Privacyreglement Drent Medisch Advies

 

Overwegingen

Artikel 1 Overwegingen

1. Drent Medisch Advies, en de aan haar gelieerde ondernemingen verwerken in het kader van hun bedrijfsvoering persoonsgegevens en vinden het belangrijk dat met persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld.

2. De Wet bescherming persoonsgegevens beoogt waarborging te verschaffen ter bescherming van de persoonlijke levenssfeer van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

3. Dit privacyreglement beoogt:

a. richtlijnen te geven aan Drent Medisch Advies voor de omgang met persoonsgegevens;

b. informatie te verschaffen aan personen van wie persoonsgegevens door Drent Medisch Advies verwerkt (zullen) worden; en

c. bij te dragen aan de transparantie van de regels die door Drent Medisch Advies worden gehanteerd met betrekking tot het verwerken van persoonsgegevens.

 

Algemeen

Artikel 2 Begripsbepalingen

Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de Wet bescherming persoonsgegevens daaraan toekent.

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

2. Gezondheidsgegevens: elk persoonsgegeven die direct of indirect de geestelijke of lichamelijke gezondheid van een persoon betreft.

3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

4. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.

5. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.

6. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

7. Gebruiker: enig persoon die, onder het gezag van de verantwoordelijke, gemachtigd is persoonsgegevens te verwerken.

8. Beheerder: degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.

9. Betrokkene: degene op wie het persoonsgegeven betrekking heeft.

10. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de beheerder of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is persoonsgegevens te verwerken.

11. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.

12. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

13. College: het College Bescherming Persoonsgegevens.

 

Artikel 3 Toepassingsgebied

1. Dit reglement is van toepassing op elke, al dan niet (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens door of onder het gezag van de verantwoordelijke. De verantwoordelijke in de zin van dit reglement is Drent Medisch Advies;

2. Verwerking van persoonsgegevens in de hoedanigheid van werkgever valt buiten de reikwijdte van dit reglement.

 

Artikel 4 Doel van de verwerking van persoonsgegevens

Drent Medisch Advies verwerkt persoonsgegevens ten behoeve van:

a. verzuimadministratie voor bedrijven die daartoe met de verantwoordelijke direct of indirect een overeenkomst hebben gesloten;

b. begeleiding bij ziekteverzuim van (ex)werknemers van bedrijven die daartoe met de verantwoordelijke direct of indirect een overeenkomst hebben gesloten;

c. de re-integratie van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid;

d. preventieve advisering aan en begeleiding van werknemers van bedrijven die daartoe met de verantwoordelijke direct of indirect een overeenkomst hebben gesloten;

e. medische advisering bij bezwaar- en beroepszaken in de sociale en particuliere verzekeringssectoren (UWV, particuliere verzekeraars) en bij letselschade;

f. medische keuringen, zoals voor het cbr.

 

Artikel 5 Verantwoordelijkheden

1. De verantwoordelijke is verantwoordelijk voor het bepalen van het doel, de inhoud en het gebruik van de verwerking van persoonsgegevens en voor de naleving van de bepalingen in dit reglement.

2. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn.

3. De verantwoordelijke dient zijn medewerkers besef bij te brengen van de verantwoordelijkheden bij de verwerking van persoonsgegevens.

 

Artikel 6 Voorwaarden voor verwerking

1. De verantwoordelijke draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.

2. Persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.

3. Persoonsgegevens worden verwerkt voor de in artikel 4 beschreven doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.

4. Persoonsgegevens worden verwerkt indien:

a. betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, of;

b. de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van de overeenkomst waarin betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of;

c. de verwerking van persoonsgegevens noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is, of;

d. de verwerking van persoonsgegevens noodzakelijk is ter vrijwaring van een vitaal belang van betrokkene, of;

e. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

5. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden beschreven in artikel 4, toereikend, ter zake dienend en niet bovenmatig zijn.

6. De verantwoordelijke, en een ieder die handelt onder het gezag van de verantwoordelijke, is verplicht tot geheimhouding van de persoonsgegevens waarvan hij kennis neemt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak mededeling voortvloeit.

