Privacyreglement
In het kader van de nieuwe wetgeving omtrent privacy heeft WORKKIT dit privacy regelement opgesteld. Het doel van dit reglement is, voldoen aan de Algemene Verordening Gegevensbescherming en overige relevante wetgeving.

In dit register is vastgelegd welke informatie wordt verzamelt, met welk doel, welke grondslag daarvoor geldt en hoelang de gegevens bewaart worden.

Artikel 1, Begrippen

Persoonsgegevens: de Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Een persoon is identificeerbaar indien sprake is van gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geïdentificeerd. Het gebruik van groepsprofielen valt niet rechtstreeks onder de wet. Denk bijvoorbeeld aan de constatering dat alle jongeren onder de 21 jaar een grotere kans op ongelukken maken.
E-mailadresgegevens zijn niet altijd persoonsgegevens, maar wel vaak. Een e-mailadres is niet een persoonsgegeven van gevoelige aard. Het is een minder publiek gegeven dan een gewoon adres.

Medische gegevens: bijzondere persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of geestelijke gezondheid van de betrokkene. Medische gegevens vallen onder het beroepsgeheim van de arts, bedrijfsarts, fysiotherapeut en andere BIG-geregistreerde beroepsbeoefenaren.

Verwerking van persoonsgegevens: geheel van handelingen die een organisatie kan uitvoeren met persoonsgegevens in het traject van verzameling tot en met vernietigen. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn:
het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Verstrekken van persoonsgegevens: bekendmaking of het ter beschikking stellen van persoonsgegevens.

Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.

Verantwoordelijke: een natuurlijk persoon, rechtspersoon of een ieder die zelfstandig of tezamen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Gebruiker: persoon of persoenen die onder verantwoordelijkheid van de gemachtigde persoonsgegevens verwerkt.

Bewerker: ieder die persoonsgegevens verwerkt ten behoeve van de verantwoordelijke, zonder aan zijn⁄ haar rechtstreeks gezag te zijn onderworpen. De bewerker verwerkt derhalve gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid.

Betrokkene: degene op wie een persoonsgegeven betrekking heeft.

Derde: ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker, of de bewerker.

Ontvanger: degene aan wie persoonsgegevens worden verstrekt.

Toestemming van de betrokkene: elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee
deze aanvaardt dat op hem⁄ haar betrekking hebbende persoonsgegevens worden verwerkt.

Artikel 2, Toepassingsgebied

Dit reglement is van toepassing op elke verwerking van persoonsgegevens door de verantwoordelijke. De verantwoordelijke in de zin van dit reglement is de eigenaar van de WORKKIT, statutair gevestigd te Borne.

Artikel 3, Doel

WORKKIT verwerkt persoonsgegevens ten behoeve van:
a: de diensten aangeboden aan haar opdrachtgever of dienstverlening aan personeel van de opdrachtgever. De opdrachtgever betreft zzp-ers, bedrijven of instellingen. De diensten kunnen bestaan uit advisering op het gebied van Arbeid & Gezondheid, verzuimbeleid, bedrijfsfysiotherapie, vitaliteit, re-integratie, ergonomie, werkplekbezoeken, leefstijlbegeleiding. De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskunde aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
b. de facturatie van de behandelingen c.q. adviezen als genoemd onder a, aan bedrijven⁄ instellingen.
c. de statische gegevensverwerking van behandelingen c.q. adviezen als genoemd onder a, ten
behoeve van bedrijven⁄ instellingen.

Artikel 4, Verwerking

4.1. De verantwoordelijke draagt er zorg voor dat persoonsgegevens afdoende worden beveiligd tegen verlies en in overeenstemming met de wet op een behoorlijke en zorgvuldige wijze worden verwerkt.

4.2. Persoonsgegevens worden alleen verwerkt voor bovenstaande omschreven doeleinden.

4.3. Persoonsgegevens worden verwerkt indien:
a. betrokkene voor de verwerking zijn toestemming heeft verleend, of;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarin betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijke zijn voor het sluiten van een overeenkomst, of;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen, waaraan de verantwoordelijke onderworpen is, of;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of;
e. de gegevensverwerking noodzakelijk is voor het behartigen van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

4.4. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de bovenstaande doelen, toereikend en ter zake dienend zijn.

