Privacybeleid Groep IDEWE
Vertrouw je bepaalde taken toe aan IDEWE? Dan gebruiken we daarvoor je persoonsgegevens. Uiteraard nemen wij als verwerkingsverantwoordelijke de gepaste maatregelen om je privacy te beschermen. We houden ons strikt aan de Europese, nationale en regionale reglementering voor de verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer.
Groep IDEWE bestaat uit:
- IDEWE vzw, Interleuvenlaan 58 – 3001 Leuven (KBO-nr. 0409 862 612), vertegenwoordigd door prof. dr. Lode Godderis, algemeen directeur
- IBEVE vzw, Interleuvenlaan 58 – 3001 Leuven (KBO-nr. 0436 612 044), vertegenwoordigd door prof. dr. Lode Godderis, afgevaardigd bestuurder
Functionaris voor gegevensbescherming: Valentine De Dobbeleer (privacy@idewe.be)
Verwerking persoonsgegevens: juridische achtergrond
Als externe dienst voor preventie en bescherming op het werk voert IDEWE vzw haar taken uit conform:
- de Wet van 4 augustus 1996 over het welzijn van de werknemers bij de uitvoering van hun werk, kortweg de Welzijnswet
- de Codex over het welzijn op het werk
- de Wet betreffende de rechten van de patiënt van 22 augustus 2002
- de Algemene Verordening Gegevensbescherming of General Data Protection Regulation in het Engels, hierna genoemd ‘GDPR’
- de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
- het gedeelte van de Codex over de re-integratie van langdurig zieken (Maatregelen in verband met het gezondheidstoezicht op de werknemers, boek I, titel 4)
- de dienstenovereenkomst met de klant of de vraag van de betrokkene
Is de werkgever aangesloten bij IDEWE vzw? Dan ontvangen wij in de meeste gevallen de tewerkstellingsinformatie van de werknemers via de Kruispuntbank Sociale Zekerheid (KSZ). Dat zijn louter administratieve gegevens zoals naam, woonplaats, identificatienummer van de sociale zekerheid (INSZ), geboortedatum, statuut, geslacht, nationaliteit en de start- en einddatum van je tewerkstelling.
Gaat het om medische informatie? Daarvoor voldoet IDEWE vzw aan de disciplinaire regels van de Orde der artsen.
Groep IDEWE bestaat naast IDEWE vzw ook uit IBEVE vzw, die op contractuele basis werkt. De diensten van IBEVE vzw sluiten nauw aan bij het wettelijke takenpakket van een externe preventiedienst, zoals asbestonderzoek, milieubeheer, arbeidshygiëne, arbeidsveiligheid, veiligheidscoördinatie en energiebeheer.
Met welk doel verwerken wij je persoonsgegevens?
IDEWE vzw verwerkt persoonsgegevens volgens de bovenvermelde wetgeving voor:
- het gezondheids- en administratief dossier
- de organisatie van gezondheidsbeoordelingen
- het re-integratieonderzoek
- epidemiologisch onderzoek en (primair) wetenschappelijk onderzoek
- het verstrekken van informatie en nieuwsbrieven
Om haar taken als externe dienst voor preventie en bescherming op het werk correct uit te voeren, is het van belang dat IDEWE vzw beschikt over volgende gegevens:
- alle informatie voor de identificatie en de medische opvolging van de betrokkenen
- de actuele personeelsgegevens om de wettelijke jaarlijkse bijdrage van onze klanten te bepalen
IDEWE vzw ontvangt alle gegevens rechtstreeks van de werkgever of de betrokkene zelf en via de Kruispuntbank van de Sociale Zekerheid. IDEWE gebruikt de verkregen informatie alleen voor bovenstaande doelen, tenzij anders expliciet overeengekomen met de werknemer.
IBEVE vzw verwerkt persoonsgegevens waar dat nodig is voor de uitvoering van de contracten.
Groep IDEWE gebruikt sommige adresgegevens ook voor direct marketing zoals nieuwsbrieven en uitnodigingen.
Op basis van welke rechtsgronden verwerkt Groep IDEWE de persoonsgegevens?
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De verwerking is noodzakelijk om de gerechtvaardigde belangen van de verwerkingsverantwoordelijke te behartigen.
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op Groep IDEWE rust.
- De verwerking gebeurt op vraag van de betrokkene.
- In sommige gevallen is de toestemming van de betrokkene nodig voor de verwerking.
Soorten persoonsgegevens
Groep IDEWE bewaart volgende gegevens:
- identificatiegegevens zoals naam, voornaam, geboortedatum, geboorteplaats, geboorteland, rijksregisternummer
- contactinformatie zoals telefoonnummer, persoonlijk adres en eventueel het adres van een noodcontact
- arbeidsgegevens zoals uitgevoerde functies, risico’s verbonden aan die functies, start- en stopdatum van tewerkstelling (als je werkgever(s) bij Groep IDEWE zijn aangesloten)
- privé-informatie over zaken die invloed kunnen hebben op de gezondheid van de werknemer of de uitgeoefende functie zoals hobby’s, sport, roken, drinken, drugs, …
- gezondheidsinformatie zoals persoonlijke en familiale historiek, zwangerschappen, medicatie, anamnese, biometrie, …
- psychosociale informatie rond ongewenst grensoverschrijdend gedrag, stress, …
- contactgegevens van de klant.
