PRIVACYREGLEMENT BLINK ADVIES BV

Versie 25 mei 2018

Blink Advies BV
Minervum 7164
4817 ZN Breda
T: 076 587 9600
info@blinkadvies.nl
www.blinkadvies.nl

Inhoud

VOORWOORD.. 3

Hoofdstuk 1     Algemene bepalingen. 4

Artikel 1       Toepassingsgebied. 4

Artikel 2       Doel 4

Artikel 3       Begrippen. 4

Hoofdstuk 2     Uitgangspunten. 5

Artikel 4.      Verantwoordelijkheden. 5

Artikel 5.      Verwerking van gegevens. 5

Hoofdstuk 3     Beveiliging van gegevens. 6

Artikel 6.      Beveiliging van gegevens. 6

Artikel 7.      Wijze van verkrijging Persoonsgegevens. 7

Artikel 8.      Bewaartermijn. 7

Artikel 9.      Verstrekken van gegevens aan Derden. 7

Hoofdstuk 4     Privacyrechten. 8

Artikel 10.        Recht op informatie. 8

Artikel 11     Recht op inzage. 8

Artikel 12     Recht op correctie. 8

Artikel 13     Recht op verwijdering. 8

Artikel 14     Recht op dataportabiliteit 9

Artikel 15     Uitoefening van privacyrechten. 9

Hoofdstuk 5     Borging. 9

Artikel 16     Klachtenprocedure. 9

Artikel 17     Toetsing privacyreglement 9

Artikel 18     Aanpassing en publicatie privacyreglement 9

VOORWOORD

Blink Advies is een veelgevraagde dienstverlener op het gebied van verzuimbegeleiding, re-integratie, arbeidsomstandigheden en vitalisering. Zij stelt haar expertise beschikbaar voor deskundigheidsbevordering. Binnen deze dienstverlening is de verwerking van privacygevoelige gegevens van werknemers die bij onze klanten in dienst zijn en van deelnemers aan trainingen, onvermijdelijk. Blink Advies is zich terdege bewust van de kwetsbaarheid van deze werknemers. Zij hecht bijzonder veel waarde aan een zorgvuldige en veilige omgang met hun Persoonsgegevens.

De aandacht die Blink Advies heeft voor de omgang met Persoonsgegevens is in lijn met de eisen die voortvloeien uit de Algemene Verordening Gegevensbescherming. Deze verordening is sinds mei 2018 van kracht. Uitgangspunten ervan hebben onder meer betrekking op rechtmatigheid, redelijkheid en transparantie, opslagbeperking en verantwoordingsplicht. Hoe Blink Advies aan deze principes uitvoering geeft, heeft zij beschreven in dit vernieuwde Privacyreglement.

Wilt u weten hoe wij ons reglement in de praktijk waarmaken? Neem dan contact met ons op. Wij lichten het reglement graag aan u toe.
R. Blok

Directeur

Hoofdstuk 1  Algemene bepalingen

Artikel 1   Toepassingsgebied

Dit reglement is van toepassing op iedere geheel of gedeeltelijke geautomatiseerde verwerking, alsmede op de verwerking van Persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Artikel 2   Doel

2.1            Voor de correcte uitvoering van de dienstverlening verwerkt Blink Advies Persoonsgegevens. Tot de Persoonsgegevens die zij verwerkt, behoren Gezondheidsgegevens.

2.2            De registratie van Persoonsgegevens vindt alleen plaats als dit noodzakelijk is voor de uitvoering van de door opdrachtgever aan Verwerkingsverantwoordelijke opgedragen taken. 

2.3            Verwerkingsverantwoordelijke verwerkt geen Persoonsgegevens voor andere, dan de in artikel 5 genoemde doeleinden. Verwerking vindt alleen plaats in overeenstemming met de bepalingen van dit reglement.

Artikel 3   Begrippen

In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.

Betrokkene:

Degene op wie een Persoonsgegeven betrekking heeft dan wel diens wettelijk vertegenwoordiger.

 

Verwerker:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

 

Sub-verwerker:

Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

 

Verwerkingsverantwoordelijke / Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. Tenzij anders bepaald wordt in dit reglement de Verwerkingsverantwoordelijke / Verantwoordelijke aangeduid als Blink Advies.

 

Bijzondere Persoonsgegevens:

Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

 

Gezondheidsgegevens

Bijzondere Persoonsgegevens die betrekking hebben op de gezondheid van Betrokkene.

 

Datalek / Inbreuk in verband met Persoonsgegevens:

Een Inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.

