Privacy Reglement

Inhoudsopgave

Artikel I - Inleiding

5docs hecht veel waarde aan de privacy van de personen, van wie zij gegevens verwerkt. Wij beogen door middel van deze privacy verklaring waarborgen te bieden door het creëren van bewustwording onder onze medewerkers en door een strikte naleving van de toepasselijke wet- en regelgeving op het gebied van de verwerking van persoonsgegevens.

In deze privacy verklaring wordt beschreven op welke wijze 5docs persoonsgegevens verwerkt, voor welke doeleinden dit gebeurt en hoe betrokkenen hun recht op eerbiediging van hun persoonlijke levenssfeer kunnen uitoefenen tegenover 5docs of door ons ingeschakelde personen of organisaties, die bij de verwerking van hun persoonsgegevens zijn betrokken. Onze Functionaris Gegevensbescherming ziet toe op de naleving van de privacywetgeving.

Deze privacy verklaring is van toepassing op alle medewerkers van 5docs die direct of indirect betrokken zijn bij de verwerking van persoonsgegevens haar klanten, medewerkers en relaties. De verklaring geeft voor alle medewerkers een verplichte werkwijze omtrent de correcte omgang met de privacy van deze personen.

Met deze privacy verklaring wenst 5docs transparant te zijn tegenover de personen, waarvan wij persoonsgegevens verwerken én tegenover alle personen en organisaties, die deze gegevens ten behoeve van 5docs verwerken. Hierbij staat de naleving van de Algemene Verordening Gegevensbescherming en alle relevantie wet- en regelging met betrekking tot de verwerking van persoonsgegevens voorop.

Heeft u na het lezen van deze privacy verklaring nog vragen, mededelingen of klachten over de verwerking van persoonsgegevens onder verantwoordelijkheid van 5docs, neem dan contact op met info@5docs.nl. Met een jaarlijkse evaluatie van de gegevensverwerking en op basis van uw vragen, mededelingen en klachten zullen wij het beschermingsniveau van de persoonsgegevens continu verbeteren, zodat wij u ook op het gebied van privacy die kwaliteit kunnen bieden, die u van 5docs gewend bent.

Artikel II - Werkingssfeer en doel

Deze verklaring is van toepassing op alle verwerkingen van persoonsgegevens binnen of onder verantwoordelijkheid van 5docs. Deze bevat werkinstructies en is bindend voor alle medewerkers, daaronder verstaan alle personen, die op basis van een arbeidsovereenkomst, overeenkomst van opdracht of op andere wijze voor 5docs en alle aan haar gelieerde ondernemingen werkzaam zijn.

Deze privacy verklaring bevat normen voor de omgang met persoonsgegevens en heeft tot doel:

• a)
  de persoonlijke levenssfeer van alle betrokkenen te beschermen tegen de onrechtmatige of onbehoorlijke verwerking van die gegevens;
• b)
  te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
• c)
  de rechten van de betrokkenen te waarborgen;
• d)
  te stimuleren dat de verwerkte persoonsgegevens juist, actueel, toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
• e)
  te waarborgen dat persoonsgegevens niet langer bewaard worden dan voor het doel van de verwerking noodzakelijk is;
• f)
  een passend niveau van bescherming te bieden tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging;
• g)
  transparantie te bieden over de wijze waarop er onder verantwoordelijkheid van 5docs persoonsgegevens worden verwerkt.

Artikel III - Inhoudelijke bepalingen privacy verklaring

1. Verwerking onder verantwoordelijkheid van 5docs

1.1 Contactgegevens en zorgplicht verwerkingsverantwoordelijke

Voor de verwerking van persoonsgegevens ten behoeve van 5docs is verantwoordelijk:

                            5docs B.V.
                            Vluttersven 25
                            5646 HX Eindhoven
                            Tel. +31-10-8995439
                        

De Functionaris Gegevensbescherming kan gecontacteerd worden via privacy@5docs.nl. Voor vragen en opmerkingen ten aanzien van deze verklaring of verwerking van persoonsgegevens ten behoeve van 5docs in het algemeen kunt u contact opnemen met info@5docs.nl.

