Privacyregelement

Het is belangrijk dat er veilig om wordt gegaan met uw persoonsgegevens. Om u te beschermen tegen misbruik van uw persoonsgegevens bestaat de Algemene Verordening Gegevensbescherming (AVG). Vincio is gebonden aan deze wetgeving en vindt het van belang om u, middels dit privacyreglement, zo goed mogelijk te informeren wat er met uw gegevens gebeurt.

Onze dienstverlening bestaat uit preventieve dienstverlening gericht op gezond en veilig werken. Vincio verwerkt persoonsgegevens ten behoeve van:

  • Risico-inventarisatie en -evaluatie (RI&E)
  • Ziekteverzuimbegeleiding
  • Arbeidsgezondheidskundig onderzoek (PAGO/PMO)
  • Aanstellingskeuring
  • Consultatie met betrekking tot gezondheidskundige vraagstukken

Art. 1 Begripsomschrijving:

In dit reglement wordt verstaan onder:

Avg: Algemene Verordening Gegevensbescherming
Gebruikers: de medewerkers van Vincio
Geregistreerde/betrokkene: een klant waarvan persoonsregistraties zijn opgenomen door Vincio.
Medische gegevens: alle gegevens welke medische informatie bevatten van de werknemers van de aangesloten organisaties bij Vincio
Vincio: 
de betreffende organisatie waarvoor dit reglement is geschreven.

Persoonsgegevens:  gegevens zijn Persoonsgegevens als:

  • de gegevens informatie bevatten over een natuurlijk persoon; en
  • die persoon identificeerbaar is.

Persoonsregistratie: registratie van persoonsgegevens
Verstrekken van gegevens uit de Persoonsregistratie: 
het bekend maken of ter beschikking stellen van Persoonsgegevens, die in de Persoonsregistratie zijn opgenomen, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
Verwerkingsverantwoordelijke: degene die de persoonsregistratie verwerkt en hier verantwoordelijk voor is (Vincio).
Werknemer: een werknemer van de aangesloten organisatie bij Vincio.
Werkgever: de aangesloten organisatie bij Vincio.

Art. 2 Toepassingsgebied

Dit reglement is van toepassing op iedere verwerking van persoonsgegevens binnen Vincio.

Art. 3 Doel

Voor het correct uitvoeren van de dienstverlening verwerkt Vincio (verwerkingsverantwoordelijke) persoonsgegevens. Als gecertificeerde arbodienst betreft het naast de reguliere persoonsgegevens ook medische persoonsgegevens.

3.1 De Persoonsregistratie heeft tot doel gegevens vast te leggen van betrokkenen, die noodzakelijk zijn voor de uitvoering van de door de werkgever aan verwerkingsverantwoordelijke opgedragen taken.

3.2 Verwerkingsverantwoordelijke zal geen Persoonsgegevens in de Persoonsregistratie doen opnemen voor andere, dan de in art. 3.1 genoemde doeleinden. Het gebruik van opgenomen Persoonsgegevens vindt alleen plaats in overeenstemming met de bepalingen van dit reglement.

3.3 Verwerkingsverantwoordelijke dient zich bij het vastleggen van medische gegevens te conformeren aan de Wet op de Geneeskundige Behandelingsovereenkomst (o.a. met betrekking tot de bewaartermijnen van medische gegevens).

Art. 4 Verantwoordelijkheden

De verwerkingsverantwoordelijke is verantwoordelijk voor het nakomen van de bepalingen in dit reglement. Gebruikers die de persoonsgegevens verwerken worden geïnformeerd over hoe er omgegaan dient te worden met persoonsgegevens. Er worden uitsluitend persoonsgegevens opgeslagen van werknemers die in dienst zijn van opdrachtgevers van verwerkingsverantwoordelijke.

