Privacy en AVG
Privacyverklaring VerzuimService Desk B.V.
Dit is de privacyverklaring van VerzuimService Desk B.V. (VSD). VSD ingeschreven in het Handelsregister bij de Kamer van Koophandel onder nummer 08220058. Het kantoor van VSD is gevestigd aan de Keulenstraat 8J, 7418 ET in Deventer. VSD valt hiermee onder het Nederlands recht.
Wat is de AVG?
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing, waarmee privacywetgeving centraal geregeld is voor de hele Europese Unie. De Europese Unie wil mensen hiermee meer controle geven over de manier waarop organisaties met hun persoonsgegevens omgaan. Ook wel het verwerken van persoonsgegevens.
Wanneer verwerk je eigenlijk gegevens?
Dat is eigenlijk al heel snel. De Autoriteit Persoonsgegevens zegt het volgende hierover. Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de wet in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Verwerking van persoonsgegevens
Grotendeels worden privacygevoelige persoonsgegevens door VSD verwerkt in kader van onze kerntaak, namelijk bedrijven ondersteunen bij verzuimbegeleiding en invulling geven aan de Arbowet. Bij VSD vinden we de privacy van iedereen belangrijk en doen we alles wat binnen onze mogelijkheden ligt om de privacy van data te waarborgen en persoonsgegevens te beschermen.
In deze privacyverklaring leggen we uit welke persoonsgegevens wij verwerken, met welk doel we dit doen en hoe we deze beschermen.
Bij onze verwerking houden wij ons aan de eisen van de privacywetgeving. Dat betekent onder andere dat wij:
- Via deze privacyverklaring duidelijk vermeldenvoor welke doeleinden wij persoonsgegevens verwerken;
- De verzameling van persoonsgegevens beperken tot de persoonsgegevens die nodig zijn voor de vastgestelde doeleinden;
- Jou eerst vragen om uitdrukkelijke toestemming om je persoonsgegevens te verwerken in gevallen waarin toestemming vereist is;
- Passende beveiligingsmaatregelen nemen om jouw persoonsgegevens te beschermen en dat ook eisen van partijen die in opdracht van ons persoonsgegevens verwerken;
- Jouw recht respecteren om je persoonsgegevens op jouw aanvraag/verzoek ter inzage aan te bieden, te corrigeren of te verwijderen.
Van de volgende categorieën personen of entiteiten worden gegevens vastgelegd:
- (Potentiele) Klanten en leveranciers van VSD;
- Medewerkers werkzaam bij de klanten van VSD;
- Websitebezoekers;
Met welk doel verwerken wij jouw gegevens?
Wij verwerken je persoonsgegevens in het kader van onze dienstverlening, zoals verzuimbegeleiding en vervolgens dus ook voor het versturen van facturen voor verleende diensten. Meer specifiek verwerken wij je gegevens voor de volgende doeleinden:
- Jouw werkgever heeft er voor gekozen om zich te laten ondersteunen door VSD. Dit is middels een overeenkomst vastgelegd. Dit zullen wij verder toelichten bij het onderdeel ‘Privacy en Verzuimbegeleiding’;
- Jij hebt de website van VSD bezocht en/ of eventueel gegevens achtergelaten door formulieren op de website uit eigen beweging in te vullen, denk bijvoorbeeld aan een aanmelding voor een workshop/ training;
- Je wilt op de hoogte gehouden door VSD en je hebt je aangemeld voor onze nieuwsbrief waarin wij tips & tricks, informatie over wetgeving of ander product-gerelateerde berichten opnemen;
- VSD is een leuk bedrijf. Jij wil graag bij ons komen werken en stuurt (persoons)gegevens op om te solliciteren;
- VSD wordt er blij van bedrijven te helpen met het oplossen en voorkomen van verzuim. Wij hebben hier diverse diensten en producten voor. Als werkgever ben je hier wellicht in geïnteresseerd en je hebt bedrijfsgegevens en-of werkgeversgegevens verstrekt zodat wij jou kunnen informeren over onze dienstverlening dan wel een maatwerk offerte kunnen opstellen;
- Het registratieproces dat je doorloopt om de dienstverlening van VSD te kunnen afnemen;
- Het registratieproces dat VSD doorloopt om de dienstverlening van onze leveranciers te kunnen afnemen;
- Het versturen van uitnodigingen om mee te doen aan onderzoeken naar bijvoorbeeld tevredenheid en loyaliteit van onze klanten of om mee te denken over nieuwe functionaliteiten in de dienstverlening van VSD.
