Veel gestelde vragen over AVG

AVG (privacywetgeving): wat verandert er?

Op 25 mei 2018 vervangt de Algemene verordening gegevensbescherming (AVG) definitief de bestaande Wet bescherming persoonsgegevens (Wbp). Als uw organisatie te maken heeft met persoonsgegevens, dan dient u voor 25 mei 2018 te voldoen aan de AVG. Dat geldt uiteraard ook voor ArboNed. Zoals u van ons als betrouwbare arbodienstverlener mag verwachten, heeft ArboNed de organisatie rond alle privacywetgeving goed geregeld. Al onze klanten zijn persoonlijk geïnformeerd over de manier waarop onze samenwerking aan alle geldende wetgeving voldoet. Hieronder vindt u een toelichting op de wijzigingen in de AVG en overzicht van veel gestelde vragen rond de privacywetgeving.

Wat verandert er precies?

Er zijn behoorlijk wat wijzigingen in de wet- en regelgeving, die te maken hebben met de bescherming van persoonsgegevens. In de Wbp, maar ook de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) zijn al veel regels van toepassing die ook in de AVG gelden. De AVG heeft met name op het gebied van de rechten van burgers extra plichten opgelegd aan organisaties die persoonsgegevens verwerken. Organisaties moeten transparant zijn over welke persoonsgegevens worden verwerkt, op welke manier en door wie. Daarnaast moet de verwerking van persoonsgegevens geminimaliseerd worden en moet voor iedere verwerking een passende en wettelijk gerechtvaardigde reden zijn.

Meer informatie over de AVG

Meer informatie over de AVG inclusief een praktisch stappenplan, vindt u op de website van de Autoriteit Persoonsgegevens (AP)

Algemeen

Wat is het verschil tussen de AVG en GDPR?

Beide betekenen hetzelfde. De AVG staat voor Algemene Verordening gegevensbescherming en in het Engels wordt gesproken over GDPR, wat staat voor General Data Protection Regulation. 

Per 25 mei 2018 geldt dezelfde privacywetgeving in de hele EU. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf deze datum niet meer en wordt vervangen door de AVG. De Europese privacywetgeving houdt in dat organisaties moeten kunnen aantonen dat zij handelen in overeenstemming met deze privacy beginselen.

Heb ik een functionaris gegevensbescherming of een data protection officer nodig? 

Beide benamingen betekenen hetzelfde. Een functionaris gegevensbescherming (fg) of een data protection officer (dpo) is verplicht voor:

  • Overheidsinstanties
  • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.

Ook ArboNed heeft een data protection officer (DPO) aangesteld. Dat is Maurice Sanders en bereikbaar via privacy@arboned.nl .

Kijk voor meer informatie op de site van de Autoriteit Persoonsgegevens

Hoe nauwkeurig dient het register van verwerkingsactiviteiten te worden beschreven?

In artikel 30 van de AVG staan de minimale eisen beschreven. Het register dient minimaal de volgende gegevens te bevatten:

Wat is het verschil tussen een register van verwerkingsactiviteiten en een gegevensbeschermingsbeleid?

Het register geeft de huidige verwerkingen weer (zie ook vorige vraag). Het register geeft niet weer hoe u uw gegevens moet beschermen. Het gegevensbeschermingsbeleid geeft onder andere weer hoe de gegevens beschermd moeten worden.

Mag ik als werkgever bij ziekmelding aan een werknemer vragen wat hij/zij nog wel kan doen?

Een werkgever mag als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren:

De gegevens die een werkgever mag verwerken, naast de gegevens van de ziekmelding, zijn de gegevens die de bedrijfsarts/arbodienst aan hem heeft verstrekt over:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen); 
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Kijk in deze leaflet voor meer informatie over wat u wel of niet mag vragen en vastleggen bij een ziekmelding, gebaseerd op gegevens van de Autoriteit Persoonsgegevens. 

Medische dossiers opslaan in verzuimsystemen: wat mag wel en niet?