Art. 5 Verwerking en beveiliging

De verwerkingsverantwoordelijke zorgt ervoor dat persoonsgegevens worden verwerkt in overeenstemming met de wetgeving. Er worden alleen persoonsgegevens verzameld die noodzakelijk zijn voor een correcte uitvoering van de dienstverlening.

5.1 Er worden persoonsgegevens verwerkt als:

a. er toestemming is verleend door betrokkene, of:
b. de verwerking noodzakelijk is voor het kunnen uitvoeren van de dienstverlening, of:
c. de verwerking noodzakelijk is om aan een wettelijke verplichting te kunnen voldoen.

5.2 De Persoonsregistratie wordt gebruikt binnen Vincio. De registratie vindt plaats binnen een beveiligde externe server. De private cloud bevindt zich in een hoog gecertificeerd datacenter op Nederlands grondgebied en valt daarmee volledig onder de Nederlandse wetgeving waarin de vertrouwelijkheid van data veel beter gewaarborgd is dan in de meeste andere landen. De ICT-beheerder van verwerkingsverantwoordelijke is ISO-9001, ISO-14001, ISO-27001, OHSAS-18001 en VCA 2-sterren gecertificeerd.

5.3 In de Persoonsregistratie worden geen andere persoonsgegevens opgenomen dan:

a. personalia van betrokkenen
b. gegevens van bedrijfs- keuringsartsen

5.4 De in het eerste lid (5.3.a) bedoelde persoonsgegevens worden verkregen uit:
– telefonisch contact/ e-mail / website

5.5 De in het eerste lid (5.3.b) bedoelde persoonsgegevens worden verkregen uit:
– spreekuur / medisch consult / telefonisch contact / e-mail

5.6 Er is een verwerkingsregister opgesteld waarin alle verwerkingen worden vermeld, inclusief het doel van de verwerking en bewaartermijnen.

5.7 Alle gebruikers die toegang hebben tot de geregistreerde persoonsgegevens hebben een geheimhoudingverklaring getekend. Deze gebruikers hebben toegang tot de gegevens omdat dit noodzakelijk is voor het uitvoeren van hun werkzaamheden. De gegevens van de arts vallen onder het medisch beroepsgeheim. Medisch gevoelige informatie is alleen toegankelijk voor de functionarissen die onder de verlengde arm van de artsen werkzaam zijn. Hierdoor zijn deze gebruikers daartoe gerechtigd.

5.8 Er worden geen persoonsgegevens verwerkt gerelateerd aan godsdienst/levensovertuiging, ras, politieke opvattingen of seksuele voorkeur.

5.9 Vincio is als verwerkingsverantwoordelijke eindverantwoordelijk voor het goed functioneren en de beveiliging van de Persoonsregistratie. Periodiek zal er een Data Protection Impact Assessment (DPIA) / Privacy Impact Assessment (PIA) worden uitgevoerd om de privacy risico’s in kaart te brengen.

5.10 Er wordt geen gebruik gemaakt van geautomatiseerde besluitvorming en profilering.

Art. 6 Wijze van verkrijging persoonsgegevens

Er worden door verwerkingsverantwoordelijke alleen gegevens geregistreerd die afkomstig zijn van:

  1. de betrokkene
    b. de werkgever van de betrokkene

Art. 7 Omgang met privacygevoelige informatie/medische gegevens

Om de privacy van de geregistreerde te waarborgen, is het van groot belang dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. Centraal hierin staat de omgang met medische gegevens. In de volgende artikelen wordt de omgang met deze gegevens uitgebreid toegelicht.

7.1 Medische rapportages worden waar mogelijk per mail verzonden. Medische rapportages worden echter alleen per mail verzonden wanneer de cliënt een persoonlijk
e-mailadres heeft doorgegeven. Via een streng beveiligde methode / applicatie (de gegevens worden versleuteld) wordt de rapportage digitaal verzonden. Werknemer ontvangt hierbij twee mails, 1 met een wachtwoord en 1 met een bijlage. Om de bijlage te openen dient het wachtwoord eerst ingevoerd te worden. Wanneer er geen persoonlijk e-mailadres in het bezit van Vincio is wordt de rapportage verzonden per post (persoonlijk geadresseerd) naar het persoonlijk adres van de cliënt.

