AVG (Privacywet): wat verandert er?

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) definitief de bestaande Wet Bescherming Persoonsgegevens (WBP). In de WBP maar ook de WGBO (Wet op de Geneeskundige Behandelingsovereenkomst) zijn al heel wat regels van toepassing die ook in de AVG gelden.

De AVG heeft met name op het gebied van de rechten van burgers extra plichten opgelegd aan organisaties die persoonsgegevens verwerken. Organisaties worden geacht transparant te zijn over welke persoonsgegevens worden verwerkt, op welke manier en door wie. Daarnaast moet de verwerking van persoonsgegevens geminimaliseerd worden en moet voor iedere verwerking een passende en wettelijk gerechtvaardigde reden zijn.

We krijgen veel vragen van werkgevers over de AVG. Hieronder vindt u daarom een overzicht van veel gestelde vragen over de Algemene Verordening Gegevensbescherming.

 

Algemeen

AVG en onze samenwerking

 

Wat is het verschil tussen de AVG en GDPR?

Beiden betekenen hetzelfde. De AVG staat voor Algemene Verordening Gegevensbescherming en in het Engels wordt gesproken over GDPR wat staat voor General Data Protection Regulation.

 

Heb ik een functionaris gegevensbescherming of een data protection officer nodig?

Beide benamingen betekenen hetzelfde. Een functionaris gegevensbescherming (fg) of een data protection officer (dpo) is verplicht voor:

  • Overheidsinstanties
  • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is

Onze moederorganisatie HumanTotalCare heeft een data protection officer aangesteld.

Kijk voor meer informatie op de site van de Autoriteit Persoonsgegevens.

 

Hoe nauwkeurig dient het register van verwerkingsactiviteiten te worden beschreven?

In artikel 30 van de AVG staan de minimale eisen beschreven.

Het register dient minimaal de volgende gegevens te bevatten:

  1. Naam en contactgegevens van de verwerkers en verantwoordelijken
  2. De verwerkingsdoeleinden
  3. Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens
  4. De categorieën van ontvangen aan wie de persoonsgegevens worden verstrekt
  5. Indien van toepassing: doorgiften van persoonsgegevens aan een derde land (buiten EU)
  6. Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
  7. Beschrijving van de technische en organisatorische beveiligingsmaatregelen

Wat is het verschil tussen een register van verwerkingsactiviteiten en een gegevensbeschermingsbeleid?

Het register geeft de huidige verwerkingen weer (zie ook vorige vraag). Het register geeft niet weer hoe je jouw gegevens moet beschermen. Het gegevensbeschermingsbeleid geeft onder andere weer hoe de gegevens beschermd moeten worden.

 

Mag ik als werkgever bij ziekmelding aan een medewerker vragen wat hij/zij nog wel kan doen?

Als een werknemer zich ziek meldt, mag u als werkgever de volgende gegevens over zijn gezondheid vragen en registreren:

  1. het telefoonnummer en (verpleeg)adres;
  2. de vermoedelijke duur van het verzuim;
  3. de lopende afspraken en werkzaamheden;
  4. of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
  5. of de ziekte verband houdt met een arbeidsongeval;
  6. of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

Als werkgever mag u geen andere gegevens over de gezondheid verwerken dan de hierboven genoemde gegevens. Ook niet met toestemming van de werknemer. Gelet op de gezagsverhouding tussen werkgever en werknemer kan een werknemer zich namelijk gedwongen voelen toestemming te verlenen, zodat geen sprake is van een ‘vrije’ wilsuiting. Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag u als werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte verwerken.

De gegevens die u als werkgever mag verwerken, naast de gegevens van de ziekmelding, zijn de gegevens die de bedrijfsarts/HumanCapitalCare aan hem heeft verstrekt over:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

We hebben dit ook voor u op een rij gezet in dit leaflet.

 

Mag de werkgever de mate van arbeids(on)geschiktheid van de zieke werknemer vaststellen?

De mate van arbeids(on)geschiktheid, evenals de beperkingen en mogelijkheden mogen uitsluitend door de bedrijfsarts vastgesteld worden. De werkgever bepaalt de loonwaarde volgend uit de activiteiten bij re-integratie.

 

Mogen namen van deelnemers aan een Preventief Medisch Onderzoek (PMO) worden doorgegeven aan mij als werkgever?