1.2 Doeleinden

5docs verwerkt persoonsgegevens ten behoeve van de volgende doeleinden:

• a)
  als zorgaanbieder voor haar klanten en de werknemers van haar klanten op het gebied van arbeidsomstandigheden, verzuimbegeleiding, re-integratie, interventies, verzuimpreventie, gezondheidsonderzoeken en keuringen;
• b)
  in het kader van een bezoek aan onze website: voor het beantwoorden van vragen, behandelen van klachten, het toesturen van informatie, het leveren van een gevraagde dienst, het inschrijven voor en toesturen van nieuwsbrieven en het aanmelden voor en deelnemen aan aangeboden trainingen;
• c)
  voor het voorbereiden, uitvoeren en afwikkelen van overeenkomsten met leveranciers in het kader van het opstellen van de overeenkomst, om de contractuele verplichtingen na te komen, voor het bestellen van een dienst of product, relatiebeheer, facturatie en betaling;
• d)
  voor het aangaan, uitvoeren en afwikkelen van arbeidsovereenkomsten, overeenkomsten van opdracht of andere samenwerkingsvormen ter uitvoering van onze diensten, om de identiteit van de medewerker vast te stellen, de overeenkomst op te stellen en de contractuele verplichtingen als goed werkgever en goed werknemer na te komen;
• e)
  in het kader van het opstarten, uitvoeren en afwikkelen van sollicitaties;
• f)
  Om te kunnen voldoen aan wettelijke verplichtingen, opgelegd aan zorgaanbieders in het algemeen en arbodiensten in het bijzonder;
• g)
  voor de marketing, verkoop en overige commerciële communicatie van onze diensten voor een goede invulling van onze bedrijfsprocessen zoals intake, klantenwerving, marketing, service en support;
• h)
  voor handhaving, preventie, noodsituaties, toezicht en beveiliging in het kader van de handhaving van (juridische) vorderingen, waaronder incasso via buitengerechtelijke procedures, preventie van fraude, misbruik van diensten of witwassen, toezicht op medewerkers ten behoeve van de veiligheid of managementdoeleinden, klokkenluidersregelingen, fysieke veiligheid, een medische noodsituatie, IT- en netwerkbeveiliging.

1.3 Rechtmatige en behoorlijke verwerking

De verwerking van de doeleinden onder 1.2 geschiedt met in achtneming van artikel 6 AVG slechts voor zover:

• a)
  de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden;
• b)
  dit noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkenen en die noodzakelijk zijn voor het sluiten van een overeenkomst;
• c)
  dit noodzakelijk is om te voldoen aan een wettelijke verplichting van 5docs;
• d)
  d) dit noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
• e)
  e) noodzakelijk voor de behartiging van de gerechtvaardigde belangen van 5docs of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens strekken, zwaarder wegen dan die belangen.

Voor zover er sprake is van gegevensverwerking in het kader van een van deze doelen, kan betrokkenen verplicht worden door 5docs persoonsgegevens te verstrekken om te kunnen voldoen aan een overeenkomst, de nakoming van een wettelijke verplichting, wanneer er sprake is vitale belangen of van een gerechtvaardigd belang. 5docs zal betrokkene op de hoogte stellen van de gevolgen van het niet voldoen van de verplichting tot gegevensverstrekking, zoals onder meer het niet kunnen uitvoeren van de overeenkomst, het niet kunnen betalen van vorderingen of het niet kunnen voldoen aan verzoeken om informatie.

1.4 Toestemming voor gegevensverwerking

Vindt er een verwerking plaats op een andere grondslag, dan die zijn vermeld in artikel 1.3 onder sub b t/m e, dan zal 5docs uitdrukkelijke toestemming vragen van de betrokkene voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden. De toestemming dient aantoonbaar, uit vrije wil en ondubbelzinnig door de betrokkene te worden gegeven. De betrokkene heeft altijd het recht om zijn of haar toestemming in te trekken.

1.5 Verwerking voor uitvoering van overeenkomst

5docs sluit in het kader van haar bedrijfsactiviteiten overeenkomsten met diverse partijen, waaronder:

1. overeenkomsten met klanten en leveranciers
in dit kader verwerken wij:

• -
  indien de betrokkene een natuurlijk persoon is: NAW-gegevens, contactgegevens (e-mailadres, telefoonnummer), geslacht, geboortedatum, functie, KvK-nummer, btw nummer, bankrekeningnummer, correspondentie en gespreksnotities, klachten en klanttevredenheidsgegevens.
• -
  Indien de betrokkene een werknemer is van de klant: NAW-gegevens, BSN, contactgegevens (e-mailadres, telefoonnummer), geslacht, geboortedatum, functiegegevens en verpleegadres. 5docs verwerkt ook gezondheids- en medische gegevens van de werknemer van de klant (zie artikel 1.9 van dit reglement).
• -
  indien de betrokkene een rechtspersoon is: de naam van de contactpersonen van bedrijven, geslacht van de contactpersoon, correspondentie en gespreksnotities, klachten en klanttevredenheidsgegevens.