7.2 Aangezien medische rapportages medische gegevens bevatten, worden deze enkel en alleen ter beschikking gesteld aan de betreffende persoon. Werkgevers krijgen van verwerkingsverantwoordelijke geen inzage in deze persoonlijke medische informatie. Enkel bij hoge uitzondering, alleen wanneer dit noodzakelijk is en de werknemer hier uitdrukkelijke toestemming voor geeft, is het mogelijk dat de werkgever inzage krijgt in het medisch dossier van de werknemer. Deze toestemming kan alleen verkregen worden via een schriftelijk en persoonlijk getekend machtigingsformulier. Hiervan wordt dan een aantekening gemaakt in het medisch dossier van de werknemer. Dit zou ook kunnen via een arts-gemachtigde. Getekende machtigingsformulieren worden bewaard en intern beheerd.

7.3 Medische gegevens worden enkel en alleen gedeeld met andere instanties wanneer er door de betreffende werknemer een schriftelijke machtiging wordt ingediend met het verzoek hiertoe. Ook wanneer verwerkingsverantwoordelijke medische gegevens van een werknemer wil ontvangen van een andere partij wordt hiervoor een schriftelijke machtiging ingediend, waarbij altijd de toestemming van de betrokkene werknemer noodzakelijk is. Getekende machtigingsformulieren worden bewaard en intern beheerd.

7.4 De bedrijfsarts van Vincio legt de inhoud van de terugkoppeling (wat er besproken is) voor aan de werknemer. Hieruit volgt een spreekuurverslag. Spreekuurverslagen bevatten geen medische informatie en worden verzonden aan werkgever en werknemer per beveiligde mail.

7.5 De registratie vindt plaats binnen een beveiligde externe server. De private cloud bevindt zich in een hoog gecertificeerd datacenter op Nederlands grondgebied en valt daarmee volledig onder de Nederlandse wetgeving waarin de vertrouwelijkheid van data veel beter gewaarborgd is dan in de meeste andere landen. De ICT-beheerder van verwerkingsverantwoordelijke is ISO-9001, ISO-14001, ISO-27001, OHSAS-18001 en VCA 2-sterren gecertificeerd. Mappen met medisch gevoelige informatie zijn afgeschermd voor gebruikers die hier niet mee werken en niet vallen onder de verlengde arm van één van de bedrijfsartsen.

7.6 Daarnaast maakt gegevensverantwoordelijke gebruik van het ziekteverzuimprogramma Compasity. Persoonsgegevens van klanten die zich hebben aangesloten bij Arbodienst Vincio worden in dit online zeer goed afgeschermde systeem verwerkt. De bedrijfscoach, de backoffice van Vincio en de contactpersoon van de klant hebben toegang tot de benodigde persoonsgegevens welke niet medisch van aard zijn. Medische gegevens zijn alleen toegankelijk voor de bedrijfsartsen. Het doel van Compasity is dat zowel de werkgever als Vincio inzicht hebben in wettelijke termijnen van ziektegevallen en inzicht hebben in de gegevens van de werknemers, waarvan de medische gegevens dus alleen toegankelijk zijn voor de bedrijfsartsen. Compasity voldoet aan zeer strenge veiligheidseisen.

7.7 Aan de werkgever zullen geen terugkoppelingen worden gedaan over welke werknemers een bezoek hebben gebracht aan het arbeidsomstandighedenspreekuur of vrijwillig hebben deelgenomen aan periodieke onderzoeken, zonder dat werknemers hiervoor hun goedkeuring hebben gegeven.

7.8 Aan de verzuimverzekeraar wordt alleen een overzicht verspreid van zieke werknemers en de verzuimperiode. De verzekeraar krijgt geen inzicht in medische informatie noch over het dossier van de zieke werknemer. Er wordt hierin zeer strikt gehandeld.

