Beiden betekenen hetzelfde. De AVG staat voor Algemene Verordening Gegevensbescherming en in het Engels wordt gesproken over GDPR wat staat voor General Data Protection Regulation.
Beide benamingen betekenen hetzelfde. Een functionaris gegevensbescherming (fg) of een data protection officer (dpo) is verplicht voor:
Onze moederorganisatie HumanTotalCare heeft een data protection officer aangesteld.
Kijk voor meer informatie op de site van de Autoriteit Persoonsgegevens.
In artikel 30 van de AVG staan de minimale eisen beschreven.
Het register dient minimaal de volgende gegevens te bevatten:
Het register geeft de huidige verwerkingen weer (zie ook vorige vraag). Het register geeft niet weer hoe je jouw gegevens moet beschermen. Het gegevensbeschermingsbeleid geeft onder andere weer hoe de gegevens beschermd moeten worden.
Als een werknemer zich ziek meldt, mag u als werkgever de volgende gegevens over zijn gezondheid vragen en registreren:
Als werkgever mag u geen andere gegevens over de gezondheid verwerken dan de hierboven genoemde gegevens. Ook niet met toestemming van de werknemer. Gelet op de gezagsverhouding tussen werkgever en werknemer kan een werknemer zich namelijk gedwongen voelen toestemming te verlenen, zodat geen sprake is van een ‘vrije’ wilsuiting. Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag u als werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte verwerken.
De gegevens die u als werkgever mag verwerken, naast de gegevens van de ziekmelding, zijn de gegevens die de bedrijfsarts/HumanCapitalCare aan hem heeft verstrekt over:
We hebben dit ook voor u op een rij gezet in dit leaflet.
De mate van arbeids(on)geschiktheid, evenals de beperkingen en mogelijkheden mogen uitsluitend door de bedrijfsarts vastgesteld worden. De werkgever bepaalt de loonwaarde volgend uit de activiteiten bij re-integratie.
De werkgever is op grond van de Arbeidsomstandighedenwet verplicht om een PMO aan te bieden aan zijn werknemers. De deelname aan het PMO is gebaseerd is op een vrijwillig contact tussen de werknemer en HumanCapitalCare. Op de gegevens die in het kader van het PMO zijn verkregen, rust het medisch beroepsgeheim op grond van artikel 457 van de Wet op de Geneeskundige Behandelingsovereenkomst. De bedrijfsarts mag gegevens in het kader van het PMO enkel met uitdrukkelijke toestemming van de werknemer aan de werkgever verstrekken. Dat geldt ook voor de deelname zelf. De bedrijfsarts mag niet aan de werkgever melden of een werknemer al dan niet heeft deelgenomen aan het PMO, noch bij wie sprake was van een no-show. Dit wordt door de NVAB bevestigd in de Leidraad ‘Bedrijfsarts en privacy’ (2011).
Er bestaan ook verplichte PMO’s. Ten aanzien van die PMO’s geldt dat deelname en uitslag van zo’n PMO wel met de werkgever mag worden gedeeld (eveneens bevestigd in Leidraad ‘Bedrijfsarts en Privacy van de NVAB).
Dit hang af van de verwerking. Voor elke verwerking dien je een geldige grondslag te hebben. De grondslagen zijn:
Als werkgever bent en blijft u verantwoordelijk voor het toesturen van de juiste informatie over werknemers met wie wij een behandelrelatie aangaan, via IT&Care naar HumanCapitalCare (zie vraag hieronder). Door gebruik te maken van een gestandaardiseerde en geautomatiseerde berichtenkoppeling doet u dat op een betrouwbare en veilige manier. Met de gangbare personeelsinformatiesystemen heeft IT&Care een standaard koppeling op basis van de Verzuimstandaard 2017 beschikbaar om rechtmatig informatie uit te kunnen wisselen in het kader van de verzuim- en re-integratiebegeleiding van u als werkgever naar HumanCapitalCare.
