PRIVACYREGLEMENT

Overwegingen
IHTOM B.V. hecht grote waarde aan een zorgvuldige omgang met persoonsgegevens. IHTOM B.V. garandeert dat zij de toepasselijke privacywet- en regelgeving naleeft, waaronder begrepen de Algemene Verordening Gegevensbescherming (verder: ‘AVG’) en de KNMG Code “Gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie”.

In dit privacyreglement zijn deze wettelijke normen nader uitgewerkt en wordt uitleg gegeven over de werkwijze die IHTOM B.V. hanteert met betrekking tot het Verwerken van Persoonsgegevens.

Algemeen
Indien u een vraag of klacht heeft over dit privacyreglement kunt u zich wenden tot:

IHTOM B.V.
T.a.v. functionaris voor gegevensbescherming, mevrouw S. Hirst
Safariweg 71
3605 MA MAARSSEN
Begripsbepalingen
– Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
– Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens
vaststelt.
– Betrokkene: degene op wie het persoonsgegeven betrekking heeft.
Artikel 1. Toepassingsgebied
Dit reglement is van toepassing op elke, al dan niet (gedeeltelijk) geautomatiseerde, verwerking van persoonsgegevens door of onder het gezag van IHTOM B.V.

Artikel 2. Doel en herkomst van de verwerking van persoonsgegevens
1. IHTOM B.V. verwerkt persoonsgegevens van betrokkenen ten behoeve van:
a. Haar eigen werkgeverschap/opdrachtgeverschap m.b.t. medewerkers welke werkzaam zijn voor IHTOM B.V.;
b. de dienstverlening van IHTOM B.V. inzake HR zoals HR-casussen, HR-onderzoek, HR-beleid of andere HR-zaken waarvoor IHTOM B.V. bij haar opdrachtgevers wordt ingezet;
c. de dienstverlening van IHTOM B.V. inzake de preventie van en begeleiding bij verzuim, zoals arbeidsomstandigheden, verzuimbegeleiding en re-integratie;
d. de verkoop en uitvoering van de dienstverlening van IHTOM B.V.
2. Persoonsgegevens die door IHTOM B.V. worden verwerkt, zijn verzameld door de medewerkers van IHTOM B.V. en zijn uitsluitend afkomstig van betrokkene, de werkgever van betrokkene of instanties of personen die bij de uitvoering van de in artikel 2, lid 1 genoemde doelen een taak hebben of anderszins verplicht of schriftelijk gemachtigd zijn gegevens te verstrekken.

Artikel 3. Grondslagen van de verwerking
IHTOM B.V. verwerkt alleen gegevens indien er ten aanzien van de verwerking van persoonsgegevens geldt, dat:
a. betrokkene voor de verwerking zijn toestemming heeft verleend, of;
b. de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarin betrokkene partij is, of om op verzoek van betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen, of;
c. de verwerking noodzakelijk is om een wettelijke verplichting na te komen, of;
d. de verwerking noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijk persoon te beschermen, of;
e. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van IHTOM B.V. zoals het kunnen aanbieden of uitvoeren van haar dienstverlening.

Artikel 4. Verwerken van en toegang tot persoonsgegevens
1. IHTOM B.V., en een ieder werkzaam is voor IHTOM B.V., is verplicht tot geheimhouding van de persoonsgegevens waarvan hij kennis neemt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak mededeling voortvloeit.
2. Alleen die medewerkers hebben toegang tot persoonsgegevens voor zover dat noodzakelijk is voor een goede uitoefening van hun taken.
3. Autorisatie voor toegang tot persoonsgegevens wordt schriftelijk verleend door een lid van de directie. Afgegeven autorisaties worden beheerd door de coördinator backoffice.
4. Elektronische (medische) persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Vastlegging van (medische) persoonsgegevens in verband met ziekteverzuim en re-integratie geschiedt op basis van de KNMG-code ‘Gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (2007)’.
5. Papieren dossiers met (medische) persoonsgegevens zijn in afsluitbare kasten opgeborgen en slechts toegankelijk voor de medewerker(s) van de verantwoordelijke die het betreffende dossier in behandeling hebben.