Art. 8 Bewaartermijn

8.1 De gegevens worden niet langer bewaard dan voor het eerder omschreven doel noodzakelijk is. Hierbij worden wettelijke voorschriften in acht genomen. Indien de bewaartermijn verstreken is, worden de persoonsgegevens uit het bestand verwijderd. In het Verwerkingsregister van Vincio is geregistreerd wat de diverse bewaartermijnen zijn.

8.2 Met inachtneming van eventuele wettelijke voorschriften houdt verwerkingsverantwoordelijke zich aan de wettelijk vastgestelde bewaartermijnen van medische gegevens (20 jaar en 40 jaar indien blootstelling aan carcinogenen stoffen of biologische agentia heeft plaatsgevonden en 30 jaar indien een werknemer heeft gewerkt met ioniserende straling.)  Nadat de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de registratie verwijderd.

Art. 9 Verstrekken van gegevens

De verwerkingsverantwoordelijke verstrekt slechts gegevens aan derden (rekening houdend met wat er in de AVG is vastgelegd) voor zover dit:

a. voortvloeit uit het doel van de registratie;
b. wordt vereist ingevolge een wettelijke voorschrift;
c. plaatsvindt met schriftelijke toestemming van de betrokkene.

Persoonsgegevens worden enkel en alleen gedeeld met de samenwerkende freelancers / kerndeskundigen / bedrijfsartsen waarmee verwerkingsverantwoordelijke een samenwerkingsovereenkomst heeft, voor zover dit past binnen het doel van de registratie en voor hun taakuitoefening noodzakelijk is. Het gaat hierbij om:

– degene, die rechtstreeks betrokken zijn bij de dienstverlening van de geregistreerde;
– degene, wier taak het is de verleende dienstverlening te controleren.

Wanneer persoonsgegevens door deze partijen in een ander systeem worden opgeslagen dan in het systeem van verwerkingsverantwoordelijke, zal hieraan een verwerkersovereenkomst ten grondslag liggen.

Art. 10 Inzage gegevens

10.1 De betrokkene heeft recht op inzage in de gegevens die over de betrokkene in de persoonsregistratie zijn opgenomen. Hiervoor dient een schriftelijk verzoek te worden gedaan. Deze inzage kan worden verleend door het tonen van de gegevens aan betrokkene. Hiervoor kan zowel een afspraak gemaakt worden als per mail plaatsvinden. Betrokkene kan dus een verzoek op inzage van zijn of haar persoonsgegevens doen waarna verwerkingsverantwoordelijke binnen een maand aan deze verplichting zal voldoen.

10.2 Recht van inzage is er ook voor het medisch dossier van betrokkene. Ook hiervoor kan een schriftelijk verzoek (machtigingsformulier) worden ingediend bij verwerkingsverantwoordelijke.

Art. 11 Recht op correctie of verwijdering

11.1 Betrokkene heeft het recht om een verzoek in te dienen bij verwerkingsverantwoordelijke om vastgelegde persoonsgegevens of gegevens welke vermeld worden in het medisch dossier, te corrigeren bij feitelijke onjuistheden of onvolledigheden. Dit verzoek zal schriftelijk in moeten worden gediend bij de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke zal het verzoek in beraad nemen en honoreren wanneer het verzoek niet ongegrond of buitensporig is. Er kan dus geweigerd worden het verzoek op te volgen maar dan zal de verwerkingsverantwoordelijke wel aan moeten tonen dat het verzoek ongegrond of buitensporig is. De verwerkingsverantwoordelijke deelt binnen een maand na ontvangst van het verzoek aan betrokkene mee hoe de opvolging zal geschieden.

