Ga naar de hoofdinhoud
Ga naar de hoofdinhoud
Logo

Privacywetgeving AVG 

Er zijn nogal wat wijzigingen in de wet- en regelgeving, die te maken hebben met de bescherming van persoonsgegevens. Zo dient iedere organisatie die met persoonsgegevens omgaat voor 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) geïmplementeerd te hebben. Dat geldt ook voor Arbo Unie. Om u als werkgever hier goed over te informeren, treft u hierna meer informatie aan in de vorm van een aantal veel gestelde vragen. 

Wat verandert er precies?

Per 25 mei 2018 geldt dezelfde privacywetgeving in de hele EU. Nu hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. Dus de Wet bescherming persoonsgegevens (Wbp) geldt vanaf deze datum niet meer en wordt vervangen door de AVG. De Europese privacywetgeving houdt in dat organisaties moeten kunnen aantonen dat zij handelen in overeenstemming met deze privacy beginselen. 

Infographic privacywetgeving

Arbo Unie heeft het werken conform de privacywetgeving goed geregeld. We vinden dat u dit ook van ons als betrouwbare dienstverlener in de bedrijfsgezondheidszorg mag verwachten. 

Meer weten over de volgende onderwerpen:

Autoriteit Persoonsgegevens
Verwerkersovereenkomst
Veilige gegevensuitwisseling
Vernieuwd privacyreglement
Betrouwbare werkwijze
Download de infographic
schild avg arbo unie

Vragen over de Europese Privacywetgeving

Op basis van welke grondslag mag Arbo Unie persoonsgegevens verwerken?
Als uitvoerder van de Arbowet verwerkt Arbo Unie de gegevens op basis van de wettelijke verplichting (de grondslag),Arbo Unie bepaalt het doel en de middelen van de gegevensverwerking en is daarom verantwoordelijke onder de AVG.
Moet ik als werkgever een gezamenlijke verwerkersovereenkomst opstellen met Arbo Unie?
Nee. In het kader van de AVG treedt Arbo Unie op als verantwoordelijke voor de verwerking van de persoonsgegevens. Dit betekent dat Arbo Unie geen verwerker is en het opstellen van een verwerkersovereenkomst om die reden niet nodig is.
Moeten werknemers vooraf instemmen met het delen van persoonsgegevens met een arbodienst?

Nee, de arbodienst vraagt alleen de strikt noodzakelijke gegevens op voor de uitvoering van haar wettelijke taak. Hiervoor is niet nogmaals extra instemming van de betrokken werknemer nodig. De OR heeft in algemene zin conform de Arbowetgeving instemmingsrecht op de afspraken tussen de werkgever en de arbodienstverlener.

Heeft Arbo Unie de wijzigingen die voortkomen uit de AVG al volledig geïmplementeerd?

Ja. Arbo Unie voldoet aantoonbaar aan alle nieuwe werkprocessen die voortkomen uit de AVG. Hierna geven we per item een korte uitleg:

  • Arbo Unie beschikt over een aangepast privacyreglement, waarmee we klanten en cliënten informeren over de manier waarop we invulling geven aan de Privacywetgeving. De informatie stellen we via onze website beschikbaar.
  • Arbo Unie heeft het ISO 27001 en ISO9001 certificaat voor informatiebeveiliging en het certificaat arbodienstverlening. Toetsing van de werkwijze vindt regelmatig plaats door externe auditors. Arbo Unie werkt continu aan het verbeteren van de bescherming van informatie en blijft hierin investeren. De Corporate Informatie Security en Privacy Officer is geregistreerd als Functonaris Gegevensbescherming en houdt hier onafhankelijk toezicht op.
  • Arbo Unie registreert alle informatieverwerkingen in een verwerkingenregister, dat zorgvuldig wordt beheerd.
  • Bij wijzigingen in de verwerking van persoonsgegevens is Arbo Unie verplicht om een formele en gedocumenteerde review te houden van de risico’s en de te nemen maatregelen om deze gegevens te beschermen. Dit heet in de AVG een ‘Data Privacy Impact Assessment’. Deze procedure is geborgd binnen onze werkprocessen.
  • Medewerkers van Arbo Unie zijn verplicht om alle datalekken direct, en zonder vertraging te melden bij de Corporate Informatie Security en Privacy Officer. Na beoordeling handelt deze conform de wetgeving. 

De Autoriteit Persoonsgegevens houdt voor de overheid toezicht op de naleving van de AVG.

Wat mag ik als werkgever/leidinggevende wel en niet vragen aan een zieke werknemer volgens de Autoriteit Persoonsgegevens?

Wanneer een werknemer zich ziek meldt mag u de volgende gegevens over zijn gezondheid vragen en registreren:

  • vermoedelijke duur van het verzuim;
  • lopende afspraken en werkzaamheden;
  • telefoonnummer en (verpleeg)adres;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is, in verband met het verhalen van loonkosten op deze derde (regresmogelijkheid).

Vragen naar de gezondheidsklachten van de werknemer of deze schriftelijk vastleggen mag echter niet. Deze privacygevoelige informatie mag alleen de bedrijfsarts verzamelen en verwerken. Dat geldt ook voor de vraag naar de mogelijkheden van de werknemer. Komt de zieke werknemer spontaan met deze informatie, dan mag u die ook niet schriftelijk vastleggen. Heeft de bedrijfsarts de mogelijkheden vastgesteld, dan kunt u met de werknemer het vervolgens wel over de beperkingen en mogelijkheden hebben.