 

Derden:

Anderen dan U en Wij en Onze Medewerkers.

 

Meldplicht Datalekken:

De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

 

Medewerkers

Personen die werkzaam zijn bij Blink Advies, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

 

Persoonsgegevens:

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. 

 

Persoonsgegevens van

gevoelige aard

Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van Persoonsgegevens moeten in ieder geval worden gerekend:

•         Bijzondere Persoonsgegevens

•         Gegevens over de financiële of economische situatie van de Betrokkene

•         (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene

•         Gebruikersnamen, wachtwoorden en andere inloggegevens

•         Gegevens die kunnen worden misbruikt voor (identiteits)fraude.

 

AVG

Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wbp per 25 mei 2018.

Hoofdstuk 2 Uitgangspunten

Artikel 4. Verantwoordelijkheden

4.1            Blink Advies is verantwoordelijk voor het nakomen van de bepalingen in dit reglement.

Artikel 5.  Verwerking van gegevens

5.1          Blink Advies zorgt ervoor dat Persoonsgegevens worden Verwerkt in overeenstemming met de wetgeving. Voor Verwerking relevante wetgeving betreft onder meer de Wet verbetering poortwachter (WVP), Wet werk en inkomen naar arbeidsvermogen (WIA), Ziektewet, Wet beperking ziekteverzuim en arbeidsongeschiktheid vangnetters (BeZaVa), de Arbeidsomstandighedenwet, de Wet geneeskundige behandelovereenkomst en fiscale wetgeving.

5.2          Blink Advies verwerkt alleen Persoonsgegevens die noodzakelijk zijn voor een correcte uitvoering van de dienstverlening. Verwerking vindt alleen plaats indien:

  1. betrokkene toestemming gaf voor de verwerking van Persoonsgegevens voor specifieke doeleinden,
  2. de verwerking noodzakelijk is voor het kunnen uitvoeren van de dienstverlening,
  3. de verwerking noodzakelijk is om aan een wettelijke verplichting te kunnen voldoen en/of
  4. verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskundige aard en voor de beoordeling van arbeidsgeschiktheid van de werknemer.

5.3       In de Persoonsregistratie worden geen andere Persoonsgegevens opgenomen dan:

  1. personalia zoals naam, adres, contactgegevens, geslacht, geboortedatum, BSN en contactgegevens;
  2. gegevens die betrekking hebben op de arbeidsovereenkomst zoals de naam, het adres en contactgegevens van de werkgever, soort en omvang van het dienstverband en de functie van Betrokkene;
  3. gegevens over belasting en belastbaarheid zoals die voortvloeien uit ziekmelding(en), probleemanalyses, plannen van aanpak en rapportages van andere (zorg-)professionals;
  4. gegevens die voortvloeien uit periodiek arbeidsgeneeskundig onderzoek en periodiek medisch onderzoek;
  5. gezondheidsgegevens zoals verstrekt door bedrijfsartsen of degenen die werkzaam zijn in opdracht van / onder de verlengde arm van de bedrijfsarts.

Hoofdstuk 3 Beveiliging van gegevens

Artikel 6.  Beveiliging van gegevens

6.1          De Persoonsregistratie wordt gebruikt binnen Blink Advies. Blink Advies neemt in zoverre dit redelijkerwijs van haar verwacht mag worden technische en organisatorische maatregelen om te voorkomen dat bij de Verwerking ervan Persoonsgegevens ten onrechte beschikbaar komen van onbevoegden, door onbevoegden worden gewijzigd of anderszins onrechtmatig worden verwerkt.

6.2          Tot de onder 6.1 bedoelde technische en organisatorische maatregelen behoren:

  1. het informeren van Medewerkers over de toepassing van dit privacyreglement;
  2. het opleggen van een geheimhoudingsverplichting aan Medewerkers en andere bij de uitvoering van de dienstverlening betrokken personen;
  3. het verwerken van Persoonsgegevens binnen een beveiligde omgeving;
  4. het dagelijks maken van een back-up en het bewaren daarvan op een (brand)veilige plaats om te verzekeren dat het eventuele verlies van Persoonsgegevens niet meer dan één (1) dag bedraagt;
  5. het autoriseren van Medewerkers die betrokken zijn bij de Verwerking van Persoonsgegevens. Voor verwerking van Gezondheidsgegevens namens de Bedrijfsarts vindt tevens autorisatie door de Bedrijfsarts plaats;
  6. het bijhouden van een lijst van geautoriseerde Medewerkers;
  7. toegangsbeveiling tot de voor de werkzaamheden relevante Persoonsgegevens zodat alleen geautoriseerde Medewerkers toegang kunnen verkrijgen. Toegangsbeveiliging vindt onder meer plaats als sprake is van betrokkenheid bij de dienstverlening door de Bedrijfsarts.

