Privacyreglement

1. Inleiding

Alpina@Work verwerkt van werknemers die wij namens onze klanten begeleiden persoonsgegevens, dit doen we om u goed van dienst te kunnen zijn op het gebied van gezondheid en verzuim. Daarnaast verwerken we ook persoonsgegevens van onze klanten en leveranciers, dat betreffen vooral administratieve gegevens. Alpina@Work vindt een goede omgang met persoonsgegevens van groot belang en is zich bewust van de verplichtingen die de privacy en Arbowetgeving aan ons stelt. We zijn dan ook verantwoordelijk voor het zorgvuldig omgaan met de persoonsgegevens van u als werknemer of andere betrokkene. We besteden hier dan ook veel aandacht aan. In deze privacyverklaring leggen wij u graag uit hoe wij met uw persoonsgegevens omgaan.

2. Organisatiegegevens

Deze privacyverklaring heeft betrekking op onderstaande organisatie en omdat er een Functionaris Gegevensbescherming is aangesteld zijn ook deze contactgegevens hier opgenomen.

Contactgegevens hoofdkantoor

Edisonstraat 92, 7006 RE Doetinchem
Algemeen telefoonnummer: 088 000 8315
Algemeen e-mailadres: info@alpinawork.nl

Website: www.alpinawork.nl
KvK-nummer: 57795657

Heeft u informatie nodig of heeft u vragen?
Mail uw vraag (zonder herleidbare gezondheidsgegevens) naar info@alpinawork.nl.

Heeft een technische vraag over Xpert Suite?
Kijk hier naar de handleidingen en veelgestelde vragen.

Als u er toch niet uitkomt dan kunt u het issue mailen naar klantbeheer@alpinawork.nl.

Contactgegevens functionaris voor gegevensbescherming
Organisatie: Alpina Group
Naam: Henk Schoenman
E-mailadres: privacy@alpinagroup.com

3. Persoonsgegevens, doeleinden en grondslagen

Wettelijke verplichtingen te kunnen nakomen. Dat doen we alleen als er een specifiek doel is voor de gegevens. Zo hebben wij bijvoorbeeld gegevens nodig om met u te kunnen communiceren, u te kunnen begeleiden bij verzuim en u en uw werkgever daarbij van het juiste advies te kunnen voorzien of als u gebruik maakt van een inloopspreekuur of een keuring ondergaat. Daarnaast hebben we gegevens nodig voor het berekenen en innen van de vergoeding voor de dienstverlening. Als u namens Alpina@Work begeleid wordt door een bedrijfsarts hebben wij ook bepaalde wettelijke verplichtingen, zoals het aanleggen van een medisch dossier met daarin de aan u verrichte behandelingen en informatie over uw medische toestand.
Voor het verwerken van persoonsgegevens is een grondslag vereist. De meeste gegevens verwerken we op basis van de grondslagen wettelijke verplichting, en dan in het bijzonder de Arbeidsomstandighedenwet en de Wet Verbetering

Poortwachter of op basis van de geneeskundige behandeling of dienstverleningsovereenkomst. Voor andere verwerkingen hebben we uw specifieke toestemming nodig als grondslag. Dit geldt bijvoorbeeld voor het delen of ontvangen van informatie met andere zorgverleners. Voor alle gegevens die we verwerken op basis van uw toestemming geldt dat u altijd het recht heeft deze toestemming weer in te trekken of te wijzigen. Als u toestemming op een later tijdstip intrekt of wijzigt heeft dat geen effect op gedane verwerkingen voor deze intrekking. U kunt ook simpelweg weigeren om toestemming te geven.
Een totaaloverzicht van de diverse categorieën persoonsgegevens die we verwerken en de specifieke doeleinden en grondslagen kunt u vinden in bijlage 1. We verwerken nooit gegevens voor andere doeleinden dan in deze verklaring zijn benoemd.