Wie heeft toegang tot de persoonsgegevens?
- bevoegd personeel van Groep IDEWE. We maken hierbij een onderscheid tussen verschillende types van persoonsgegevens (bijv. adresgegevens, medische gegevens …) om de toegangsrechten te bepalen. Zo zijn medische gegevens bijvoorbeeld enkel beschikbaar voor het medisch personeel. Voor een aantal specifieke administratieve handelingen (bijv. het toewijzen van binnenkomende post) krijgt ook het ondersteunend administratief personeel tijdelijk en beperkt toegang tot enkel de medische gegevens die nodig zijn voor deze handeling.
- hulpverleners met wie overleg noodzakelijk is, bijvoorbeeld in het kader van het gezondheids- of psychosociaal dossier (alleen met akkoord van de werknemer).
- de klant zelf voor administratieve, niet-medische persoonsgegevens
- organisaties waaraan Groep IDEWE wettelijk verplicht is om persoonsgegevens te overhandigen
Is het om een specifieke reden nodig dat een derde partij – zoals een softwareleverancier – toegang krijgt tot bepaalde persoonsgegevens? Dan neemt Groep IDEWE de nodige maatregelen om de beveiliging en vertrouwelijkheid van die gegevens te garanderen. Groep IDEWE sluit dan een verwerkersovereenkomst af met de derde partij, zoals bepaald door de GDPR.
De informatie die we van de werknemer verkrijgen tijdens (of in het kader van) een medisch onderzoek behandelen we als medische informatie. Dat houdt in dat alleen het medisch personeel toegang heeft. Voor een aantal specifieke administratieve handelingen (bijv. het toewijzen van binnenkomende post) krijgt ook het ondersteunend administratief personeel tijdelijk en beperkt toegang.
Elektronische gezondheidsdossiers delen we nooit met derden, of met de werkgever(s). Kiest het bedrijf voor een andere externe dienst voor preventie en bescherming op het werk en vervalt het contract met IDEWE vzw? Dan stuurt IDEWE vzw de informatie van het gezondheidsdossier door. Dit conform de Welzijnswet en de Codex over het welzijn op het werk.
Beveiliging van je persoonsgegevens
Het beveiligingsplan van Groep IDEWE houdt rekening met alle domeinen die omschreven zijn in de principes van de ISO 27000. IDEWE waarborgt een beveiligingsniveau dat op het risico is afgestemd, met de bijbehorende technische en organisatorische maatregelen, zoals:
- de versleuteling van persoonsgegevens
- permanente garantie van:
- de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkte gegevens
- de veerkracht van onze verwerkingssystemen en diensten
- snel ingrijpen bij een fysiek of technisch incident
- een uitgebreide testprocedure
Om de informatie goed te beveiligen hanteert Groep IDEWE een dataclassificatie-indeling. Dat betekent dat de beveiliging verstrengt naarmate de informatie gevoeliger wordt.
Alle personeel van Groep IDEWE heeft een vertrouwelijkheidsclausule ondertekend. Die maakt integraal deel uit van de arbeidsovereenkomst.
Voor sommige verwerkingen doet Groep IDEWE een beroep op een onderaannemer – zoals een softwareleverancier, drukker, … In dat geval wordt er een verwerkersovereenkomst afgesloten. Zo verzekert Groep IDEWE zich ervan dat alles conform de GDPR-reglementering verloopt, met de bijbehorende organisatorische en technische beveiligingsmaatregelen en verplichtingen.
Bewaartermijnen
- IDEWE vzw houdt de informatie over een werknemer minstens vijftien jaar bij. We wijken daarbij af van het recht op vergetelheid. De reden daarvoor is het voortgezet medisch toezicht: van bepaalde risico’s is de impact pas na lange termijn zichtbaar. Die termijn is vastgelegd in de wetgeving over welzijn op het werk.
- Psychosociale aspecten: voor formele en informele verzoeken geldt een wettelijke bewaartermijn van twintig jaar. Voor bevragingen in het kader van een risicoanalyse psychosociale aspecten geldt een bewaartermijn van 15 jaar.
- IBEVE vzw houdt de persoonsgegevens zeven jaar bij, naar analogie met de vennootschapsboekhoudwetgeving.
- Sollicitatiedossiers worden vijf jaar bewaard.
