. Een (gedeeltelijke) weigering is met redenen omkleed.
   8.3 Uitvoering van aanpassing
   De medewerker draagt zorg dat een beslissing tot aanvulling, correctie zo spoedig
   mogelijk, doch binnen 14 dagen nadat de beslissing schriftelijk aan de geregistreerde
   is meegedeeld, wordt uitgevoerd.
   8.4 Vernietiging
   De medewerker vernietigt, na overleg met de opdrachtgever, de gegevens binnen
   dertien weken na een daartoe strekkend verzoek van de geregistreerde, tenzij
   redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een
   ander dan de geregistreerde, alsmede voor zover bewaring op grond van een
   wettelijk voorschrift vereist is.
   8.5 Bewaartermijn en verwijdering
   De bedrijfsarts dient medische dossiers gedurende minimaal 20 jaar te bewaren en
   beheren. Bij blootstelling aan gevaarlijke stoffen op het werk kan deze periode
   oplopen tot 40 jaar. Deze bewaarverplichting voert WIM arbo – mkb uit namens zijn
   artsen.
   Werknemers maar ook ex-werknemers kunnen tijdens deze bewaartermijn een verzoek
   indienen voor inzage, correctie en vernietiging. Als de bedrijfsarts van WIM arbo – mkb
   besluit het verzoek om correctie of vernietiging niet te honoreren, dan wordt het
   verzoek of commentaar van de werknemer of ex-werknemer aan het dossier
   toegevoegd samen met de motivering van de arts.
   Uitgangspunt blijft dat persoonsgegevens bewaard dienen te worden zolang dat
   noodzakelijk is. Zodra er geen noodzaak meer is worden ze vernietigd. Voor
   administratieve verzuimgegevens geldt bovendien een bewaartermijn van maximaal
   2 jaar na het sluiten van het dossier. Alleen in bijzondere gevallen kan hierop een
   uitzondering van toepassing zijn.
   8.6 Aanhouden van gegevens
   Vernietiging blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de
   bewaring van aanmerkelijk belang is voor een ander dan de geregistreerde, alsmede
   bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de
   geregistreerde en de medewerker overeenstemming bestaat. Voor bijvoorbeeld een
   factuuradministratie is een bewaartermijn van 7 jaar vereist.
   8.7 Geanonimiseerde gegevens bewaren
   Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele
   personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard
   blijven.
9. Klachten
   9.1 Adressering
   Indien de geregistreerde van mening is dat de bepalingen van dit reglement niet
   worden nageleefd of andere reden heeft tot klagen, dient hij zich conform
   klachtenprocedure schriftelijk te wenden tot het hoofd kwaliteitszorg van WIM arbo –
   mkb. Deze is bereikbaar op kwaliteit@wimarbo.nl. Het hoofd kwaliteitszorg zal de
   klachtafhandeling procedureel volgen, de privacy officer van WIM arbo – mkb in
   kennis stellen van de klacht en een klachtenbehandelaar toewijzen. Zie hiervoor de
   klachtenprocedure op de website van WIM arbo.
   9.2 Hoor, wederhoor en beslissing
   De klachtbehandelaar van WIM arbo – mkb zal in overleg met de opdrachtgever, de
   geregistreerde en de privacy officer van WIM arbo – mkb horen. Dit kan zowel
   mondeling als schriftelijk gebeuren. Binnen vier weken nadat beide partijen hun
   standpunt uiteen hebben kunnen zetten zal de bestuurder van WIM arbo – mkb in
   samenspraak met de opdrachtgever inzake de klacht beslissen.
   9.3 Functionaris Gegevensbescherming en Autoriteit Persoonsgegevens
   Indien dit voor de geregistreerde niet leidt tot een voor hem acceptabel resultaat,
   heeft de geregistreerde de volgende mogelijkheden. De geregistreerde kan zich tot
   de Functionaris voor Gegevensbescherming (deel 10 van dit reglement) wenden met
   het verzoek te bemiddelen of te adviseren. Dit dient te geschieden binnen een termijn
   van acht weken na ontvangst van het antwoord van de klachtenbehandelaar of,
   indien de klachtenbehandelaar niet binnen de gestelde termijn heeft geantwoord,
   binnen acht weken na afloop van die termijn. Een en ander laat onverlet de
   mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
10. Functionaris voor Gegevensbescherming (FG)
    10.1 Functionaris voor Gegevensbescherming (FG)
    De Functionaris Gegevensbescherming wordt ingezet bij, of geeft advies over, de
    afhandeling van een datalek of bemiddeling van klachten van opdrachtgevers en
    hun medewerkers (m.b.t de verwerking en registratie van persoonsgegevens) of de
    landelijke toezichthouder.
    WIM arbo – mkb heeft een Functionaris Gegevensbescherming (FG) aangesteld. De FG
    is een onafhankelijke functionaris, die WIM arbo – mkb deskundig adviseert en
    ondersteunt op het gebied van privacy. Ook houdt de Functionaris
    Gegevensbescherming toezicht op de toepassing, naleving en de uitvoering van de
    Algemene Verordening Gegevensbescherming (AVG) en alle andere toepasselijke
    privacyregelingen binnen WIM arbo- mkb. De FG is als zodanig aangemeld bij de
    Autoriteit Persoonsgegevens (AP).
    10.2 De Functionaris Gegevensbescherming van WIM arbo – mkb
    Als onafhankelijke en externe FG voor WIM arbo is mr. J. (Jan) Bosma van Privacy
    Managment Partners te Utrecht aangesteld. Mr. Bosma is jurist en beschikt over
    uitgebreide kennis over privacyvraagstukken en privacybeleid binnen de juridische en
    ethische kaders. Hij heeft ervaring met adviseren op diverse niveaus in verschillende
    organisaties en heeft zich gespecialiseerd in het wettelijk kader rond
    gegevensuitwisseling in de zorg (WGBO, Wabvpz, NEN7510-NEN7512).
    10.3 Contact met mr. Bosma
    De heer Bosma is te bereiken via fg@pmpartners.nl.
11. Overgangs- en slotbepalingen
    11.1 Geldigheid
    Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende
    de gehele looptijd van de registratie(s).
    11.2 Wijzigingen
    Wijzigingen van dit reglement worden aangebracht door de bestuurder van WIM arbo

• mkb.
  11.3 Inwerkingtreding
  Dit reglement is per 1 februari 2024 in werking getreden en in te zien.
  WIM arbo – mkb
  Postbus 29, 3970 AA Driebergen
  Telefoon: 030 30 77 280
  Email: info@wimarbo.nl
  www.wimarbo.nl