6.3       Tenzij Betrokkene hierom schriftelijk verzocht ontvangt diens werkgever geen op hem herleidbare informatie over diens bezoek aan het arbeidsomstandighedenspreekuur of deelname aan periodieke geneeskundige onderzoeken.

6.4       Tenzij Betrokkene hierom schriftelijk verzocht en/of dit voortvloeit uit wettelijke voorschriften, ontvangt een door werkgever ingeschakelde verzuimverzekeraar geen op Betrokkene herleidbare Gezondheidsgegevens en krijgt daarin geen inzage.

6.5       Verwerkingsverantwoordelijke heeft een verwerkingsregister opgesteld waarin is vermeld wat de aard van Persoonsgegevens is, met welk doel gegevens worden verwerkt, met wie gegevens worden gedeeld en wat de grondslag is voor verwerking van de gegevens.

6.6       Verwerkingsverantwoordelijke staat borg voor de beveiliging van de Persoonsregistratie. Om privacy risico’s in kaart te brengen voert zij periodiek een Data Protection Impact Assessment (DPIA)  dan wel Privacy Impact Assessment (PIA) uit.

Artikel 7. Wijze van verkrijging Persoonsgegevens

7.1          Verwerkingsverantwoordelijke registreert slechts gegevens afkomstig van:

  1. werknemer;
  2. diens werkgever;
  3. bedrijfsarts, arbeidsdeskundige, re-integratie-adviseur of andere door Verwerkingsverantwoordelijke ingeschakelde providers die bij de dienstverlening van werknemer betrokken zijn;
  4. UWV

Artikel 8.  Bewaartermijn

8.1       Verwerkingsverantwoordelijke bewaart de Persoonsgegevens niet langer dan voor het eerder omschreven doel noodzakelijk is. Hierbij worden wettelijke voorschriften in acht genomen. Indien de bewaartermijn verstreken is, worden de Persoonsgegevens na verstrijken van bewaartermijnen uit het bestand verwijderd.

Artikel 9.  Verstrekken van gegevens aan Derden

9.1       Blink Advies verstrekt slechts gegevens aan Derden voor zover dit:

  1. voortvloeit uit het doel van de registratie;
  2. is vereist ingevolge een wettelijke voorschrift;
  3. plaatsvindt met schriftelijke toestemming van de Betrokkene.

9.2       Persoonsgegevens worden alleen gedeeld met Derden waarmee Blink Advies een samenwerkingsovereenkomst heeft, voor zover dit past binnen het doel van de registratie en dit voor de taakuitoefening noodzakelijk is. Derden zijn in dit geval degenen, die rechtstreeks betrokken zijn bij de dienstverlening aan de werknemer of andere geregistreerde dan wel degenen wier taak het van overheidswege is de verleende dienstverlening te controleren.

9.3       Wanneer Persoonsgegevens door deze partijen in een ander systeem worden opgeslagen dan in het systeem van Blink Advies, is er voorzien is afdiende technische en organisatorische maatregelen tot de voor de werkzaamheden relevante Persoonsgegevens

Hoofdstuk 4 Privacyrechten

 

Artikel 10. Recht op informatie

10.1        Blink Advies informeert Betrokkenen tijdig over de verwerking van hun gegevens, onder verwijzing naar het privacyreglement dat zij hanteert. Voor zover andere doelen dan dienstverlening een doelstelling vormen van de registratie, heeft Blink Advies de plicht de geregistreerde of diens wettelijke vertegenwoordiger vooraf te informeren omtrent de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede de doeleinden die daarmee worden nagestreefd.

10.2        In afwijking van 10.1 wordt geen informatie verstrekt die:

  1. al verstrekt werd door Derden zoals door betrokken opdrachtgevers;
  2. strijdig is met zwaarwegende belangen;
  3. inbreuk maakt op rechten en vrijheden van anderen.

Artikel 11       Recht op inzage

11.1        Betrokkene heeft recht op inzage in de gegevens die over hem in de persoonsregistratie zijn opgenomen. Hiervoor dient een schriftelijk verzoek te worden gedaan en is identificatie vereist. Inzage wordt verleend volgens afspraak, in fysieke aanwezigheid van Betrokkene of digitaal. Aan een verzoek van Betrokkene wordt binnen een maand gevolg gegeven.