7. De verantwoordelijke verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging.

8. Het vorige lid vindt geen toepassing voor zover:

a. dit noodzakelijk is in aanvulling op de verwerking van gezondheidsgegevens met het oog op een goede behandeling of verzorging van betrokkene, of;

b. dit geschiedt met de schriftelijke toestemming van betrokkene, of;

c. de gegevens door betrokkene duidelijk openbaar zijn gemaakt, of;

d. dit noodzakelijk is voor de vaststelling, de uitoefening of verdediging van een recht in rechte, of;

e. dit noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt, of;

f. dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende maatregelen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan

wel het College ontheffing heeft verleend. Het College kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.

9. Persoonsgegevens als bedoeld in lid 7 mogen worden verwerkt ten behoeve van wetenschappelijk onderzoek of statistiek voor zover:

a. het onderzoek een algemeen belang dient;

b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;

c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en;

d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

10. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

 

Artikel 7 Verwerkte gegevens en wijze van verkrijging

1. Persoonsgegevens die door de verantwoordelijke worden verwerkt, zijn verzameld door de medewerkers van de verantwoordelijke of door de verantwoordelijke zelf en zijn uitsluitend afkomstig van betrokkene, de werkgever van betrokkene of instanties of personen die bij de uitvoering van het in artikel 4 genoemde doel een taak hebben of anderszins verplicht of schriftelijke gemachtigd zijn gegevens te verstrekken.

2. Vastlegging van (medische) persoonsgegevens in verband met ziekteverzuim en re-integratie geschiedt op basis van de KNMG-code 'Gegevensverkeer en samenwerking bij arbeidsverzuim en reïntegratie (2007)'.

 

Artikel 8 Toegang tot persoonsgegevens

1. Alleen die medewerkers van de verantwoordelijke hebben toegang tot persoonsgegevens voor zover dat noodzakelijk is voor een goede uitoefening van hun taken.

2. Derden die door de verantwoordelijke zijn ingehuurd of anderszins zijn aangesteld om werkzaamheden te verrichten, hebben toegang tot persoonsgegevens voor zover dit noodzakelijk is voor een goede uitoefening van hun taken en zijn contractueel tot geheimhouding verplicht.

3. Autorisatie voor toegang tot persoonsgegevens wordt schriftelijk verleend door een lid van de directie. Afgegeven autorisaties worden beheerd door de verantwoordelijke of indien van toepassing door de afdeling applicatiebeheer.

4. Elektronische (medische)persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens.

5. Papieren dossiers met (medische) persoonsgegevens zijn in afsluitbare kasten opgeborgen en slechts toegankelijk voor de medewerker(s) van de verantwoordelijke die het betreffende dossier in behandeling hebben.

 

Artikel 9 Verstrekking van gegevens aan derden

1. Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een situatie betreft als genoemd in lid 2 en 3, is voor de verstrekking van persoonsgegevens aan derden de schriftelijke goedkeuring van betrokkene vereist.

2. Binnen de organisatie van de verantwoordelijke kunnen zonder de toestemming van betrokkene persoonsgegevens worden verstrekt, indien en voor zover dit noodzakelijk is voor een juiste uitoefening van taken, aan:

a. medewerkers van de verantwoordelijke die rechtstreeks betrokken zijn bij de actuele begeleiding van of advisering over de betrokkene dan wel op andere wijze rechtstreeks betrokken zijn bij de uitvoering van een concrete opdracht van de opdrachtgever;

b. personen die belast zijn met de directe vakinhoudelijke begeleiding van de betrokkene of personen die betrokken zijn bij de behandeling van klachten van de betrokkene;

c. de verantwoordelijke, voor zover noodzakelijk voor een juiste uitvoering van zijn taak als verantwoordelijke.