Er zijn twee verschillende verzuimsystemen, een systeem dat de werkgever zelf beheert én gebruikt of een systeem wat hij alleen gebruikt. In een systeem dat beheert én gebruikt wordt door de werkgever, mogen géén gegevens over de aard en oorzaak van de ziekte van zijn zieke werknemers verwerkt worden. Daarom zal een bedrijfsarts of arbodienst de medische dossiers van werknemers ook niet in deze systemen opslaan. Maakt de werkgever gebruik van een extern systeem (zoals Vandaag van ArboNed) dan mogen daar wel gegevens van de zieke werknemer worden opgeslagen. De bedrijfsarts of arbodienst moet in zo’n geval een bewerkersovereenkomst afsluiten met de beheerder van het verzuimsysteem. Daar moet onder meer in staan dat alleen de bedrijfsarts/arbodienst toegang krijgt tot de medische dossiers in geval van een zorgvraag. Meer informatie over verzuimgegevens en systemen vindt u op de website van Autoriteit Persoongegevens.

Mogen namen van deelnemers aan een Periodiek/Preventief medisch onderzoek (PMO) worden doorgegeven aan de werkgever?

U als werkgever bent op grond van de Arbeidsomstandighedenwet (Arbowet) verplicht om een PMO aan te bieden aan zijn werknemers. De deelname aan het PMO is gebaseerd is op een vrijwillig contact tussen de werknemer en de arbodienst/bedrijfsarts. Op de gegevens die in het kader van het PMO zijn verkregen, rust het medisch beroepsgeheim op grond van artikel 457 van de Wet op de Geneeskundige Behandelingsovereenkomst. De bedrijfsarts mag gegevens in het kader van het PMO enkel met uitdrukkelijke toestemming van de werknemer aan de werkgever verstrekken. Dat geldt ook voor de deelname zelf. De bedrijfsarts mag niet aan de werkgever melden of een werknemer al dan niet heeft deelgenomen aan het PMO, noch bij wie sprake was van een no-show. Dit wordt door de NVAB bevestigd in de Leidraad ‘Bedrijfsarts en privacy’ (2011).

In bepaalde sectoren en branches gelden voor bepaalde beroepen wel verplichte keuringen. Hierover wordt wel teruggekoppeld aan werkgever.

Hoe wordt omgegaan met de verschillende bewaartermijnen van persoonsgegevens?

Voor bewaartermijnen geldt dat persoonsgegevens niet langer bewaard mogen worden dan nodig om de doelen te bereiken. Als gegevens nodig zijn om bijvoorbeeld vragen te kunnen beantwoorden of vanwege een klacht of er is sprake van een wettelijke bewaarplicht, dan is er een doel om de gegevens nog te bewaren.

Meer concreet:

  • Verzuimgegevens door werkgever: twee jaar na einde dienstverband.
  • Re-integratiedossier door werkgever: twee jaar na einde re-integratie. Concrete afspraken, bijvoorbeeld ten aanzien van aanpassingen in de functie, langer.
  • NB: Indien werkgever eigenrisicodrager Ziektewet is, heeft hij te maken met een langere bewaartermijn, namelijk 5 jaar voor noodzakelijke gegevens.

In het re-integratiedossier staan alle afspraken die te maken hebben met de re-integratie van de werknemer. Het gaat om onderlinge afspraken over het onderhouden van contact en over mogelijke werkhervatting. Ook alle formulieren en documenten die zijn ingevuld tijdens de periode van verzuim, worden toegevoegd aan het re-integratiedossier.

Onderdelen re-integratiedossier:

  • Afspraken op papier tussen werkgever en werknemer
  • Gespreksverslagen van het contact met de werknemer
  • Onderlinge e-mails over de re-integratie / werkhervatting
  • Probleemanalyse door de bedrijfsarts (na 6 weken) en eventuele bijstellingen hierop
  • Terugkoppelingen van de spreekuren van de bedrijfsarts
  • Plan van Aanpak (na 8 weken)
  • Verslagen van de bedrijfsarts
  • Eerstejaarsevaluatie
  • Eindevaluatie
  • Eventuele terugkoppelingen van interventies die zijn ingezet (bijvoorbeeld een behandeling via de bedrijfsarts, of een arbeidsdeskundige)

Medische gegevens: ArboNed bewaart medische gegevens conform de wettelijke bewaartermijnen en de KNMG richtlijnen. Meestal is dit 15 jaar (soms korter bij bijvoorbeeld aanstellingskeuringen of langer bij bijvoorbeeld gevaarlijke stoffen)

Wanneer is een organisatie verplicht om een data protection impact assessment (DPIA) uit te voeren?