Wat betekent de nieuwe wetgeving voor de contracten tussen werkgever en Arbo Unie?

Het doorvoeren van wijzigingen die voortkomen uit wet- en regelgeving maakt integraal onderdeel uit onze dienstverlening. De wijzigingen die voortkomen uit de AVG zijn vastgelegd in ons vernieuwde Privacyreglement en dit maakt dan ook onderdeel uit van het geldende contract. Op deze wijze bent u er als werkgever ook van verzekerd dat u voldoet aan de AVG. Het vernieuwde privacyreglement is beschikbaar via deze link op onze website.

Moet ik als werkgever een Data Privacy Impact Assessment (DPIA) doen als ik van arbodienst wissel?

Normaal gesproken dient u met een nieuwe dienstverlener een DPIA op te stellen. Wanneer u echter als werkgever al vanuit de verzuimstandaard werkt en bij wisseling van arbodienst op dezelfde manier blijft werken, is het opstellen van een nieuwe DPIA niet nodig. 

De scope van DPIA vanuit de werkgever betreft het verzamelen van de noodzakelijke persoonsgegevens en het ter beschikking stellen aan de arbodienst. De verwerking van de persoonsgegevens valt onder verantwoording van de arbodienst.

Wat betekent de AVG voor mijn werknemers als het gaat om zijn of haar eigen gegevens en het recht op informatie, inzage, correctie, gegevensuitwisseling en gegevensoverdracht?
Arbo Unie heeft zich als dienstverlener in de bedrijfsgezondheidszorg te houden aan meerdere wetten, zoals de Wet op de Geneeskundige Behandel Overeenkomst (WGOB), de Arbowetgeving en de Privacywetgeving. 

Inzage in het medisch dossier of keuringsrapport en de rechten die een werknemer heeft om dit te raadplegen en te laten vernietigen vallen onder de wetgeving van de WGBO. Dat betekent dat de AVG hier niet op van toepassing is. Een werknemer kan een schriftelijk verzoek tot inzage indienen bij Arbo Unie. Stuur dit verzoek per mail aan binnendienst@arbounie.nl. Binnen zes weken na aanvraag, ontvangt de werknemer bericht van ons over de manier waarop de informatie kan worden ingezien.
Wat doet Arbo Unie met de persoonlijke gegevens van mijn werknemers?

Arbo Unie verwerkt de persoonsgegevens van uw werknemer met wie we een behandelrelatie hebben enkel en alleen voor de uitvoering van haar wettelijk taak als arbodienstverlener. Arbo Unie hanteert een privacyreglement. Hierin staat van wie deze informatie is, hoe wij de gegevens vastleggen en wie deze gegevens mag bekijken en wie niet.

Wat betekent de Europese privacywetgeving voor de dienstverlening van Arbo Unie?

Professionals van Arbo Unie maken in hun dagelijks werk sinds jaar en dag gebruik van persoonlijke gegevens van werknemers. We voldoen daarbij vanzelfsprekend aan de geldende wet- en regelgeving in Nederland. 
Zo zijn de volgende wetten voor onze dienstverlening van toepassing:

  • de Wet op de Geneeskundige Behandel Overeenkomst 
  • hierin wordt voor Arbo Unie en andere zorgdienstverleners bepaald hoe we omgaan met het medisch dossier en de raadpleging en vernietiging ervan.
  • de Arbowet
    hierin wordt bepaald wat geldend is voor werkgevers en dienstverleners in de bedrijfsgezondheidszorg als het gaat om de veiligheid en gezondheid van medewerkers.
  • de Privacywet
    hierin wordt bepaald hoe om moet worden gegaan met de bescherming van persoonsgegevens.

In aanloop naar de Europese privacywetgeving (AVG), die vanaf 25 mei 2018 geïmplementeerd moet zijn, is onze werkwijze op een aantal punten uitgebreid. Het gaat om de volgende onderwerpen:

  1. Aanpassing van het bestaande Privacyreglement 
  2. Aanstelling van een Register functionaris gegevensbescherming 
  3. Hanteren van een verwerkingsregister 
  4. Data Privacy Impact Assessment
  5. Aanpassing van de procedure voor datalekken
  6. Uitbreiding van informeren en trainen eigen medewerkers
  7. Verwerkersovereenkomsten hanteren inclusief alle toeleveranciers 
  8. Rechten van de betrokkenen borgen met betrekking tot vastgelegde persoonsgegevens.
Welke informatie mag er in het kader van de bedrijfsgezondheidszorg uitgewisseld worden tussen werkgever en arbodienstverlener?
Voor het uitwisselen van de juiste informatie hanteren we binnen onze branche de verzuimstandaard voor verzuim- en re-integratiebegeleiding. Dit is een set aan gegevens die is gebaseerd op de geldende wet- en regelgeving en dus ook op de AVG. Deze standaard is getoetst door de brancheorganisatie, waardoor u in dit kader ook geen extra privacy assessment (DPIA) hoeft uit te voeren. 

Voor het uitvoeren van Preventief Medische Onderzoeken, Risico-inventarisaties en -evaluaties en keuringen vraagt Arbo Unie uitsluitend informatie van de werkgever en cliënt dan noodzakelijk is voor uitvoering van deze wettelijke taken.