De werkgever is op grond van de Arbeidsomstandighedenwet verplicht om een PMO aan te bieden aan zijn werknemers. De deelname aan het PMO is gebaseerd is op een vrijwillig contact tussen de werknemer en HumanCapitalCare. Op de gegevens die in het kader van het PMO zijn verkregen, rust het medisch beroepsgeheim op grond van artikel 457 van de Wet op de Geneeskundige Behandelingsovereenkomst. De bedrijfsarts mag gegevens in het kader van het PMO enkel met uitdrukkelijke toestemming van de werknemer aan de werkgever verstrekken. Dat geldt ook voor de deelname zelf. De bedrijfsarts mag niet aan de werkgever melden of een werknemer al dan niet heeft deelgenomen aan het PMO, noch bij wie sprake was van een no-show. Dit wordt door de NVAB bevestigd in de Leidraad ‘Bedrijfsarts en privacy’ (2011).

Er bestaan ook verplichte PMO’s. Ten aanzien van die PMO’s geldt dat deelname en uitslag van zo’n PMO wel met de werkgever mag worden gedeeld (eveneens bevestigd in Leidraad ‘Bedrijfsarts en Privacy van de NVAB).

 


 

AVG en onze samenwerking

 

Wat is onze grondslag om gegevens te verwerken?

Dit hang af van de verwerking. Voor elke verwerking dien je een geldige grondslag te hebben. De grondslagen zijn:

 

Wat betekent de nieuwe AVG voor u als werkgever bij de uitwisseling van informatie met HumanCapitalCare?

Als werkgever bent en blijft u verantwoordelijk voor het toesturen van de juiste informatie over werknemers met wie wij een behandelrelatie aangaan, via IT&Care naar HumanCapitalCare (zie vraag hieronder). Door gebruik te maken van een gestandaardiseerde en geautomatiseerde berichtenkoppeling doet u dat op een betrouwbare en veilige manier. Met de gangbare personeelsinformatiesystemen heeft IT&Care een standaard koppeling op basis van de Verzuimstandaard 2017 beschikbaar om rechtmatig informatie uit te kunnen wisselen in het kader van de verzuim- en re-integratiebegeleiding van u als werkgever naar HumanCapitalCare.

 

Moet ik met HumanCapitalCare een verwerkersovereenkomst afsluiten?

Nee, in het kader van de AVG treedt HumanCapitalCare op als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens. Wel dient u een verwerkersovereenkomst af te sluiten met onze zusterorganisatie IT&Care, de ontvanger van de persoonsgegevens die door een mogelijke koppeling met uw HR-systeem worden uitgewisseld. IT&Care is hierin de verwerker van alle gegevens van de klantorganisatie.

HumanCapitalCare maakt in de dienstverlening aan werkgevers en werknemers namelijk gebruik van de software van het IT-bedrijf IT&Care B.V. De software van IT&Care is specifiek gericht op het bewaken en bevorderen van de gezondheid, en de ontwikkeling van competenties en motivatie van werknemers, teneinde werkgevers en werknemers te ondersteunen bij het duurzaam inzetbaar functioneren van de organisatie en haar werknemers. Binnen de IT&Care software is een alleen voor de werkgever toegankelijk Werkgeverportaal ingericht waarin de werkgever gegevens van zijn werknemers kan opslaan.

Privacyreglement
U vindt het privacyreglement van IT&Care op www.itandcare.nl/privacyreglement. Hierin staat de onafhankelijke rol en de werkwijze van IT&Care beschreven.

 

Wie is IT&Care en waarom moet ik een verwerkersovereenkomst afsluiten met IT&Care?

Als klant van HumanCapitalCare levert u voor de verzuimbegeleiding de gegevens van uw werknemers aan. Hiervoor wordt zowel door u als werkgever als ook voor  HumanCapitalCare gebruik gemaakt van de software van het IT-bedrijf IT&Care B.V.; zustermaatschappij van HumanCapitalCare.

Omdat IT&Care als ‘verwerker’ persoonsgegevens verwerkt namens u als ‘verwerkingsverantwoordelijke’ moeten er volgens de geldende wetgeving (waaronder de AVG) afspraken worden gemaakt over die verwerking. U sluit daarom een ‘verwerkersovereenkomst’ af met IT&Care.