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties hoeven niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Kijk hier voor meer informatie naar DPIA en in welke gevallen u een DPIA moet uitvoeren.

Hoe regelt ArboNed het voor haar klanten?

Wat is de grondslag van ArboNed om gegevens te verwerken?

Dit hang af van de verwerking. Voor elke verwerking is een geldige grondslag nodig. De grondslagen zijn:

Grondslagen verwerken persoonsgegevens

 

Wat betekent de nieuwe AVG voor u als werkgever bij de uitwisseling van informatie met ArboNed?

Als werkgever bent en blijft u verantwoordelijk voor het toesturen van de juiste informatie over werknemers met wie wij een behandelrelatie aangaan, via IT&Care naar ArboNed (zie vraag hieronder). Door gebruik te maken van een gestandaardiseerde en geautomatiseerde berichtenkoppeling doet u dat op een betrouwbare en veilige manier. Met de gangbare personeelsinformatiesystemen heeft IT&Care een standaard koppeling op basis van de Verzuimstandaard 2017 beschikbaar om rechtmatig informatie uit te kunnen wisselen in het kader van de verzuim- en re-integratiebegeleiding van werkgever naar ArboNed.

Moet ik met ArboNed een verwerkersovereenkomst afsluiten?

Nee, in het kader van de AVG treedt ArboNed als arbodienst op als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens. Wel dient u een verwerkersovereenkomst af te sluiten met IT&Care. ArboNed maakt in de dienstverlening aan werkgevers en werknemers namelijk gebruik van de software van het IT-bedrijf IT&Care B.V. IT&Care maakt net als ArboNed onderdeel uit van HumanTotalCare. De software van IT&Care is specifiek gericht op integraal gezondheidsmanagement van de organisatie en het duurzaam inzetbaar houden van werknemers. Binnen de IT&Care software is een alleen voor de werkgever toegankelijk Werkgeverportaal ingericht waarin de werkgever gegevens van zijn werknemers kan opslaan en verwerken.

Privacyreglement
U vindt het privacyreglement van IT&Care op www.itandcare.nl/privacyreglement/. Hierin staat de onafhankelijke rol en de werkwijze van IT&Care beschreven.

Wie is IT&Care en waarom moet ik een verwerkersovereenkomst afsluiten met IT&Care?

Als klant van ArboNed (of ArboDuo, onderdeel van ArboNed) levert u voor de verzuimbegeleiding de gegevens van uw werknemers aan. Hiervoor wordt zowel door werkgever als ArboNed gebruik gemaakt van de software van het IT-bedrijf IT&Care; zustermaatschappij van ArboNed. De gegevens worden via een koppeling met het meldsysteem van uw verzuimverzekeraar of via ons werkgeversportaal ‘Vandaag’ bij IT&Care aangeleverd.

Omdat IT&Care als ‘verwerker’ persoonsgegevens verwerkt namens u als ‘verwerkingsverantwoordelijke’ moeten er volgens de geldende wetgeving (waaronder de AVG) afspraken worden gemaakt over die verwerking. U sluit daarom een ‘verwerkersovereenkomst’ af met IT&Care. 

Voor vragen over de verwerkersovereenkomst kunt u direct contact opnemen met privacy@arboned.nl

Eisen Autoriteit Persoonsgegevens (AP)
U bepaalt als ‘verwerkingsverantwoordelijke’ uiteraard zelf welke gegevens worden opgeslagen en welke gegevens door IT&Care voor u worden verwerkt. U spreekt daarom in de verwerkersovereenkomst met IT&Care af dat deze alleen gegevens doorstuurt naar uw arbodienst indien er sprake is van een ziekmelding of zorgvraag van een werknemer. Dit is conform de beleidsregels ‘de zieke werknemer’ van de Autoriteit Persoonsgegevens (AP, april 2016).