11.2 De geregistreerde of diens wettelijk vertegenwoordiger heeft het recht om een (schriftelijk) verzoek in te dienen voor vernietiging van tot zijn persoon herleidbare gegevens (hiermee wordt de verleende toestemming tot bewaring van gegevens ingetrokken). Inwilliging van dit verzoek kan slechts worden geweigerd indien bewaring op grond van een wettelijk voorschrift vereist is, dan wel voor zover verwerkingsverantwoordelijke jegens de financier van de dienstverlening tot bewaring gehouden is of indien ter zake van die dienstverlening een geschil aanhangig is gemaakt of dreigt te worden gemaakt.

11.3 Indien het verzoek wordt ingewilligd, worden de betreffende gegevens hetzij vernietigd, hetzij zodanig geanonimiseerd, dat herleiding redelijkerwijs onmogelijk is.

Art. 12 Recht op dataportibiliteit

Betrokkene heeft het recht om een schriftelijke aanvraag in te dienen bij verwerkingsverantwoordelijke om ervoor te zorgen dat betrokkenen hun gegevens kunnen ontvangen en desgewenst kunnen doorgeven aan een andere organisatie. Overdracht van gegevens zal enkel en alleen plaatsvinden na schriftelijke toestemming van de betrokkene. Het verzoek kan geweigerd worden als er op grond van wettelijke voorschriften bezwaar tegen dient.

Art. 13 Klachten

13.1 Indien de geregistreerde of wettelijk vertegenwoordiger van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan er een klacht worden ingediend bij verwerkingsverantwoordelijke. Het volledige reglement betreffende de klachtafhandeling is te vinden in de bijlage van dit reglement.

13.2 Indien het verzoek tot naleving van het reglement door Vincio niet wordt gehonoreerd, kan de geregistreerde of wettelijk vertegenwoordiger zich desgewenst wenden tot de Geschillencommissie Arbodiensten volgens het reglement van die Geschillencommissie en op de daarin aangegeven gronden.

13.3 Betrokkene kan zich ook wenden tot de Registratiekamer of de Autoriteit Persoonsgegevens (AP) met het verzoek te bemiddelen of te adviseren wanneer u vindt dat er niet goed wordt omgegaan met uw persoonsgegevens.

Art. 14 Interne audit

Ieder jaar zal er een interne audit worden gedaan op naleving van de bepalingen van het privacyreglement.

Art. 15 Functionaris Gegevensbescherming

Sinds mei 2018 heeft Vincio een Functionaris Gegevensbescherming aangesteld. Deze functie wordt ingevuld door André Zwart, te bereiken via 0513-466217 of via a.zwart@Vincio.nl. Binnen Vincio  is de Functionaris Gegevensbescherming eindverantwoordelijk voor het beleid op het terrein van kwaliteit en gegevensbescherming.

Art. 16 Online Privacy

16.1 Op de website van Vincio worden de bezoekgegevens bijgehouden. Hierbij worden IP-adressen verzamelt en cookies gebruikt. Deze worden gebruikt om trends te analyseren, om het gebruik te volgen en demografische gegevens te verzamelen. Het doel hiervan is om de website te optimaliseren, zodat Vincio haar diensten beter kan afstemmen op de vraag van de bezoekers van de website. Op deze manier wil Vincio het voor al haar bezoekers zo gemakkelijk mogelijk maken om binnen de website alles zo goed mogelijk te vinden.
Een Cookie is een compact stukje informatie dat op uw computer wordt opgeslagen. Een Cookie ondersteund bijvoorbeeld het onthouden van uw gegevens. Tijdens het bezoek aan www.Vincio.nl wordt deze Cookie aangemaakt en geraadpleegd door onze systemen. De meeste browsers accepteren cookies, maar over het algemeen is het mogelijk om de instelling van een browser te wijzigen, waardoor deze geen cookies accepteert. Niet-functionele cookies, die wij gebruiken:

