Privacyreglement R/ Partners Voorwoord Omtrent de zieke werknemer worden veel persoonsgegevens verwerkt. Alleen al de strengere reïntegratieverplichting en de verdere uitbreiding van de loondoorbetalingsverplichting heeft de behoefte aan informatie doen toenemen. De terugtredende overheid en de daaruit voortkomende verschuiving van taken van het publieke naar het private domein hebben ertoe geleid dat veel meer partijen dan voorheen bij de verzuimbegeleiding, reïntegratie of loondoorbetaling van de zieke werknemer betrokken zijn. Deze betrokkenheid vergroot de behoefte aan persoonsgegevens van de zieke werknemer en de onderlinge uitwisseling van deze informatie. R/ Partners heeft voor het uitvoeren van haar werkzaamheden de beschikking over (persoons)gegevens van partners/klanten en over gegevens van werknemers zelf. In verband met de begeleiding van werknemers in het kader van de wet verbetering poortwachter en in verband met het regelen van interventies heeft R/ Partners ook de beschikking over medische gegevens. Voor de registratie en de doorgifte van persoons- en medische gegevens dient dit reglement. De arbodienst beschikt over adequate huisvesting en uitrusting voor de bescherming van de persoonlijke levenssfeer van de cliënten en de verzorgde medewerkers. Algemene bepalingen A. Wettelijk kader Het wettelijk kader voor de omgang met persoonsgegevens ligt in de eerste plaats in Artikel 10 van de Nederlandse Grondwet. Dit grondrecht wordt uitgewerkt in de Wet bescherming persoonsgegevens (WBP). De wet is gebaseerd op Europese Richtlijnen. De concrete uitwerking van dit Privacyreglement is gebaseerd op de richtlijn “Privacywetgeving en omgaan met patiëntgegevens” opgesteld door de KNMG. Omdat R/ Partners werkgevers ondersteunt bij de begeleiding van ziekteverzuim mag R/ Partners beschikken over persoonsgegevens, inclusief voor de begeleiding noodzakelijke informatie over de gezondheid. Aangezien R/ Partners interventies door hulpverleners regelt, mag R/ Partners ook gegevens over iemands gezondheid verwerken. Gezien de aard van de informatie is het noodzakelijk om: 1. De persoonsregistratie te melden bij het College Bescherming Persoonsgegevens (CBP). 2. Passende maatregelen te nemen ter waarborging van de geheimhouding en beveiliging van persoonsgegevens. 3. De rollen van betrokkenen in het bewerkingsproces vast te leggen. 4. Er voor te zorgen dat betrokkene op de hoogte kan zijn van het feit dat R/ Partners persoonsgegevens registreert en doorgeeft. ISO 9001 5. Periodiek te evalueren of voldaan wordt aan wettelijke eisen.
GECERTIFICEERD
R/ Partners in arbeid en gezondheid B.V.
Privacyreglement
B. 1. 2.
Functioneringseisen privacyreglement Medische informatie is slechts toegankelijk voor bedrijfsarts en secretaresses. Spreekuurrapportage, probleemanalyse en de FML moeten ook toegankelijk zijn voor medewerkers in niet-medisch vakgebied. Alle medewerkers van R/ Partners ondertekenen middels de arbeidsovereenkomst behorende bij de CAO Ziekenhuizen een geheimhoudingsverklaring die bewaard wordt in het personeelsdossier.
3.