Er is geen overeenkomst tussen IT&Care en werkgever?

Jawel, dat is de gebruiksrechtovereenkomst (softwarelicentie). ArboNed heeft van IT&Care een licentie verkregen om, namens IT&Care, het werkgeverportaal ‘Vandaag’ aan haar klanten ter beschikking te stellen. Hiervoor heeft u een gebruiksrechtovereenkomst. Deze beschrijft de rechten en plichten van u als gebruiker van het werkgeverportaal Vandaag. Voordeel van het werkgeverportaal is onder andere dat u adviezen en het verloop van het re-integratie traject bij individuele verzuimbegeleiding kunt teruglezen.

Moet ArboNed toestemming vragen om werknemer gegevens te verwerken?

Nee, de Wet op de geneeskundige behandelingsovereenkomst of WGBO geldt hierbij als grondslag om werknemer gegevens te mogen verwerken. Om de juiste zorg te leveren is dossiervorming verplicht.

Moeten werknemers vooraf instemmen met het delen van persoonsgegevens met ArboNed?

Nee, ArboNed vraagt alleen naar de strikt noodzakelijke gegevens voor de uitvoering van haar wettelijke taak. Hiervoor is niet nogmaals extra instemming van de betrokken werknemer nodig. De OR heeft in algemene zin conform de Arbowetgeving instemmingsrecht op de afspraken tussen de werkgever en de arbodienstverlener.

Heeft ArboNed de wijzigingen die voortkomen uit de AVG al volledig geïmplementeerd?

Ja. ArboNed voldoet aantoonbaar aan alle nieuwe eisen en werkprocessen die voortkomen uit de AVG. Hieronder volgt per onderwerp een nadere toelichting:

  • ArboNed beschikt over een aangepast privacyreglement, waarmee we klanten informeren over de manier waarop we invulling geven aan de Privacywetgeving.
  • ArboNed heeft het ISO9001:2015 certificaat en het certificaat arbodienstverlening. Deze werkwijze wordt regelmatig getoetst door externe auditors. ArboNed werkt continu aan het verbeteren van de bescherming van informatie.
  • ArboNed heeft vanuit moedermaatschappij HumanTotalCare een data protection officer aangesteld. De Corporate Data Protection Officer is geregistreerd als Functonaris Gegevensbescherming en houdt hier onafhankelijk toezicht op.
  • Werknemers van ArboNed zijn verplicht om alle datalekken direct, en zonder vertraging te melden bij de Corporate  Data protection Officer. Na beoordeling handelt deze conform de wetgeving. 
  • ArboNed registreert alle informatieverwerkingen in een verwerkingenregister, dat zorgvuldig wordt beheerd.
  • Bij wijzigingen in de verwerking van persoonsgegevens is ArboNed verplicht om een formele en gedocumenteerde review te houden van de risico’s en de te nemen maatregelen om deze gegevens te beschermen. Dit heet in de AVG een ‘Data Privacy Impact Assessment’. Deze procedure is geborgd binnen onze werkprocessen.

De Autoriteit Persoonsgegevens houdt voor de overheid toezicht op de naleving van de AVG.

Hoe is online verzuimvolgsysteem Vandaag beveiligd?

In de portal Vandaag staan privacygevoelige persoonsgegevens van uw werknemers. Het is belangrijk dat deze gegevens goed worden afgeschermd. ArboNed heeft ‘twee-factor authenticatie’ (2FA) ingevoerd om de afscherming aan te scherpen, zoals de wet dit voorschrijft. Concreet houdt het in dat u bij het inloggen, náást het opgeven van uw gebruikersnaam en wachtwoord, een code ontvangt op uw mobiele telefoon of mailadres, die u ook invoert. Hier leest u antwoorden op veel gestelde vragen over 2FA en Vandaag.