Gebruik van het rijksregisternummer als identificatie
IDEWE vzw kreeg van de Commissie voor de bescherming van de persoonlijke levenssfeer de toelating om het rijksregisternummer te gebruiken:
- voor een eenduidige identificatie van de werknemers
- voor de communicatie met de werkgever
Anoniem gebruik van de informatie
Een van de taken van een externe dienst voor preventie en bescherming op het werk is om wetenschappelijk onderzoek uit te voeren. Daarvoor gebruikt IDEWE vzw informatie die werd geanonimiseerd of gepseudonimiseerd. In uitzonderlijke gevallen, en alleen indien dit strikt noodzakelijk is voor de aard van het onderzoek, zullen identificeerbare persoonsgegevens worden gebruikt. IDEWE vzw hanteert hierbij steeds de meest strikte confidentialiteitsnormen.
Individuele rechten volgens de GDPR-reglementering
1. Recht om de persoonsgegevens die Groep IDEWE bezit in te kijken:
- administratief dossier
- Deze gegevens krijgt de betrokkene zelf.
- psychosociaal dossier
- De betrokkene heeft recht op een afschrift van de gesprekken met de preventieadviseur psychosociale aspecten.
- gezondheidsdossier
- Mits toestemming van de betrokkene bezorgen we de documenten uit het gezondheidsdossier aan de behandelende arts
- De betrokkene heeft het recht kennis te nemen van de medische persoonsgegevens en blootstellingsgegevens in het gezondheidsdossier en dit conform de bepalingen van Art. I.4-95 van de Codex over het welzijn op het werk.
2. Recht op correcties
Als de betrokkene vaststelt dat sommige persoonsgegevens niet correct zijn, heeft hij het recht om ze te laten corrigeren.
3. Recht om gegevens te wissen
Het recht om gegevens te wissen, is in de meeste gevallen zeer beperkt of vervalt volledig. Dat komt doordat IDEWE vzw gebonden is door wettelijke bewaarverplichtingen.
4. Recht op beperking van de verwerking
5. Voor sommige persoonsgegevens (zoals het gezondheidsdossier) gelden wettelijke bepalingen die de overdracht ervan reglementeren.
6. Recht van bezwaar
IDEWE vzw is gebonden door wettelijke verwerkingsverplichtingen. Daardoor vervalt het recht op bezwaar in veel gevallen. De betrokkene mag altijd bezwaar maken tegen het gebruik van zijn persoonsgegevens voor direct marketing.
7. Recht op intrekking van toestemming
Is voor een verwerking uitdrukkelijke toestemming vereist? Dan mag de betrokkene die altijd intrekken. Let wel: de intrekking heeft wettelijk alleen gevolgen voor de toekomstige verwerkingen, nooit voor de verwerkingen uit het verleden.
8. Geautomatiseerde individuele besluitvorming
Wanneer er ooit een beslissing zou worden genomen op basis van een geautomatiseerde individuele besluitvorming, bieden wij de betrokkene de nodige waarborgen. Is die het oneens met de geautomatiseerde beslissing? Dan krijgt hij van ons ook een specifieke uitleg over het beslissingsproces en het recht op een menselijke tussenkomst.
9. Recht om klacht in te dienen bij een toezichthoudende gegevensautoriteit
Denkt de betrokkene dat er een inbreuk werd gemaakt op de GDPR? Dan heeft hij het recht om een klacht in te dienen bij de toezichthoudende gegevensautoriteit van de lidstaat waar hij gewoonlijk verblijft, zijn werkplek heeft of waar de vermeende inbreuk is begaan. In België is dat de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).
Uitoefening van de individuele rechten
Tenzij de wijze van verzoek wettelijk is vastgelegd – zoals de overdraagbaarheid van het gezondheidsdossier – mag een betrokkene zijn individuele rechten uitoefenen als hij een gedagtekend verzoek indient.
Omdat het gaat om gevoelige gegevens moeten wij absoluut zeker zijn van de identiteit van de betrokkene. Een aanpassing of inzage kan namelijk grote gevolgen hebben, bijvoorbeeld voor het gezondheidsdossier.
Indien uit de ons toegestuurde identificatiegegevens dit bewijs niet onomstotelijk kan worden geleverd, dan zullen wij bijkomende bewijzen van uw identiteit opvragen.
In het uiterste geval zullen wij vragen om een kopie van uw identiteitskaart. U mag dan alle gegevens doorhalen die niet relevant zijn voor uw identificatie, zoals het nummer van zijn identiteitskaart. IDEWE vzw is gemachtigd voor het gebruik van het rijksregisternummer. Daarom is in een dergelijk geval ook een kopie vereist van de achterkant van de identiteitskaart, waarop minstens naam en rijksregisternummer goed zichtbaar zijn. Voor IBEVE vzw volstaat een kopie van de voorkant van de identiteitskaart.
Een gedagtekend verzoek indienen kan ook via een elektronisch ondertekende e-mail. Eventueel mét kopie van de identiteitskaart, op dezelfde manier zoals hierboven beschreven staat.