Kenmerken van verwerking gegevens A. Verantwoordelijke persoonsregistratie De directeur R/ Partners is de eindverantwoordelijke voor de registratie van persoonsgegevens. De operations manager is operationeel verantwoordelijk en proceseigenaar voor de registratie van persoonsgegevens binnen de arbo-dienst. Het gaat om de volgende afzonderlijk bij CBP gemelde registraties: * Bedrijfsgeneeskundig archief * Spreekuur en melding * Arbo-registratie. De medewerkers die met deze systemen werken staan hiërarchisch gezien onder de directeur R/ Partners. B. Doel van de persoonsregistratie De doelen van de hierboven genoemde persoonsregistraties binnen R/ Partners zijn: 1. Het ondersteunen van werkgever en werknemers in het proces van verzuimbegeleiding en reïntegratie. 2. Het op verzoek houden van Arbeidsomstandigheden Spreekuur. 3. Het ondersteunen van de werkgever bij de administratieve verplichtingen middels het doorgeven van gegevens aan bijv. de UWV. 4. Het ondersteunen van de bedrijfsarts in het regelen van interventies. 5. Het geven van adviezen van meer structurele aard op basis van (statistische) analyses. C. Categorieën van personen over wie gegevens worden vastgelegd. Binnen R/ Partners worden ten hoogste persoonsgegevens vastgelegd betreffende de volgende categorieën van personen. • •
Medewerkers van klanten R/ Partners Personen die tot de voorgaande categorie hebben behoord
D. De soorten van gegevens die worden vastgelegd en bronnen R/ Partners legt drie soorten gegevens vast: • • •
persoonsgegevens verzuimgegevens medische gegevens (bijv. medische klachten, diagnose, gewenste medische interventie).
R/ Partners in arbeid en gezondheid B.V.
Privacyreglement
De gegevens worden elektronisch, schriftelijk, telefonisch of via persoonlijk contact verkregen. Specifieke bronnen kunnen zijn: • • • •
informatieverstrekking informatieverstrekking informatieverstrekking informatieverstrekking
door werkgevers door werknemer huisarts, specialist of andere hulpverlener door uitvoeringsinstellingen.
Rechten van betrokkenen A. Informatieplicht betrokkenen Aangezien de werkgever wettelijk verplicht is om verzuimgegevens door te geven aan de arbodienst en het UWV is er voor R/ Partners geen informatieplicht naar betrokkenen dat persoonsgegevens worden vastgelegd en doorgegeven. Werkgevers informeren hun werknemers dat R/ Partners persoonsgegevens vastlegt. In geval van het regelen van interventies is het de taak van de bedrijfsarts om de betrokkene schriftelijk toestemming te vragen om persoonsgegevens en medische gegevens door te geven aan de behandelaar. In alle overige gevallen stelt R/ Partners de betrokkene op de hoogte van het doorgeven van derden. In geval van medische gegevens is schriftelijke toestemming van betrokkene vooraf noodzakelijk. B. Inzage- en correctierecht Elke betrokkene heeft het recht kennis te nemen van de op hem betrekking hebbende persoonsgegevens, die door R/ Partners zijn vastgelegd en deze indien van toepassing te corrigeren. Een verzoek tot inzage- en/of correctie wordt gehonoreerd na een aan de directeur van R/ Partners gericht schriftelijk verzoek hiertoe. Indien een verzoek tot inzage door de directeur van R/ Partners wordt ontvangen dan zal deze het verzoek binnen 4 weken afhandelen. Hierbij zal bijvoorbeeld inzage worden gegeven in de geregistreerde persoonsgegevens, een omschrijving van het doel van de verwerking, de categorie verwerkingen waarvoor de gegevens gebruikt worden, de categorie van ontvangers van de gegevens of beschikbare informatie betreffende de herkomst van de gegevens. Indien het verzoek het doorvoeren van mutaties betreft, dienen door de betrokkene stukken te worden overlegd die de noodzaak van de mutatie aantonen. Binnen 4 weken zal door de directeur van R/ Partners aan de betrokkene worden bericht welke acties naar aanleiding van het schrijven zijn ondernomen, inclusief eventuele doorgifte van correcties aan derden. Indien niet op het verzoek kan worden ingegaan zal door de directeur van R/ Partners tevens de reden aan de betrokkene worden medegedeeld. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
R/ Partners in arbeid en gezondheid B.V.
Privacyreglement
Toegang tot persoonsgegevens en verstrekking aan derden. A.
Verstrekken van persoonsgegevens
Algemeen Door R/ Partners worden slechts gegevens verstrekt aan personen die als gevolg van hun taak die gegevens mogen ontvangen, met dien verstande dat een zodanige verstrekking slechts geschiedt voor doeleinden die met het doel van de verwerking verenigbaar zijn. In de overige gevallen is voor verstrekking van persoonsgegevens de schriftelijke toestemming van de betrokkene vereist. Dergelijke verstrekkingen van gegevens aan derden zullen worden geregistreerd in het dossier en op verzoek van de betrokkene inzichtelijk worden gemaakt. Richtlijn informatieverstrekking aan derden Als een medewerker van R/ Partners een verzoek krijgt van een derde om informatie aangaande een werknemer is de ‘richtlijn Informatieverstrekking aan derden’ van toepassing (zie bijlage 2). B.