4. Rechten van de betrokkenen

U heeft een aantal rechten als het gaat om uw persoonsgegevens. Deze rechten zijn in de wet vastgelegd. U kunt van de volgende rechten gebruik maken:

1. Het recht op informatie: betreft het recht om (vooraf) geïnformeerd te worden over wat er aan gegevens wordt vastgelegd en met welk doel. Dat doen we onder meer met deze verklaring.
2. Het recht op inzage: betreft het recht om de persoonsgegevens die worden verwerkt in te zien of hier een afschrift van te ontvangen.
3. Het recht op rectificatie: betreft het recht om de persoonsgegevens die worden verwerkt te wijzigen c.q. het recht om onjuiste gegevens aan te vullen of te verbeteren.
4. Het recht op vergetelheid: betreft het recht om gegevens te laten verwijderen. In geval van een verzoek om gegevens te wissen zullen wij toetsen of dit mogelijk is. In deze toets houden wij ons aan de wettelijke voorschriften en kijken wij bijvoorbeeld of wij geen wettelijke plicht hebben om de gegevens te bewaren of dat verwijdering mogelijk gevaar voor uzelf of andere personen oplevert.
5. Het recht op beperking van een verwerking: betreft het recht om minder gegevens te laten verwerken. Ook hier toetsen wij of dit mogelijk is waarbij wij ons aan de wettelijke voorschriften houden.
6. Het recht op dataportabiliteit: betreft het recht om persoonsgegevens over te (laten) dragen. U heeft het recht om de gegevens, die wij van u verwerken en van u hebben ontvangen, aan u over te dragen of op uw verzoek aan een andere organisatie over te dragen. Dit kan bijvoorbeeld als u naar een andere werkgever overstapt of een andere zorgverlener toegang tot uw dossier wilt geven.
7. Het recht op verzet (bezwaar): betreft het recht om bezwaar te maken tegen de verwerking van uw gegevens en/of een eerder gegeven toestemming in te trekken. Zo kunt u bijvoorbeeld bezwaar aantekenen tegen een verwerking op basis van gerechtvaardigd belang.
8. Het recht op een menselijke blik bij (geautomatiseerde) besluiten. Betreft het recht om te eisen dat er geen besluiten over u worden genomen die alleen gebaseerd zijn op geautomatiseerde verwerking van gegevens, dus zonder menselijke tussenkomst. (Zie voor meer informatie hoofdstuk 10).
   U kunt uw verzoek schriftelijk indienen via privacy@alpinagroup.com *. Vuistregel hierbij is dat als u een beroep doet op een van uw rechten, wij dat verzoek binnen één maand (kosteloos) zullen afhandelen. Als dat niet lukt, mag deze maand (meerdere malen) verlengd worden tot maximaal drie maanden.

* Als uw verzoek betrekking heeft op uw medisch dossiers is het verstandig om dit rechtstreeks bij de betreffende (bedrijfs)arts in te dienen, deze is immers de enige met toegang tot dit dossier.

5. Beveiliging

Alpina@Work heeft technische en organisatorische maatregelen genomen om uw persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De belangrijkste maatregelen zijn:

1. Binnen de organisatie is een kwaliteitsmanagementsysteem ingericht conform ISO 9001, daarmee borgen we een hoge kwaliteit in al onze processen. Belangrijke onderdelen hiervan zijn Privacy en informatiebeveiliging. Hierop worden wij ook door een externe organisatie jaarlijks getoetst.
2. Er zijn binnen de organisatie verantwoordelijkheden toegekend op het gebied van privacy en informatiebeveiliging.
3. Alleen die medewerkers kunnen bij de gegevens, die dat ook voor de uitvoering van hun werk nodig hebben. Zo is een zorgvuldige scheiding gemaakt wie welke dossiers in mag zien. (Zie ook hoofdstuk 6)
4. Werknemers die inzage hebben in persoonsgegevens zijn (contractueel) gehouden aan geheimhouding.
5. IT-voorzieningen en apparatuur zijn fysiek en logisch beschermd tegen toegang door onbevoegden en schade of storingen.
6. Digitale toegang tot uw medische dossier vindt altijd plaats via meervoudige authenticatie (2 factor authenticatie).
7. In kritische informatiesystemen zoals het verzuimsysteem en digitale medische dossiers worden activiteiten gelogd.
8. Met alle derde partijen die gegevens namens ons verwerken worden verwerkersovereenkomsten afgesloten waarin afspraken worden gemaakt over de toegang en beveiliging tot gegevens. Daarnaast gaan we alleen met leveranciers in zee die beschikken over een ISO 27001 certificaat, het internationale keurmerk voor informatiebeveiliging.
9. Alpina@Work draagt zorg voor een regelmatige scholing van haar personeel om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen en daarnaar handelen.
10. Alpina@Work werkt zoveel als mogelijk met digitale dossiers. Eventuele papieren dossiers met (medische) persoonsgegevens worden opgeborgen in afsluitbare kasten. Er is een reglement voor sleutelbeheer.
11. Indien informatie Alpina@Work op schrift bereikt, dan wordt deze gedigitaliseerd en wordt het brondocument vernietigt.

