Privacywetgeving AVG

Het doorvoeren van wijzigingen die voortkomen uit wet- en regelgeving maakt integraal onderdeel uit onze dienstverlening. De wijzigingen die voortkomen uit de AVG zijn vastgelegd in ons vernieuwde Privacyreglement en dit maakt dan ook onderdeel uit van het geldende contract. Op deze wijze bent u er als werkgever ook van verzekerd dat u voldoet aan de AVG. Het vernieuwde privacyreglement is beschikbaar via deze link op onze website.

Als werkgever bent en blijft u ervoor verantwoordelijk dat de juiste informatie over medewerkers met wie wij een behandelrelatie aangaan, naar Arbo Unie wordt gestuurd. Door gebruik te maken van een gestandaardiseerde en geautomatiseerde berichtenkoppeling doet u dat op een betrouwbare en veilige manier. Met de gangbare personeelsinformatiesystemen heeft Arbo Unie een standaard koppeling op basis van de Verzuimstandaard 2017 beschikbaar om rechtmatig informatie uit te kunnen wisselen in het kader van de verzuim- en re-integratiebegeleiding. 

Nee, de arbodienst vraagt alleen de strikt noodzakelijke gegevens op voor de uitvoering van haar wettelijke taak. Hiervoor is niet nogmaals extra instemming van de betrokken werknemer nodig. De OR heeft in algemene zin conform de Arbowetgeving instemmingsrecht op de afspraken tussen de werkgever en de arbodienstverlener.

Ja. Arbo Unie voldoet aantoonbaar aan alle nieuwe werkprocessen die voortkomen uit de AVG. Hierna geven we per item een korte uitleg:

• Arbo Unie beschikt over een aangepast privacyreglement, waarmee we klanten en cliënten informeren over de manier waarop we invulling geven aan de Privacywetgeving. De informatie stellen we via onze website beschikbaar.
• Arbo Unie heeft het ISO 27001 en ISO9001 certificaat voor informatiebeveiliging en het certificaat arbodienstverlening. Toetsing van de werkwijze vindt regelmatig plaats door externe auditors. Arbo Unie werkt continu aan het verbeteren van de bescherming van informatie en blijft hierin investeren. De Corporate Informatie Security en Privacy Officer is geregistreerd als Functonaris Gegevensbescherming en houdt hier onafhankelijk toezicht op.
• Arbo Unie registreert alle informatieverwerkingen in een verwerkingenregister, dat zorgvuldig wordt beheerd.
• Bij wijzigingen in de verwerking van persoonsgegevens is Arbo Unie verplicht om een formele en gedocumenteerde review te houden van de risico’s en de te nemen maatregelen om deze gegevens te beschermen. Dit heet in de AVG een ‘Data Privacy Impact Assessment’. Deze procedure is geborgd binnen onze werkprocessen.
• Medewerkers van Arbo Unie zijn verplicht om alle datalekken direct, en zonder vertraging te melden bij de Corporate Informatie Security en Privacy Officer. Na beoordeling handelt deze conform de wetgeving. 

De Autoriteit Persoonsgegevens houdt voor de overheid toezicht op de naleving van de AVG.

Wanneer een werknemer zich ziek meldt mag u de volgende gegevens over zijn gezondheid vragen en registreren:

• vermoedelijke duur van het verzuim;
• lopende afspraken en werkzaamheden;
• telefoonnummer en (verpleeg)adres;
• of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
• of de ziekte verband houdt met een arbeidsongeval;
• of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is, in verband met het verhalen van loonkosten op deze derde (regresmogelijkheid).

Vragen naar de gezondheidsklachten van de werknemer of deze schriftelijk vastleggen mag echter niet. Deze privacygevoelige informatie mag alleen de bedrijfsarts verzamelen en verwerken. Dat geldt ook voor de vraag naar de mogelijkheden van de werknemer. Komt de zieke werknemer spontaan met deze informatie, dan mag u die ook niet schriftelijk vastleggen. Heeft de bedrijfsarts de mogelijkheden vastgesteld, dan kunt u met de werknemer het vervolgens wel over de beperkingen en mogelijkheden hebben.

Normaal gesproken dient u met een nieuwe dienstverlener een DPIA op te stellen. Wanneer u echter als werkgever al vanuit de verzuimstandaard werkt en bij wisseling van arbodienst op dezelfde manier blijft werken, is het opstellen van een nieuwe DPIA niet nodig. 

De scope van DPIA vanuit de werkgever betreft het verzamelen van de noodzakelijke persoonsgegevens en het ter beschikking stellen aan de arbodienst. De verwerking van de persoonsgegevens valt onder verantwoording van de arbodienst.

Arbo Unie verwerkt de persoonsgegevens van uw werknemer met wie we een behandelrelatie hebben enkel en alleen voor de uitvoering van haar wettelijk taak als arbodienstverlener. Arbo Unie hanteert een privacyreglement. Hierin staat van wie deze informatie is, hoe wij de gegevens vastleggen en wie deze gegevens mag bekijken en wie niet.

Professionals van Arbo Unie maken in hun dagelijks werk sinds jaar en dag gebruik van persoonlijke gegevens van werknemers. We voldoen daarbij vanzelfsprekend aan de geldende wet- en regelgeving in Nederland. 
Zo zijn de volgende wetten voor onze dienstverlening van toepassing:

• de Wet op de Geneeskundige Behandel Overeenkomst 
• hierin wordt voor Arbo Unie en andere zorgdienstverleners bepaald hoe we omgaan met het medisch dossier en de raadpleging en vernietiging ervan.
• de Arbowet
  hierin wordt bepaald wat geldend is voor werkgevers en dienstverleners in de bedrijfsgezondheidszorg als het gaat om de veiligheid en gezondheid van medewerkers.
• de Privacywet
  hierin wordt bepaald hoe om moet worden gegaan met de bescherming van persoonsgegevens.

In aanloop naar de Europese privacywetgeving (AVG), die vanaf 25 mei 2018 geïmplementeerd moet zijn, is onze werkwijze op een aantal punten uitgebreid. Het gaat om de volgende onderwerpen:

1. Aanpassing van het bestaande Privacyreglement 
2. Aanstelling van een Register functionaris gegevensbescherming 
3. Hanteren van een verwerkingsregister 
4. Data Privacy Impact Assessment
5. Aanpassing van de procedure voor datalekken
6. Uitbreiding van informeren en trainen eigen medewerkers
7. Verwerkersovereenkomsten hanteren inclusief alle toeleveranciers 
8. Rechten van de betrokkenen borgen met betrekking tot vastgelegde persoonsgegevens.