3. Buiten de organisatie van de verantwoordelijke kunnen zonder de toestemming van de betrokkene persoonsgegevens worden verstrekt, indien en voor zover dit voor een juiste uitoefening van taken noodzakelijk is, aan:

a. de werkgever van betrokkene in geval van verzuimbegeleiding, mits het slechts de volgende gegevens bevat:

 

i. de werkzaamheden waartoe de werknemer nog wel of niet meer in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort arbeid dat de werknemer nog kan verrichten);

ii. de verwachte duur van het verzuim;

iii. de mate van arbeidsongeschiktheid;

iv. de eventuele aanpassingen of werkvoorzieningen die de werkgever in het kader van de re-integratie moet treffen.

b. het uitvoeringsinstituut werknemersverzekeringen (UWV).

c. verzekeringsmaatschappijen in het kader van de verzekering van uitkeringen bij arbeidsongeschiktheid en het vaststellen van reserveringen op uitkeringen, mits het slechts de volgende gegevens bevat:

i. naam;

ii. datum van de eerste dag van het verzuim;

iii. percentage van arbeidsongeschiktheid;

iv. datum van herstel;

v. vangnetstatus en eventueel regresrecht.

d. re-integratiebedrijven, mits het slechts de volgende gegevens bevat:

i. naam, adres, woonplaats, geboortedatum en het burgerservicenummer;

ii. arbeidsongeschiktheidsgegevens (datum aanvang verzuim, verwachte hersteldatum zonder en met interventie, mate van arbeidsongeschiktheid);

iii. visie van de arbodienst of het UWV op de te re-integreren werknemer (zoals beperkingen ten aanzien van de te verrichten arbeid, potentiële mogelijkheden voor werkhervatting, wens van de werknemer, financiële gegevens/inkomensniveau, planningstraject van de re-integratie).

e. instituten ten behoeve van wetenschappelijke of statistische doeleinden indien en voor zover deze persoonsgegevens niet meer herleidbaar tot betrokkene zijn.

 

Rechten van betrokkenen

 

Artikel 10 Informatieverstrekking aan betrokkene

1. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede.

2. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

3. De mededeling van eerste opname kan achterwege blijven wanneer betrokkene reeds op de hoogte is van de gegevensverwerking.

 

Artikel 11 Recht op inzage en afschrift

1. De betrokkene, zijn wettelijke vertegenwoordiger dan wel een door hem schriftelijk daartoe gemachtigde heeft recht op inzage en afschrift van de op zijn persoon betrekking hebbende gegevens, alsmede recht op inzage en afschrift van de verstrekking van gegevens uit de registratie aan derden. De betrokkene dient hiertoe een schriftelijk verzoek bij de verantwoordelijke in te dienen.

2. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. De gevraagde gegevens worden niet eerder verstrekt dan nadat, naar het oordeel van de verantwoordelijke, voldoende vaststaat dat degene die de gegevens vraagt, de betrokkene, zijn wettelijke vertegenwoordiger of zijn gemachtigde is. Dit dient plaats te vinden middels deugdelijke legitimatie.

3. Inzage en afschrift kan worden genomen van alle zich in het dossier bevindende bescheiden, met uitzondering van gegevens waarbij gewichtige belangen van anderen dan betrokkene, de verantwoordelijke daaronder begrepen, zich tegen inzage verzetten.

4. Voor de verstrekking van afschriften mag een wettelijk vastgestelde kostenvergoeding in rekening gebracht worden (Besluit kostenvergoeding rechten betrokkene Wbp, Stb. 2001, 305).

 

Artikel 12 Aanvulling, correctie, vernietiging of afscherming van gegevens

1. Het is betrokkene toegestaan de verantwoordelijke te verzoeken persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.

2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij aan het verzoek zal voldoen. Een weigering is met redenen omkleed.

3. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

4. Persoonsgegevens zullen niet worden vernietigd indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien een wettelijke plicht tot bewaring hieraan in de weg staat. Voor onderstaande gegevens is een wettelijke bewaartermijn vastgesteld:

a. BSN – tot 5 jaar na uitdiensttreding/herstelmelding

b. Medisch dossier – tot 15 jaar na uitdiensttreding/herstelmelding, tenzij sprake van beroepsziekte

c. Aanstellingskeuringsdossier – tot 6 maanden na uitdiensttreding/herstelmelding

Voor de volgende gegevens heeft Drent Medisch Advies zelf een bewaartermijn opgesteld.

a. NAW gegevens – tot 15 jaar na einde re-integratie dossier/herstelmelding

b. E-mail adres/telefoonnummer - tot 15 jaar na einde re-integratie dossier/herstelmelding

c. Inkomensgegevens - tot 5 jaar na einde re-integratie dossier/herstelmelding

d. Documenten WVP/re-integratiedossier - tot 5 jaar na einde re-integratie dossier/herstelmelding

e. Loonspecificatie/ziektewetuitkering - tot 5 jaar na einde re-integratie dossier/herstelmelding

f. Administratieve verzuimgegevens - tot 5 jaar na einde re-integratie dossier/herstelmelding

5. Indien een verzoek tot aanvulling, correctie, vernietiging of afscherming van gegevens is gehonoreerd, stelt de verantwoordelijke derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk in kennis van de aanvulling, correctie, afscherming of vernietiging, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. Minimaal zal de verantwoordelijke de betrokkenen informeren over welke derden bovenstaand betreft.

 

Artikel 13 Recht op verzet

1. Indien gegevens het voorwerp zijn van verwerking op grond van artikel 6, lid 4, onder e kan de betrokkene daartegen bij de verantwoordelijke te allen tijde verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.

2. De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is beëindigt hij terstond de verwerking.

3. De verantwoordelijke mag voor het in behandeling nemen van verzet een kostenvergoeding vragen (Besluit kostenvergoeding rechten betrokkene Wbp, Stb. 2001, 305).

 

Artikel 14 Rechtbank en College

1. Indien een beslissing als bedoeld in de artikelen 10,11 en 12 is genomen, kan een belanghebbende zich tot de rechtbank wenden met een schriftelijk verzoek, de verantwoordelijke te bevelen alsnog een verzoek als bedoeld in de artikelen 10 en 11 toe of af te wijzen dan wel een verzet als bedoeld in artikel 12 al dan niet te honoreren.

2. Het verzoekschrift moet worden ingediend binnen zes weken na ontvangst van het antwoord van de verantwoordelijke. Indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, moet het verzoekschrift worden ingediend binnen zes weken na afloop van die termijn.

3. De belanghebbende kan zich ook binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht, dan wel die, bedoeld in lid 2, tot het College wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke.

 

Organisatorische verplichtingen

 

Artikel 15 Klachten

1. Indien een betrokkene of belanghebbende van mening is dat de verantwoordelijke in strijd handelt met het bepaalde in dit privacyreglement, kan bij de verantwoordelijke schriftelijk een met redenen omklede klacht worden ingediend.

2. Ingediende klachten worden door de verantwoordelijke afgehandeld volgens de klachtenprocedure waarvoor we zijn aangesloten bij de ZFB (www.bedrijfsartsen.net).

3. Op grond van de in het vorige lid genoemde klachtenprocedure wordt door of onder het gezag van de verantwoordelijke een met redenen omklede beslissing genomen over de klacht. De beslissing wordt aan de betreffende betrokkene of belanghebbende toegezonden.

4. De beslissing is zodanig geformuleerd dat ten aanzien daarvan beroep op het College of de rechter mogelijk is.

 

Artikel 16 Beveiliging van gegevens

De verantwoordelijke treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

 

Artikel 17 Inwerkingtreding, looptijd en wijziging van het reglement

1. Dit reglement treedt in werking op 1 januari 2017.

2. Behoudens wettelijke bepalingen is dit reglement van kracht zolang artikel 3 van toepassing is, met inachtneming van het volgende lid.

3. Wijzigingen van dit reglement worden aangebracht door of onder het gezag van de verantwoordelijke. De wijzigingen in dit reglement worden van kracht een maand na bekendmaking ervan.