Nee, in het kader van de AVG treedt HumanCapitalCare op als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens. Wel dient u een verwerkersovereenkomst af te sluiten met onze zusterorganisatie IT&Care, de ontvanger van de persoonsgegevens die door een mogelijke koppeling met uw HR-systeem worden uitgewisseld. IT&Care is hierin de verwerker van alle gegevens van de klantorganisatie.
HumanCapitalCare maakt in de dienstverlening aan werkgevers en werknemers namelijk gebruik van de software van het IT-bedrijf IT&Care B.V. De software van IT&Care is specifiek gericht op het bewaken en bevorderen van de gezondheid, en de ontwikkeling van competenties en motivatie van werknemers, teneinde werkgevers en werknemers te ondersteunen bij het duurzaam inzetbaar functioneren van de organisatie en haar werknemers. Binnen de IT&Care software is een alleen voor de werkgever toegankelijk Werkgeverportaal ingericht waarin de werkgever gegevens van zijn werknemers kan opslaan.
Privacyreglement
U vindt het privacyreglement van IT&Care op www.itandcare.nl/privacyreglement. Hierin staat de onafhankelijke rol en de werkwijze van IT&Care beschreven.
Als klant van HumanCapitalCare levert u voor de verzuimbegeleiding de gegevens van uw werknemers aan. Hiervoor wordt zowel door u als werkgever als ook voor HumanCapitalCare gebruik gemaakt van de software van het IT-bedrijf IT&Care B.V.; zustermaatschappij van HumanCapitalCare.
Omdat IT&Care als ‘verwerker’ persoonsgegevens verwerkt namens u als ‘verwerkingsverantwoordelijke’ moeten er volgens de geldende wetgeving (waaronder de AVG) afspraken worden gemaakt over die verwerking. U sluit daarom een ‘verwerkersovereenkomst’ af met IT&Care.
Eisen Autoriteit Persoonsgegevens (AP)
U bepaalt als ‘verwerkingsverantwoordelijke’ uiteraard zelf welke gegevens worden opgeslagen en welke gegevens door IT&Care voor u worden verwerkt. U spreekt daarom in de verwerkersovereenkomst met IT&Care af dat deze alleen gegevens doorstuurt naar HumanCapitalCare indien er sprake is van een ziekmelding of zorgvraag van een werknemer. Dit is conform de beleidsregels ‘de zieke werknemer’ van de Autoriteit Persoonsgegevens (AP, april 2016).
Meer informatie over de verwerkersovereenkomst? Neem contact op met privacy@humancapitalcare.nl.
HumanCapitalCare heeft van IT&Care een licentie verkregen om, namens IT&Care, het integraal gezondheidsmanagementsysteem we-care aan haar klanten ter beschikking te stellen. Hiervoor heeft u een gebruiksrechtovereenkomst. Op grond van de gebruiksrechtovereenkomst die u sluit met HumanCapitalCare, kunt u gebruikmaken van we-care. Deze beschrijft de rechten en plichten van u als gebruiker van we-care.
Nee, de Wet op de geneeskundige behandelingsovereenkomst (WGBO) geldt hierbij als geldige grondslag om cliëntgegevens te mogen verwerken. Om de juiste zorg te leveren is dossiervorming nodig.
Nee, HumanCapitalCare vraagt alleen naar de strikt noodzakelijke gegevens voor de uitvoering van haar wettelijke taak. Hiervoor is niet nogmaals extra instemming van de betrokken werknemer nodig. De OR heeft in algemene zin conform de Arbowetgeving instemmingsrecht op de afspraken tussen de werkgever en de arbodienstverlener.
Ja. HumanCapitalCare voldoet aantoonbaar aan alle nieuwe eisen en werkprocessen die voortkomen uit de AVG. Hieronder volgt per onderwerp een nadere toelichting:
Het is verplicht om richting de betrokkenen transparant te zijn en informatie te verstrekken wat je met de gegevens doet, welke gegevens je verwerkt , onder welke grondslag en hoe lang je de gegevens bewaard. Zie ook het privacyreglement op onze website.
Hebt u nog vragen over de AVG? Stel ze ons gerust via privacy@humancapitalcare.nl.