Artikel 5. Verstrekking van gegevens aan derden
1. Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een situatie betreft als genoemd in artikel 5, lid 2, is voor de verstrekking van persoonsgegevens aan derden de schriftelijke goedkeuring van betrokkene vereist.
2. IHTOM B.V. kan zonder de toestemming van de betrokkene aan derden persoonsgegevens verstrekken, indien en voor zover dit voor een juiste uitoefening van taken noodzakelijk is, aan:
a. de werkgever van betrokkene in geval van verzuimbegeleiding (zoals de werkzaamheden waartoe de werknemer nog wel of niet meer in staat is, verwachte duur van het verzuim, mate van arbeidsongeschiktheid).
b. het uitvoeringsinstituut werknemersverzekeringen (UWV).
c. verzekeringsmaatschappijen in het kader van de verzekering van uitkeringen bij arbeidsongeschiktheid en het vaststellen van reserveringen op uitkeringen.
Er worden slechts die gegevens gedeeld die gedeeld mogen worden conform de steeds actuele regelgeving.

Artikel 6. Bewaartermijnen
IHTOM B.V. bewaart persoonsgegevens niet langer dan dat dit noodzakelijk of wettelijk vereist is.
a. Persoonsgegevens van eigen werknemers worden tot maximaal 10 jaar na het einde van de samenwerking bewaard.
b. Persoonsgegevens met betrekking tot inhoudelijke dossiers en vraagstukken van opdrachtgevers worden tot 10 jaar na het afronden van de casus bewaard, ofwel tot 10 jaar na overgang van de betrokkene naar een andere HR-dienstverlener en/of arbodienstverlener.
c. De bedrijfsarts bewaart de medische dossiers 15 jaar. Bij medische dossiers waarbij sprake is van blootstelling aan carcinogene stoffen of biologische agentia 40 jaar en bij blootstelling aan ioniserende straling tot het bereiken van de 75-jarige leeftijd, doch minimaal 30 jaar.

Artikel 7. Beveiliging van gegevens
De verantwoordelijke treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

Artikel 8. Rechten betrokkenen
Betrokkenen hebben te allen tijde het recht om de over hen verwerkte persoonsgegevens in te zien. Hiertoe kan een verzoek ingediend worden bij de functionaris gegevensbescherming. Indien blijkt dat er sprake is van onjuistheden of dat er gegevens zijn opgenomen in het dossier van betrokkene welke niet noodzakelijk zijn, dan kan de betrokkene de functionaris verzoeken deze te (laten) corrigeren of verwijderen.

Artikel 9. Klachten
Indien een betrokkene of belanghebbende van mening is dat de verantwoordelijke in strijd handelt met het bepaalde in dit privacyreglement, kan bij de functionaris gegevensbescherming van IHTOM B.V. schriftelijk een met redenen omklede klacht worden ingediend. IHTOM B.V. handelt de klacht af conform de klachtenprocedure welke bij haar in gebruik is.

Artikel 10. Melden datalek
Indien een beveiligingsincident aangemerkt dient te worden als datalek als bedoeld in artikel 33 van de AVG heeft IHTOM B.V. heeft een meldplicht aan de Autoriteit Persoonsgegevens (AP) en indien noodzakelijk tevens aan de betrokkene(n).

Artikel 11. Publicatie
Dit reglement ligt ter inzage bij en wordt gepubliceerd op de website IHTOM B.V.

Artikel 12. Inwerkingtreding en wijziging van het reglement
1. Dit reglement treedt in werking op 1 januari 2019.
2. Wijzigingen van dit reglement worden aangebracht door of onder het gezag van IHTOM B.V. De wijzigingen in dit reglement worden van kracht een maand na bekendmaking ervan.