Artikel 12          Recht op correctie

12.1        Betrokkene kan bij Blink Advies en verzoek indienen tot rectificatie van zijn Persoonsgegevens als deze:

–    onjuist zijn;

–    onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;

–    op een andere manier in strijd met een wet worden gebruikt.

11.2        Rectificatie is niet bedoeld voor aanpassing van professionele indrukken, meningen en conclusies waarmee Betrokkene het niet eens is. In deze situaties staat Blink Advies toe dat geregistreerde zijn mening aan het dossier toevoegt.

Artikel 13       Recht op verwijdering        

13.1        Betrokkene kan Blink Advies verzoeken om verwijdering van diens Persoonsgegevens.

13.2        Blink Advies draagt desgewenst zorg voor de verwijdering van de Persoonsgegevens indien deze gegevens niet meer nodig zijn, toestemming voor het Verwerken ervan is ingetrokken, Verwerking onrechtmatig is of de wettelijke bewaartermijn is verlopen.

13.3        In plaats van verwijdering kan ook aan het verzoek voldaan worden door anonimisering van de gegevens zodat deze niet meer herleidbaar is tot personen.

13.4        Geen verwijdering vindt plaats indien verwerking van gegevens plaatsvindt op basis van een wettelijke verplichting, er sprake is van een rechtsvordering dan wel voor zover Blink Advies jegens opdrachtgever tot bewaring gehouden is.

Artikel 14       Recht op dataportabiliteit

14.1        Als Betrokkene daartoe een verzoek indient, draagt Blink Advies zorg voor verstrekking van digitaal verwerkte Persoonsgegevens aan geregistreerde of aan door hem aangewezen Derden. Het gaat om Persoonsgegevens die over geregistreerde zelf gaan en hijzelf ter beschikking stelde. De gegevens worden in overzichtelijke vorm verstrekt.

14.2        Overgedragen aan aangewezen Derden wordt alleen informatie die voor deze derde noodzakelijk en relevant is. Geen overdracht vindt plaats als dit strijdig is met wettelijke voorschriften.

Artikel 15       Uitoefening van privacyrechten

15.1        Verzoeken van Betrokkene om uitoefening van de onder de artikelen 9 t/m 13 bedoelde rechten worden schriftelijk ingediend en stellen Blink Advies in staat de verzoeker te identificeren.

15.2        Beantwoording van verzoeken vindt plaats binnen een maand. Als het niet mogelijk is om binnen deze termijn aan een verzoek te voldoen, geeft Blink Advies aan binnen welke termijn zij dit wel doet. Deze termijn bedraagt maximaal drie maanden.

15.3        Blink Advies voldoet niet aan een verzoek indien:

  1. de aanvraag niet voldoet aan de onder 14.1 genoemde vereisten;
  2. een verzoek ongegrond of buitensporig is. Blink Advies beargumenteert in dit geval zijn standpunt.

15.4        Tenzij dit redelijkerwijs niet van haar verwacht kan worden, berekent Blink Advies aan verzoeker geen kosten door.

Hoofdstuk 5        Borging

Artikel 16       Klachtenprocedure

16.1        Indien Betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij een klacht indienen bij Blink Advies.

16.2        Geregistreerde kan zich met een klacht ook richten tot de Autoriteit Persoonsgegevens (AP) met het verzoek te bemiddelen of te adviseren wanneer hij vindt dat er niet goed wordt omgegaan met zijn Persoonsgegevens.

Artikel 17       Toetsing privacyreglement

17.1        Jaarlijks vindt een audit plaats op naleving van de bepalingen van het privacyreglement.

Artikel 18       Aanpassing en publicatie privacyreglement

18.1        Het privacyreglement is openbaar. Publicatie vindt plaats op www.blinkadvies.nl/. Het reglement kan worden opgevraagd bij Blink Advies. 

18.2        Blink Advies behoudt zich het recht voor tot aanpassing van het privacyreglement. Wijzigingen worden direct doorgevoerd op de website van Blink Advies.

18.3        Voor zover andere doelen dan dienstverlening een doelstelling vormen van de registratie, heeft Blink Advies de plicht de geregistreerde of diens wettelijke vertegenwoordiger vooraf te informeren omtrent de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede de doeleinden die daarmee worden nagestreefd.

Dit reglement treedt in werking op 25 mei 2018.