De gegevensverwerking is noodzakelijk om een overeenkomst op te stellen, de contractuele verplichtingen van de overeenkomst na te komen, voor het bestellen van een dienst of product, voor relatiebeheer, facturatie en betaling.

2. arbeidsovereenkomsten
in dit kader verwerken wij:

• -
  NAW-gegevens, BSN, geboortedatum en -plaats, geslacht, contactgegevens (e-mailadres, telefoonnummer), nationaliteit, bankrekeningnummer, curriculum vitae, informatie over gevolgde en te volgen opleidingen en cursussen, kopie identiteitsbewijs, functioneringsgegevens, gegevens over gewerkte (over)uren, verlof- en verzuim, burgerlijke staat, correspondentie en werkaantekeningen.

1.6 Verwerking voor uitvoering van overeenkomst

5docs is in het kader van haar activiteiten gebonden aan diverse wettelijke verplichtingen, zoals het afdragen van (loon)belasting, het vaststellen van de identiteit van de werknemer en het verstrekken van persoonsgegevens op bevel van bevoegde overheidsinstanties.

5docs verwerkt als zorgaanbieder persoonsgegevens van werknemers van klanten, omdat zij daartoe wettelijk verplicht is op grond van de Wet op de geneeskundige behandelingsovereenkomst en de Arbeidsomstandighedenwet. Op grond van de Wet kwaliteit, klachten en geschillen in de zorg en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verwerkt 5docs het Burgerservicenummer van de werknemer van de klant.

Voor zover de verwerking ziet op persoonsgegevens, streeft 5docs ernaar om deze gegevens tot een minimum te beperken om toch aan het wettelijk voorschrift te kunnen voldoen.

1.7 Verwerking bij vitaal belang

Alleen als er sprake is van een dringende medische noodzaak ter bescherming van een belang dat voor het leven van de betrokkene essentieel is, kan 5docs persoonsgegevens zonder toestemming van betrokkene verstrekken. In dat geval dient wel vast komen te staan, dat dat de betrokkene zelf geen toestemming voor de verwerking kan verlenen, dan wel dat de noodzaak om op te treden zo dringend is dat in redelijkheid niet kan worden gevergd om toestemming van de betrokkene te vragen.

1.8 Verwerking op grond van een gerechtvaardigd belang

Indien 5docs belang heeft om persoonsgegevens te verwerken, anders dan op grond van uitdrukkelijke toestemming, contractuele verplichtingen, de wet of een vitaal belang, zal 5docs bij een verwerking op grond van een voor haar gerechtvaardigd belang altijd een gedegen belangenafweging maken ten aanzien van privacybelangen van betrokkene.

Ten aanzien van de onderstaande verwerkingen acht 5docs na zorgvuldige afweging haar gerechtvaardigd belang prevaleren:

1. Voor een goede invulling van onze bedrijfsprocessen zoals intake, klantenwerving, marketing, service en support;
in dit kader verwerken wij:

• -
  indien de betrokkene een natuurlijk persoon is: NAW-gegevens, contactgegevens (e-mailadres, telefoonnummer), geslacht, correspondentie en gespreksnotities, verzoeken, vragen en klachten.
• -
  indien de betrokkene een rechtspersoon is: de naam en het geslacht van de contactpersonen van bedrijven, correspondentie, gespreksnotities en klachten.

2. Voor een optimale werking van onze website;

5docs houdt uw websitebezoekgegevens bij. 5docs gebruikt technische en functionele cookies en analytische cookies. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website en het gebruiksgemak. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld de voorkeursinstellingen. Ook kunnen wij hiermee onze website optimaliseren. Betrokkenen kunnen zich afmelden voor cookies door de internetbrowser zo in te stellen dat deze geen cookies meer opslaat. Daarnaast kan betrokkene ook alle informatie die eerder is opgeslagen via de instellingen van de browser verwijderen. Zie voor een toelichting: https://veiliginternetten.nl/themes/situatie/cookies-wat-zijn-het-en-wat-doe-ik-ermee/

Als op onze website een contactformulier wordt ingevuld, verwerken wij uw NAW-gegevens, contactgegevens (e-mailadres, telefoonnummer), en de bedrijfsnaam.