4.5. De verantwoordelijke heeft een wettelijke geheimhouding over de persoonsgegevens waarvan hij/ zij kennisneemt.

4.6 De verantwoordelijke verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele geaardheid, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

4.7. Is niet van toepassing indien:
a. dit geschiedt met schriftelijke toestemming van betrokkene;
b. de gegevens openbaar zijn gemaakt door betrokkene;
c. dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;
d. dit noodzakelijk is met het oog op een zwaar wegend algemeen belang.

4.8. Persoonsgegevens als bedoeld in 4.6 worden wel verwerkt ten behoeve van wetenschappelijk onderzoek of statistiek voor zover:
a. dit onderzoek een algemeen belang dient;
b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost;
c. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

4.9. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Artikel 5, Verwerking gegevens

5.1. Persoonsgegevens, die door de verantwoordelijke worden verwerkt, zijn verzameld door de verantwoordelijke en verstrekt door de betrokkene, de werkgever van de betrokkene of door eventuele behandelaar(s) van de betrokkene.

5.2. Onderstaande persoonsgegevens kunnen door de verantwoordelijke verwerkt worden. Hierbij wordt dit reglement in acht genomen.:
• naam en geboortedatum;
• adres, plaats en telefoonnummer van zowel de woonplaats als een
tijdelijke verblijfplaats;
• geslacht, burgerlijke staat;
• bedrijfsinstelling, afdeling;
• naam, adres, en telefoonnummer van huisarts en overige behandelaars;
• arbeidsomstandigheden;
• resultaten van incidentele en periodieke gezondheidsonderzoeken;
• gegevens voortvloeiende uit het rapport van betrokken behandelaars zoals bedrijfsarts, verzekeringsarts, bedrijfsfysiotherapeut of casemanager;
• de belastbaarheid in relatie tot de belasting in het werk;
• voorgestelde en getroffen maatregelen en aanpassingen in de
arbeidsomstandigheden;
• resultaten van overleg met de werkgever, behandelaars,
uitvoeringsinstellingen voor de sociale zekerheid en
verzekeringsmaatschappijen;
• diagnostische gegevens en overige gegevens betreffende de gezondheid;

Artikel 6, Kennisgeving van verwerking van persoonsgegevens

De verantwoordelijke maakt (door middel van een folder of een andere uiting) het volgende bekend aan de betrokkenen:
• het bestaan van het bestand bevattende persoonsgegevens;
• het doel van de verwerking van persoonsgegevens;
• het bestaan van dit reglement voor het beheer van persoonsgegevens;
• de wijze, waarop van de inhoud van dit reglement kennis kan worden
genomen.

Artikel 7, Mededeling en verstrekking van persoonsgegevens

7.1. Bij verkrijging van persoonsgegevens van de betrokkene, zal de verantwoordelijke zich voor het verkrijgen hiervan, identificeren en de doeleinden van het vergrijgen kenbaar maken.

7.2. Indien de verantwoordelijke de persoonsgegevens op een andere wijze verkrijgt en betrokkene is hiervan niet op de hoogte, zal hij⁄ zij alsnog aan de betrokkene de in 7.1 genoemde informatie verstrekken. Deze informatie dient medegedeeld te zijn voordat de gegevens worden verwerkt en voordat de gegevens worden verstrekt aan een derde.

7.3. Het bepaalde in 7.1 is niet van toepassing indien mededeling van de informatie aan de
betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de
verantwoordelijke de herkomst van de gegevens vast.

7.4. De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem/haar betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem/haar betreffende persoonsgegevens worden verwerkt. De schriftelijke mededeling wordt door de verantwoordelijke slechts in persoon aan de betrokkene overhandigd Het inzagerecht strekt zich niet uit tot de interne notitie die de persoonlijke gedachten van medewerkers en verantwoordelijke bevatten en uitsluitend bedoeld zijn voor intern overleg en beraad.

7.5. De gevraagde kennisneming wordt aan de betrokkene in persoon verleend, door het tonen van de op deze persoon betrekking hebbende gegevens. De betrokkene dient zich vooraf te legitimeren.

7.6. Een verzoek tot kennisneming kan met redenen omkleed worden geweigerd evenals het
verstrekken van kopieën zoals in 7.7 bedoeld.

7.7. Kennisneming is kosteloos; kopieën worden verstrekt tegen een vastgesteld tarief.

Artikel 8, Afscherming, vernietiging en wijziging van persoonsgegevens

8.1. De betrokkene heeft het recht om wijzigingen, aanvullingen of achterwege latingen van persoonsgegevens kenbaar te maken. Dit dient de betrokkene schriftelijk kenbaar te maken. Betrokkene dient zich hierbij middels een geldig legitimatiebewijs te legitimeren.