 

Eisen Autoriteit Persoonsgegevens (AP)
U bepaalt als ‘verwerkingsverantwoordelijke’ uiteraard zelf welke gegevens worden opgeslagen en welke gegevens door IT&Care voor u worden verwerkt. U spreekt daarom in de verwerkersovereenkomst met IT&Care af dat deze alleen gegevens doorstuurt naar HumanCapitalCare indien er sprake is van een ziekmelding of zorgvraag van een werknemer. Dit is conform de beleidsregels ‘de zieke werknemer’ van de Autoriteit Persoonsgegevens (AP, april 2016).

 

Meer informatie over de verwerkersovereenkomst? Neem contact op met privacy@humancapitalcare.nl.

 

Is er geen overeenkomst tussen IT&Care en werkgever?

HumanCapitalCare heeft van IT&Care een licentie verkregen om, namens IT&Care, het integraal gezondheidsmanagementsysteem we-care aan haar klanten ter beschikking te stellen. Hiervoor heeft u een gebruiksrechtovereenkomst. Op grond van de gebruiksrechtovereenkomst die u sluit met HumanCapitalCare, kunt u gebruikmaken van we-care.  Deze beschrijft de rechten en plichten van u als gebruiker van we-care.

 

Moet HumanCapitalCare toestemming vragen om cliëntgegevens te verwerken?

Nee, de Wet op de geneeskundige behandelingsovereenkomst (WGBO) geldt hierbij als geldige grondslag om cliëntgegevens te mogen verwerken. Om de juiste zorg te leveren is dossiervorming nodig.

 

Moeten werknemers vooraf instemmen met het delen van persoonsgegevens met HumanCapitalCare?

Nee, HumanCapitalCare vraagt alleen naar de strikt noodzakelijke gegevens voor de uitvoering van haar wettelijke taak. Hiervoor is niet nogmaals extra instemming van de betrokken werknemer nodig. De OR heeft in algemene zin conform de Arbowetgeving instemmingsrecht op de afspraken tussen de werkgever en de arbodienstverlener.

 

Heeft HumanCapitalCare de wijzigingen die voortkomen uit de AVG al volledig geïmplementeerd?

Ja. HumanCapitalCare voldoet aantoonbaar aan alle nieuwe eisen en werkprocessen die voortkomen uit de AVG. Hieronder volgt per onderwerp een nadere toelichting:

  • HumanCapitalCare beschikt over een privacyreglement (aangepast aan de eisen van de AVG), waarmee we klanten informeren over de manier waarop we invulling geven aan de Privacywetgeving.
  • HumanCapitalCare heeft het ISO9001:2015, ISO27001:2013, NEN7510 certificaat en het certificaat arbodienstverlening. Deze werkwijze wordt regelmatig getoetst door externe auditors. HumanCapitalCare werkt continu aan het verbeteren van de bescherming van informatie.
  • HumanCapitalCare heeft vanuit moedermaatschappij HumanTotalCare een data protection officer aangesteld. De Corporate Data Protection Officer is geregistreerd als Functonaris Gegevensbescherming in het register van de Autoriteit Persoonsgegevens en houdt hier onafhankelijk toezicht op.
  • Werknemers van HumanCapitalCare zijn verplicht om alle datalekken direct, en zonder vertraging te melden bij de Corporate Data Protection Officer. Na beoordeling handelt deze conform de wetgeving.
  • HumanCapitalCare registreert alle informatieverwerkingen in een verwerkingenregister, dat zorgvuldig wordt beheerd.
  • Bij wijzigingen in de verwerking van persoonsgegevens is HumanCapitalCare verplicht om een formele en gedocumenteerde review te houden van de risico’s en de te nemen maatregelen om deze gegevens te beschermen. Dit heet in de AVG een ‘Data Privacy Impact Assessment’. Deze procedure is geborgd binnen onze werkprocessen.

 

Wat is een privacy statement en wat moet erin staan?

Het is verplicht om richting de betrokkenen transparant te zijn en informatie te verstrekken wat je met de gegevens doet, welke gegevens je verwerkt , onder welke grondslag en hoe lang je de gegevens bewaard. Zie ook het privacyreglement op onze website.

 

Vragen?

Hebt u nog vragen over de AVG? Stel ze ons gerust via privacy@humancapitalcare.nl.

terug naar overzicht