6. Toegang tot gegevens

We zijn erg zorgvuldig bij het bepalen wie toegang tot welke informatie mag hebben. Hierbij besteden we uiteraard extra aandacht aan toegang tot medische gegevens. Een overzicht van welke functionarissen binnen Alpina@Work toegang hebben tot welke informatie kunt u vinden in bijlage 2. In algemene zin wordt toegang alleen verleend volgens de volgende uitgangspunten:

1. Alleen die medewerkers van Alpina@Work hebben toegang tot persoonsgegevens voor zover dat noodzakelijk is voor een goede uitoefening van hun taken.
2. Derden die door Alpina@Work zijn ingehuurd of anderszins zijn aangesteld om werkzaamheden te verrichten, hebben toegang tot persoonsgegevens voor zover dit noodzakelijk is voor een goede uitoefening van hun taken en zijn contractueel tot geheimhouding verplicht.
3. Elektronische (medische) persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens.
4. In het kwaliteitsmanagementsysteem van Alpina@Work is aangegeven wie toegang heeft tot de registratiesystemen en hoe de autorisaties worden toegekend en beheerd.
5. Per gegevenscategorie is in bijlage 2 weergegeven welke functie(groep) welke toegang heeft.
6. Uitzondering op het overzicht uit bijlage 2 is de toetsing van dossiers voor kwaliteitsdoeleinden. In het kader van toetsing ten behoeve van kwaliteitsdoeleinden kan een professional van Alpina@Work inzage hebben in een dossier van een collega. Het doel is daarbij om optimale behandeling en begeleiding te realiseren. Daartoe deelt de professional zijn/haar bevindingen met de collega die de behandeling/ begeleiding uitvoert.
   Autorisaties voor toegang tot papieren of digitale dossiers vindt plaats via een gedocumenteerd proces waarbij rechten worden verleend op basis van een functie of rol, afwijking van deze autorisatiematrix mag alleen met expliciete toestemming van de directie. Bij de uitgifte van rechten zorgen we ervoor dat deze altijd op persoonsniveau worden uitgegeven en niet kunnen worden gedeeld met anderen. Onderdeel van het proces is ook het tijdig en zorgvuldig intrekken van rechten van personen die onze organisatie verlaten of van functie veranderen. Daarnaast voeren we ook periodieke controles uit op de toegekende rechten.

7. Externe ontvangers

Een deel van de gegevens die wij verwerken wordt met derden gedeeld voor de daaraan gerelateerde doeleinden. Vaak gebeurt dit op basis van een wettelijke verplichting. Organisaties of instanties waarmee wij gegevens delen zijn:

1. Uw werkgever. Hierbij worden alleen die gegevens gedeeld over uw afwezigheid die wettelijk zijn toegestaan. Wij zullen nooit medische gegevens of details over uw toestand of begeleiding delen met uw werkgever. De bedrijfsarts zal u altijd informeren over welke gegevens met uw werkgever zullen worden gedeeld.
2. Bedrijfsartsen, deskundigen of andere functionarissen die rechtstreeks betrokken zijn bij de behandeling, hulpverlening of begeleiding van een werknemer.
3. Andere zorgverleners, zoals een huisarts of medisch specialist. Dit mag alleen met uw uitdrukkelijke toestemming.
4. Verzekeringsmaatschappijen in het kader van de verzekering van de loondoorbetaling bij ziekte volgens de meest actuele versie van de Handleiding Privacy Verzuimverzekeringen, en voor zover wetgeving dit toestaat.
5. Het UWV, bijvoorbeeld in het geval van langdurige ziekte en re-integratie.
6. Re-integratiebedrijven, er wordt echter nooit meer verstrekt dan uw NAW-gegevens, het BSN, de arbeidsongeschiktheidsgegevens en de visie van Alpina@Work of het UWV op de re-integratie.
7. Accountant
8. Cloud/ICT leverancier
9. Belastingdienst

8. Verwerking buiten de EU

Wij verwerken alle gegevens binnen de Europese Unie. Als wij in de toekomst mogelijk verwerkingen buiten de EU zullen (laten)
verrichten dan doen we dat alleen in landen waarvan is bepaald dat deze voorziet in een passend beschermingsniveau of door middel van het sluiten van de daarvoor verplichte standaardcontracten van de Europese Commissie.