Toegang tot persoonsgegevens
Wie heeft toegang? Slechts medewerkers van R/ Partners die als gevolg van hun taak daartoe gerechtigd zijn, hebben toegang tot de persoonsgegevens, met dien verstande dat deze bevoegdheid zich slechts uitstrekt tot het gebruik van de gegevens voor doeleinden die met het doel van de verwerking verenigbaar zijn. In bijlage 4 is de toegang vastgelegd. Richtlijn ‘Omgaan met persoonsgegevens op de werkplek’ Bij het uitvoeren van de dagelijkse werkzaamheden komen de meeste medewerkers in aanraking met persoonsgegevens van cliënten. Voor het omgaan met persoonsgegevens op de werkplek geldt de richtlijn ‘Omgaan met persoonsgegevens op de werkplek’ (bijlage 3). Bewaartermijnen De gegevens worden bewaard tot 15 jaar na beëindiging van het dienstverband. Indien de bewaartermijn is verstreken, worden de desbetreffende gegevens zo spoedig mogelijk zodanig vernietigd dat reconstructie op generlei wijze mogelijk is. In bepaalde gevallen schrijft de wet een afwijkende bewaartermijn voor: bij blootstelling aan carcinogene stoffen, biologische agentia of asbest bij werkzaamheden met ioniserende straling
40 jaar 30 jaar
Bij een aanstellingskeuring kan de bewaartermijn (veel) korter zijn dan 10 jaar. Beveiliging van persoonsregistraties De verantwoordelijke treft voorzieningen ter bescherming van de gegevens tegen kwaadwilligheid, onachtzaamheid of verkeerd gebruik door het personeel dat met de verwerking en bewaring is belast, evenals tegen verlies of beschadiging door toedoen van derden. Tot deze voorzieningen behoren: •
afsluitbare kasten waar de gegevens in worden bewaard, welke na werktijd worden afgesloten;
R/ Partners in arbeid en gezondheid B.V.
Privacyreglement
• • • • • • •
ruimten waarin de kasten staan die tijdens werktijden bemand zijn en afgesloten worden als de ruimte verlaten wordt; afspraken over het beheer van sleutels; het regelen van rechten door middel van de loginprocedure voor de computers; een voorziening die herstel mogelijk maakt bij verlies of beschadiging van de gegevens; het conform de werkinstructies uitvoeren van de werkzaamheden met betrekking tot de gegevens; een back-up procedure waarin onder andere is opgenomen dat er gegevensdragers buiten de ruimten van R/ Partners worden bewaard; een beveiligd netwerk.
Alle medewerkers van R/ Partners ondertekenen middels de arbeidsovereenkomst behorende bij de CAO ziekenhuizen een geheimhoudingsverklaring die bewaard wordt in het personeelsdossier van de betreffende medewerker. Toezicht • • • •
•
Door middel van de interne audit wordt de naleving van het Privacyreglement beoordeeld. De bevindingen worden gerapporteerd aan de directeur R/ Partners. Het Privacyreglement wordt tweejaarlijks beoordeeld op actualiteit. De proceseigenaar voor gegevensverwerking is verantwoordelijk voor het up-todate houden van dit protocol. De persoonsregistraties zijn aangemeld bij het CBP. Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week aan het CBP gemeld. De wijzigingen worden doorgegeven door het secretariaat R/ Partners. Een ieder die ten behoeve van het uitvoeren van werkzaamheden de beschikking krijgt over door R/ Partners vastgelegde persoonsgegevens dient van onderhavig protocol kennis te nemen en dit te bevestigen door het tekenen van een verklaring (zie formulieren). Bij overtreding van de regels zoals opgenomen in dit protocol kan de directeur R/ Partners aan de medewerker disciplinaire maatregelen opleggen conform de CAO-ziekenhuizen.
Slotbepalingen In alle gevallen waarin deze regeling niet voorziet beslist de verantwoordelijke.
R/ Partners in arbeid en gezondheid B.V.
Privacyreglement