- Wij maken geen gebruik van geautomatiseerde besluitvorming denk hierbij aan profilering.
Welke gegevens verwerken wij voor welk doel?
- Verzuimbegeleiding & invulling Arbowet: zie hoofdstuk Privacy en Verzuimbegeleiding;
- Formulier(en) op onze website: Bedrijfsnaam, naam, e-mailadres, telefoonnummer en eventuele gegevens die je uit eigen beweging invult in het bericht;
- Nieuwsbrieven: Naam en e-mailadres. Bij iedere nieuwsbrief is een afmeldmogelijkheid opgenomen;
- Sollicitatie: NAW gegevens, contactgegevens en eventuele gegevens die je uit eigen beweging meestuurt;
- Sales: Bedrijfsnaam, naam, functie en contactgegevens (telefoonnummer(s) en e-mailadres);
- Registratie: Naam, functie, geslacht en contactgegevens (telefoonnummer(s) en e-mailadres). Bedrijfsgegevens (NAW-, betaal- en facturatiegegevens en BtW-, KvK-nummer);
- Marketingdoeleinden ter verbetering van onze dienstverlening:Naam, bedrijfsnaam, functie en e-mailadres.
Privacy en Verzuimbegeleiding, hoe gaat dat samen?
De meeste verwerkingshandelingen binnen VSD vinden plaats in het kader bedrijfsgezondheidszorg denk aan verzuimbegeleiding, invulling geven aan arbeidsomstandighedenbeleid met inbegrip van preventie-activiteiten. Dit betreffen meteen ook de meest privacy gevoelige gegevens. In het kader van dit doel ontstaan ook nieuwe gegevens, bijvoorbeeld voortvloeiend uit een bezoek aan de bedrijfsarts. Indien jouw werkgever heeft gekozen om zich te laten ondersteunen door VSD bij verzuimbegeleiding is dit in de vorm van een basiscontract vastgelegd. Dat betekent dat VSD in het kader van haar bedrijfsvoering kennis neemt van jouw vertrouwelijke (medische) gegevens en deze persoonsgegevens ook verwerkt. Vanwege de vertrouwelijkheid van deze gegevens gelden er strenge regels voor hoe met deze gegevensverwerking om te gaan.
VSD vindt het belangrijk dat jij er zeker van bent dat er op zeer zorgvuldige en vertrouwelijke wijze en conform geldende wet- en regelgeving met jouw persoonsgegevens wordt omgegaan conform de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
Hoe beschermen wij jouw privacy?
Wanneer jouw werkgever een overeenkomst met ons heeft, betekent dat niet automatisch dat wij jouw persoonsgegevens mogen zien. Dit hebben wij in een Data-uitwisselingsoverernkomst met jouw werkgever vastgelegd. Voor organisaties zoals VSD is het binnen de privacyrichtlijnen alleen toegestaan om de NAW-gegevens en het BSN te verzamelen van medewerkers met een zorgvraag, dus bij ziekte, zwangerschap en bijvoorbeeld voor preventieve/arbeidsomstandigheden spreekuren van de bedrijfsarts. Dit brengt een aantal praktische beperkingen met zich mee:
- Bij handmatige ziekmeldingen moet de werkgever voortaan iedere keer de NAW-gegevens en de dienstverbandgegevens handmatig aanvullen voordat de ziekmelding gedaan kan worden;
- Als jij als medewerker zelf contact opneemt met VSD is het zeer complex om vast te stellen/
identificeren of jij inderdaad ‘recht’ hebt op zorg via het basiscontract van VSD; - Verzuimcijfers zoals het verzuimpercentage worden alleen correct berekend indien onder andere de contracturen en afdelingen van alle medewerkers bekend zijn.
Om deze beperkingen te voorkomen, hebben we als oplossing de DataKluis. De DataKluis is ontwikkeld (door Otherside at Work, eigenaar van XpertSuite) om gegevens op één plek op te slaan en van daaruit (al dan niet grotendeels geanonimiseerd) te distribueren naar de ketenpartners en/of VSD in lijn met wet- en regelgeving.