9. De bewaartermijnen

Voor alle persoonsgegevens die wij verwerken zijn bewaartermijnen bepaald. In principe geldt dat gegevens niet langer worden bewaard dan nodig. Voor administratieve verzuimgegevens hanteren we een bewaartermijn van 2 jaar na beëindiging van het dienstverband. Waar aanwezig worden de wettelijke bewaartermijnen gehanteerd. Dat geldt voor de volgende gegevens:

1. Voor een medisch dossier (voor zover opgesteld onder de Wet op de Geneeskundige Behandelingsovereenkomst) geldt een wettelijke bewaartermijn van 20 jaar.
2. Als werknemers tijdens werkzaamheden in aanraking zijn geweest met bepaalde gevaarlijke stoffen kan een langere wettelijke bewaartermijn gelden tot maximaal 40 jaar na beëindiging van het dienstverband.
3. Gegevens van cliënten waarbij namens een gemeente in het kader van de uitvoering van de WWB of WMO-contact, onderzoek, en/of beoordeling of indicatiestelling heeft plaatsgevonden worden minimaal 15 jaar bewaard.
4. Voor financiële gegevens geldt een wettelijke bewaartermijn van 7 jaar.

10. Profileren

Alpina@Work, of de bij ons aangesloten bedrijfsartsen zullen u nooit profileren (op eigen initiatief of op verzoek van uw werkgever) op basis van (louter) geautomatiseerde besluitvorming. Als op basis van testen of keuringen, digitale hulpmiddelen of andere gegevens een profiel van u wordt gemaakt zal altijd een menselijke blik worden gebruikt om tot een uiteindelijke oordeel of diagnose te komen. In geen geval zullen beslissingen over u worden genomen zonder menselijke tussenkomst.

11. Klachten en incidenten

Heeft u een vraag of een klacht over de manier waarop wij met uw persoonsgegevens omgaan? Neem dan contact op met onze Functionaris Gegevensbescherming via de hiervoor genoemde contactgegevens. Mocht u er samen met ons onverhoopt niet uitkomen, dan kunt u een klacht indienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Wij hebben daarnaast een protocol opgesteld voor het melden van incidenten. Hiermee geven wij invulling aan de meldplicht datalekken. De afhandeling van deze incidenten volgt een gestructureerd proces, dat ook voorziet in de juiste stappen rondom de meldplicht datalekken.
Als u een andere klacht heeft die geen betrekking heeft op uw privacy dan verwijzen we u graag naar ons klachtenreglement. Deze is te vinden op onze website.

12. Gegevens van derde partijen

Het kan voorkomen dat wij gegevens over u ontvangen van andere zorgverleners, dat kan alleen als u een andere zorgverlener hier toestemming voor heeft verleend. Van uw werkgever ontvangen we alleen uw naam, adresgegevens en overige identificerende of algemene gegevens.

13. Cookies

Wat is een cookie
Een cookie is een eenvoudig klein bestandje dat met pagina’s van deze website [en/of Flash-applicaties] wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd worden.

Functionele cookies
Functionele cookies zijn cookies die noodzakelijk zijn om onze website goed te laten functioneren, bijvoorbeeld voor het laden van afbeeldingen. Onze website werkt niet goed zonder deze cookies, hiervoor hoeft dan ook geen toestemming te worden gegeven.

Overige cookies
Met behulp van overige cookies kunnen wij u o.a. herkennen bij een nieuw bezoek op onze website. De website kan daardoor speciaal op uw voorkeuren worden ingesteld. Zo kunnen we gebruik maken van marketing, statistische of voorkeurscookies. Als we bij één van deze Cookies persoonsgegevens, bijvoorbeeld uw IP-adres verwerken, zullen we u via een cookiemelding om toestemming vragen. U kunt deze cookies ook weigeren.

Cookies verwijderen
Cookies kunnen worden verwijderd via de instellingen van uw browser.

Bijlage 1: Persoonsgegevens, doeleinden en grondslagen

Bijlage 2: toegang tot gegevens