Google analytics cookie (cookienaam: __utma, __utmb, __utmc, __utmz) Google Analytics is een webanalyse-service die wordt aangeboden door Google Inc. Onze samenwerkingspartners die het technische gedeelte van overstapservices zoals Energie en Zorgverzekeringenvergelijker in beheer hebben meten bezoekgegevens. Denk aan bezoekersaantallen, aantal overstappers en deelnemers aan een actie. Zowel de Consumentenbond als de samenwerkingspartners kunnen niet zien wie (welke pc) de website bezoekt. Google kan dit als aanbieder van de dienst wel. __utma ( 2 jaar ) __utmb ( 30 minuten ) __utmc ( eind van de sessie ) __utmz ( 6 maanden )

Twitter (cookienaam: _twitter_sess, guest_id, k) Deze cookie wordt alleen geplaatst indien u gebruik maakt van Twitter en ingelogd bent voor deze service. Het maakt het mogelijk om berichten te (re)tweeten. _twitter_sess ( eind van de sessie ) guest_id ( 6 maanden ) k ( 6 maanden)

Facebook (cookienaam: reg_fb_gate, reg_fb_ref, datr,lsd) Deze cookies worden alleen geplaatst indien u gebruik maakt van Facebook en ingelogd bent voor deze service. Het maakt het mogelijk om berichten te liken. reg_fb_gate ( eind van de sessie ) reg_fb_ref ( eind van de sessie ) datr ( 6 maand ) lsd ( eind van de sessie).

16.2 Onze website maakt gebruik van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. (“Google”). Google Analytics maakt gebruik van “cookies” (tekstbestandjes die op uw computer worden geplaatst) om de website te helpen analyseren hoe gebruikers de site gebruiken. De door het cookie gegenereerde informatie over uw gebruik van de website (met inbegrip van uw IP-adres) wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe u de website gebruikt, rapporten over de website-activiteit op te stellen voor website-exploitanten en andere diensten aan te bieden met betrekking tot website-activiteit en internetgebruik.

Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Google zal uw IP-adres niet combineren met andere gegevens waarover Google beschikt. U kunt het gebruik van cookies weigeren door in uw browser de daarvoor geëigende instellingen te kiezen. Wij wijzen u er echter op dat u in dat geval wellicht niet alle mogelijkheden van deze website kunt benutten.

Door gebruik te maken van deze website geeft u toestemming voor het verwerken van de informatie door Google op de wijze en voor de doeleinden zoals hiervoor omschreven.

Er wordt geen profiel opgebouwd rond bezoekers van de website.

16.3 Verwerkingsverantwoordelijke behoudt zich het recht om deze privacy & cookie policy aan te passen. Deze privacy & cookie policy is afgestemd op het gebruik van en de mogelijkheden op onze site. Eventuele aanpassingen en/of veranderingen van deze site, kunnen leiden tot wijzigingen in deze privacy & cookie policy.

16.4 Verwerkingsverantwoordelijke is niet verantwoordelijk voor het privacy beleid van websites waarop u terecht kunt komen doordat u via deze website doorgelinkt wordt. Voordat u hier persoonlijke gegevens doorgeeft, kunt u beter eerst de desbetreffende privacyverklaring van deze site doornemen.

Art. 17 Publicatie

17.1 Dit reglement is openbaar en via de website www.vincio.nl te vinden. Daarnaast kan het reglement ook worden opgevraagd. Dit kan door contact op te nemen met Vincio via de contactgegevens welke genoemd staan aan het begin van dit reglement.

17.2 Voor zover andere doelen dan dienstverlening een doelstelling vormen van de registratie, heeft Vincio de plicht de geregistreerde of diens wettelijke vertegenwoordiger vooraf te informeren omtrent de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede de doeleinden die daarmee worden nagestreefd.

Art. 18 Wijziging van het reglement

Wijzigingen van dit reglement worden aangebracht door Vincio na goedkeuring van de directie. Wijzigingen zullen ook direct worden doorgevoerd op de website van Vincio, waar het volledige reglement geplaatst is.

Dit reglement treedt in werking op 22 februari 2021.