Elke klant van VSD krijgt een eigen DataKluis, die wordt gekoppeld aan onze XpertSuite database. Jouw werkgever is eigenaar van de DataKluis en sluit met de leverancier van XpertSuite hier separaat een verwerkersovereenkomst over af. Alle medewerkersgegevens worden in de DataKluis van jouw werkgever bewaard. De medewerkersgegevens worden standaard zonder NAW-gegevens en BSN vanuit de DataKluis naar onze XpertSuite database gestuurd. De NAW-gegevens en BSN van de medewerkers worden pas bij een zorgvraag met ons gedeeld. Zo zien wij alleen die gegevens wanneer het nodig is en niet meer dan dat.
Welke persoonsgegevens verwerken wij tijdens verzuimbegeleiding?
- NAW gegevens
- Geboortedatum
- BSN (alleen in relatie tot UWV)
- E-mailadres
- Geslacht
- (Mobiele) Telefoonnummers
- Gegevens over verzuim
- Gegevens over de arbeidsrelatie
- Gegevens over arbeidsomstandigheden
- Gegevens overarbeidsongeschiktheid
- Gegevens over arbeidsmogelijkheden en re-integratie
- Gegevens voortvloeiende uit spreekuren met bedrijfsartsen
Bovenstaande persoonsgegevens heeft VSD nodig om te voldoen aan de ArboWet en Wet verbetering poortwachter (WvP), maar ook om onder andere jou en jouw werkgever te ondersteunen om te voldoen aan deze twee wetten. Als de benodigde gegevens niet door jou worden verstrekt en of je niet meewerkt in de re-integratie als onderdeel van de WvP kan de werkgever jou sanctioneren.
Wat staat er in de Data-uitwisselingsovereenkomst?
De meest voorkomende vorm waarin afspraken over het werken met persoonsgegevens tussen twee organisaties wordt vastgelegd, is door middel van een verwerkersovereenkomst. Conform de AVG is het verplicht om tussen een verwerker en een verantwoordelijke een verwerkersovereenkomst op te stellen. VerzuimService Desk treedt echter in haar dienstverlening jegens haar klanten (jouw werkgever) niet op als verwerker maar als een zelfstandig verantwoordelijke. Dit volgt uit de aard van de dienstverlening immers VSD bepaalt de middelen en doeleinden en verricht binnen de grenzen van de opdracht zelfstandig haar werkzaamheden en verwerkt derhalve als verantwoordelijke de verstrekte persoonsgegevens.
Nu VSD niet aan te wijzen is als verwerker maar als verantwoordelijke en onze klanten ook, is een verwerkersovereenkomst in de zin van de AVG niet verplicht. Een verwerkersovereenkomst zou geen juridische waarde hebben.
We willen echter wel met onze klanten afspraken maken over hoe wij omgaan met de verstrekte persoonsgegevens. Dit doen wij door middel van een Data-uitwisselingsovereenkomst tussen twee verantwoordelijken. In de Data-uitwisselingsovereenkomst met jouw werkgever staat onder andere het volgende opgenomen:
- De persoonsgegevens worden uitsluitend verwerkt op de manier die partijen hebben afgesproken in de onderliggende opdracht tot verzuimbegeleiding;
- Het verwerken van de persoonsgegevens doet VSD niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze onderliggende opdracht;
- VSD zal de persoonsgegeven op behoorlijke en zorgvuldige wijze verwerken in overeenstemming met de op hem rustende verplichtingen uit de Data-uitwisselingsovereenkomst en de geldende wetgeving ter zake het beschermen van persoonsgegevens;
- VSD zal niet meer persoonsgegevens opslaan, bewaren of (aan Verwerker) verstrekken dan voor het doel noodzakelijk is.
De Data-uitwisselingsoverenkomst is met jouw werkgever gesloten. Als je kennis wilt nemen van de inhoud ervan, kun je deze bij jouw werkgever opvragen.