8.2. De verantwoordelijke stelt de betrokkenen, binnen een termijn van vier weken schriftelijk of per e-mail op de hoogte van zijn/haar beslissing betreffende 8.1.

8.3. Er kan een verzoek worden ingediend tot vernietiging of wijziging van gegevens indien:
• de gegevens feitelijk onjuist zijn;
• de gegevens voor het doel van de verwerking onvolledig of niet ter zake dienend zijn;
• de gegevens in strijd met een wettelijk voorschrift worden verwerkt.

8.4. Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen.

8.5. Als er om gegronde redenen het verzoek om wijziging of verwijdering wordt uitgevoerd, zal dit binnen drie maanden na dagtekening van de beslissing plaatsvinden.

8.6. Als er wijzigingen, verwijdering of afscherming van persoonsgegevens op verzoek van betrokkenen worden doorgevoerd en deze gegevens reeds zijn doorgestuurd naar derden, zal de verantwoordelijke derden informeren, tenzij dit onmogelijk of onevenredig inspanning kost.

Artikel 9, Klachten

9.1. Indien een belanghebbende van mening is, dat verantwoordelijke handelt in strijd met enige bepaling van het onderhavige Privacyreglement, kan hij schriftelijk een onderbouwde en gedocumenteerde klachten indienen bij de verantwoordelijke.

Artikel 10, Toegang tot persoonsgegevens

10.1. De ontvanger en gebruiker hebben toegang tot de persoonsgegevens.

10.2. Indien er sprake is van teambegeleiding met instemming van betrokkene, geldt de toegang voor
alle teamleden.

10.3. De bewerker en degenen, die in het kader van een door de gebruiker of bewerker gegeven
opdracht werken, hebben toegang voor zover dit voor het gebruik en de bewerking van de gegevens
noodzakelijk is.

Artikel 11, Verstrekking van persoonsgegevens

11.1. Rekening houdend met de Algemene verordening gegevensbescherming (AVG), kunnen persoonsgegevens zonder toestemming van de betrokkene verstrekt worden aan:
a. medewerkers en bewerkers van WORKKIT, die direct betrokken zijn bij de aangeboden en overeengekomen dienstverlening. Hieronder kan het begeleiden van betrokkene vallen. De bewerkers zullen zich hierbij aan alle artikelen van dit reglement, omtrent privacy van persoonsgegevens houden.
b. bedrijven en of instellingen waarvoor de verantwoordelijke de aangeboden opdracht/ diensten uitvoert. De gegevens bevatten de volgende onderdelen:
• naam en geboortedatum
• datum van consult
• conclusies en aanbevelingen naar aanleiding van werkplekbezoeken, re-integratietrajecten van betrokkene.

11.2. Overige informatie omtrekt persoonsgegevens en andere gegevens dan genoemd in artikel 11.1 zullen alleen verstrekt worden met nadrukkelijke toestemming van de betrokkene.

Artikel 12, Bewaartermijnen

12.1. Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. De verantwoordelijke stelt vast hoelang hij/zij de gegevens bewaard. Tenzij anders bepaald, eindigt de bewaartermijn na het laatste zakelijke contact met betrokkene, of vijf jaar nadat de betrokkene uit dienst is getreden bij de opdrachtgever.

12.2. De persoonsgegevens zullen zo spoedig mogelijk nadat de bezwaartermijn is verstreken, door de verantwoordelijke worden vernietigd. Derden dienen zich ook aan deze termijn te houden.

Artikel 13, Looptijd

Dit regelement geldt voor onbepaalde tijd, tenzij zoals vermeld in artikel 15 er wijzigingen worden doorgevoerd.

Artikel 14, Overdracht van persoonsgegevens

14.1. Mocht er sprake zijn van overdracht van persoonsgegevens of andere bestanden met informatie over zijn/haar organisatie aan een andere verantwoordelijke, blijft dit regelement van kracht.

14.2. Bij overdracht van persoonsgegevens aan een andere verantwoordelijke dient hiervoor schriftelijke toestemming van de betrokkene plaats te vinden.

Artikel 15, Inwerkingtreding en wijziging van het reglement

15.1. Dit reglement is van kracht vanaf 1 april 2018

15.2. Er zullen uitsluitend actuele wijzigingen in dit reglement worden aangebracht door de verantwoordelijke. De laatste versie van het reglement is steeds van toepassing.