Jouw recht op inzage, het corrigeren of verwijderen van gegevens
Dan gelden er nog een aantal specifieke rechten:
- Dat jij recht hebt op informatie over de doelen waarvoor en de manier persoonsgegevens van jou worden verwerkt, over de regels die daarvoor gelden, over de rechten die je ten aanzien daarvan hebt en hoe je die kan uitoefenen;
- Dat jij het recht hebt op inzage en afschrift van de op jou betrekking hebbende verwerkte gegevens;
- Op welke wijze jij deze gegevens kunt aanvragen;
- Dat een verzoek tot kennisneming met redenen omkleed kan worden geweigerd, evenals het verstrekken van kopieën;
- Je hebt recht op informatie, bijvoorbeeld ten aanzien van de doelen waarvoor en de manieren waarop persoonsgegevens van jou worden verwerkt;
- Je hebt recht op correctie, wat inhoudt dat jij kunt verzoeken om verbetering of aanvulling van op jou betrekking hebbende gegevens, dan wel om verwijdering en vernietiging van op jou betrekking hebbende gegevens die in strijd met de verwerkersovereenkomst zijn opgenomen, niet ter zake doende zijn of indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig;
- Je hebt recht op beperking van de verwerking, dit houdt in dat jij kunt verzoeken dat wij minder gegevens van jou verwerken.
- Je hebt recht op verzet tegen de verwerking van jouw persoonsgegevens in verband met jouw bijzondere persoonlijke omstandigheden.
Een gemotiveerd verzoek tot inzage, correctie of verwijdering of beperking van de verwerking kan alleen in behandeling worden genomen wanneer deze schriftelijk wordt ingediend. Dit verzoek kan je via jouw werkgever kenbaar marken of rechtstreeks bij VSD indienen. Hierbij kan gevraagd worden om je te identificeren om misbruik te voorkomen. Je ontvangt binnen 48 uur bevestiging van jouw verzoek en binnen 4 weken ontvang je een inhoudelijke reactie op jou verzoek.
Voor meer informatie over jouw rechten verwijzen we je graag naar de webpagina: Rechten van betrokkenen Autoriteitspersoonsgegevens
Bent je het niet eens met hoe VSD met jouw persoonsgegevens omgaat? Dan kan je een privacyklacht melden bij de Autoriteit Persoonsgegevens (AP). Voor meer informatie over het melden van Privacy Klachten bij AP, verwijzen wij je naar webpagina: Klachten Privacy AP.
Indien er een wettelijke plicht/ voorschrift tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.
Bezoek onze website!
VSD maakt gebruik van Google Analytics om bij te houden hoe bezoekers de website gebruiken en hoe effectief de Adwords-advertenties van VSD bij Google zoekresultaatpagina’s zijn. De verkregen informatie wordt, met inbegrip van het adres van je computer (IP-adres), overgebracht naar en door Google opgeslagen op servers.
Het privacybeleid van Google vind je hier: https://policies.google.com/privacy?hl=nl
Het privacybeleid van Google Adwords vind je hier: https://policies.google.com/technologies/ads?hl=nl.
Daarnaast heeft VSD een verwerkersovereenkomst met Google afgesloten hebben we de volgende stappen uitgevoerd in Google Analytics: het laatste octet van het IP-adres is gemaskeerd; 'gegevens delen' is uitgezet en er wordt geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.
Om het zakelijk gebruik van onze website te meten, gebruiken wij daarnaast de dienst Leadinfo en Leadfeeder. Deze diensten tonen ons bedrijfsnamen en -adressen op basis van IP-adressen van onze bezoekers. Het IP-adres wordt hierbij niet opgenomen.
Cookies iemand?
Wij maken gebruik van cookies. Lees onze cookieverklaring voor meer informatie hierover.
Verdere beveiliging van onze systemen
Via de verzuimapplicatie (XpertSuite) van VSD wordt van de medewerkers van onze klanten privacy gevoelige informatie verwerkt. VSD neemt passende technische maatregelen om je persoonsgegevens te beschermen tegen ongeautoriseerde toegang, misbruik en andere vormen van onrechtmatig gebruik. De leverancier van XpertSuite (otherside at work) is ISO 27001 en NEN 7510 gecertificeerd.
De leverancier van XpertSuite heeft verschillende technische maatregelen getroffen om de beveiliging en beschikbaarheid te waarborgen. Deze maatregelen zijn te vinden in Beveiligingsmaatregelen VX.
MySigns van DataVisual wordt gebruikt voor het visualiseren van informatie uit XpertSuite. Deze informatie wordt op een beveiligde manier opgehaald. DataVisual is ISO 27001 gecertificeerd.
ValidSign wordt gebruikt voor het ondertekenen van Medische Machtingen tussen VSD en de medewerker van onze klanten. Met de ondertekening hiervan kan de bedrijfsarts van VSD de informatie van jouw behandelingen bij de desbetreffende behandelaar opvragen
Bedrijfs-/ werkgeversgegevens worden in ons CRM pakket Exact Online opgeslagen dat met 2 staps-authenticatie is beveiligd.
Hoe lang bewaren we jouw gegevens?
VSD bewaart je persoonsgegevens niet langer dan nodig is om de doelen te realiseren waarvoor je gegevens worden verzameld. Voor de vastgelegde gegevens in XpertSuite gelden erg verschillende bewaartermijnen (een werkgever moet een verzuimdossier binnen 2 jaar na uitdienst verwijderen, die termijn is weer anders als jouw werkgever eigenrisicodrager is voor de WGA, een arbodienst moet gegevens soms wel 40 jaar bewaren). Vervolgens geldt dat deze data nog 11 maanden in de oude versies van backups aanwezig kan zijn. Daarna is de data definitief verwijderd/ vernietigd.
Deze backuptermijn is voor langlopende dossiers van belang. Soms komt men pas erg laat achter ten onrechte verwijderde gegevens. Rechten van betrokkenen betreffen ook de bewaarplicht. Omdat backups niet operationeel inzichtelijk zijn, hanteert Otherside at work deze termijn als afweging tussen aan de ene kant het recht op datavernietiging en aan de andere kant de bewaarplicht.
Voor bewaartermijnen met betrekking tot medische gegevens in het kader van verzuimbegeleiding verwijzen wij je naar de Data-uitwisselingsovereenkomst die wij met jouw werkgever hebben afgesloten.
Heb je bij ons gesolliciteerd n.a.v. een vacature? Dan zullen wij jouw gegevens 4 weken na afronding van de procedure zonder tegenbericht verwijderen. Na jouw akkoord kunnen we je gegevens eventueel langer bewaren. Heb je een open sollicitatie gestuurd dan zullen wij jouw gegeven binnen 3 maanden na ontvangst zonder tegenbericht verwijderen. Na jouw akkoord kunnen we je gegevens langer bewaren voor mogelijk toekomstige vacatures, maar dit geldt voor maximaal één jaar.
Samenwerking met derden
VSD verstrekt je persoonsgegevens aan derden indien dit noodzakelijk is voor de uitvoering van onze dienstverlening, of wanneer wij daar wettelijk toe verplicht zijn. Dezelfde standaarden die wij onszelf opleggen m.b.t. privacy verplichten wij deze derden/ onderaannemers ook op zich te nemen door middel van een leveranciers- en/ of verwerkersovereenkomst/ of Data-uitwisselingsovereenkomst.
Wijzigingen in deze privacyverklaring
Deze privacyverklaring kan tussentijds gewijzigd worden, waarbij de meest recente versie van de privacyverklaring altijd op onze website te vinden is. Wij adviseren altijd iedereen om onze privacyverklaring regelmatig te raadplegen, zodat je altijd op de hoogte bent van de laatste wijzigingen.
Heb je een klacht?
Als je van mening bent dat VSD handelt in strijd met bijvoorbeeld het bepaalde in de Data-uitwisselingsovereenkomst, dan kan bij VSD een klacht ingediend worden. Hiervoor heeft VSD een klachtenregeling opgesteld. Deze tref je via deze link aan.
Vragen?
Als je na het lezen hiervan nog vragen hebt, schroom dan niet om hierover contact te zoeken met VSD, of jouw werkgever.
Contact opnemen met onze functionaris gegevensbescherming?
Dit kan per e-mail via functionarisgegevensbescherming@verzuimservicedesk.nl
Of via ons algemeen telefonoonummer 088-5545545 en vraag dan naar onze functionaris gegevensbescherming.