3. Voor een zorgvuldige afhandeling van sollicitaties;

Persoonsgegevens die wij van sollicitanten kunnen verwerken zijn: NAW-gegevens, geboortedatum en – plaats, geslacht, contactgegevens (e-mailadres en telefoonnummer), cv, nationaliteit, werkervaring, informatie over gevolgde en te volgen opleidingen en cursussen, beschikbaarheid, sociale media profiel, correspondentie en werkaantekeningen. Afhankelijk van het functieniveau kan een (extern) assessment onderdeel uitmaken van de sollicitatieprocedure. De uitslag hiervan wordt verwerkt om te beoordelen of u aan de functievereisten voldoet.

4. Voor handhaving, preventie, toezicht en beveiliging

In het kader van de handhaving van (juridische) vorderingen, waaronder incasso via buitengerechtelijke procedures, preventie van fraude, misbruik van diensten of witwassen, toezicht op medewerkers ten behoeve van de veiligheid of managementdoeleinden, klokkenluidersregelingen, fysieke veiligheid, IT- en netwerkbeveiliging kunnen wij persoonsgegevens verwerken zoals NAW-gegevens, geslacht, contactgegevens (e-mailadres en telefoonnummer), correspondentie en aantekeningen, rapportages, internet- of computergebruik gegevens en IP-adressen.

1.9 Verwerking van bijzondere persoonsgegevens

Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid worden door 5docs niet verwerkt, tenzij aantoonbaar sprake is van een uitzonderingssituatie, als bedoeld in artikel 9 lid 2 AVG.

Van werknemers van klanten kunnen in het kader van de rol van zorgaanbieder de volgende bijzondere persoonsgegevens worden verwerkt:

• Gezondheidsgegevens, zoals informatie over de aard en oorzaak van de ziekte, de datum van ziek- en hersteldmelding, de vermoedelijke duur van het verzuim, (privé)omstandigheden, die van invloed zijn op de re-integratie, of er sprake is van één van de vangnetbepalingen uit de Ziektewet, een no risk polis of regresmogelijkheden en gezondheidsgegevens die worden verzameld op basis van vragenlijsten in het kader van de verzuimpreventie.
• Medische gegevens, die worden verwerkt over de gezondheid van de werknemer, die nodig zijn voor de beoordeling van de arbeids(on)geschiktheid, verzuimbegeleiding en re-integratie, zoals de aard en de oorzaak van de ziekte en de (voortgang van de) behandeling.

De arbodienst of bedrijfsarts mag (medische) gegevens van de werknemer van de klant opvragen bij zijn/haar behandelend arts (huisarts of specialist) als dit nodig is voor de verzuimbegeleiding. 5docs zal hiervoor de uitdrukkelijke toestemming vragen van de betreffende werknemer.

1.10 Toegang tot de bijzondere persoonsgegevens van werknemers van klanten

Verwerking van bijzondere persoonsgegevens van werknemers van klanten is alleen toegestaan door medewerkers van 5docs die uit hoofde van hun functie en/of uitvoering van werkzaamheden toegang moeten hebben tot die persoonsgegevens.

Autorisatie wordt verleend aan de hand van de rollen van de medewerkers en is verankerd binnen de geautomatiseerde gegevensverwerking bij 5docs.

Het verlenen en wijzigen van toegang wordt goedgekeurd door de leidinggevende(n) van de personen die autorisatie moeten verkrijgen. Functioneel beheer voert controles uit op het ontstaan van conflicterende autorisaties. Indien een conflict in autorisaties wordt geconstateerd, wordt dit beoordeeld door de Functionaris Gegevensbescherming.

Indien een geautoriseerd persoon uit dienst treedt bij 5docs, dan wel zijn/haar werkzaamheden voor 5docs beëindigt, draagt 5docs er zorg voor dat de toegang tot applicaties en voorzieningen, waarvoor een autorisatie gold, definitief voor die persoon wordt afgesloten.

5docs handelt bij het verlenen van de toegang tot de medische gegevens en de verwerking daarvan conform de richtlijnen van de NVAB en de KNMG. Medische gegevens vallen onder het beroepsgeheim en zijn alleen toegankelijk voor de bedrijfsarts en leden van zijn behandelteam.

• 1.
  1. In het kader van de verzuimbegeleiding kan het behandelteam bestaan uit: de bedrijfsarts en personen die conform art. 38 Wet BIG en de NVAB richtlijnen in delegatie werkzaamheden verricht, de procesregisseur, re-integratie en preventieadviseur, of de regionaal teamassistente, alsmede de praktijk ondersteuner bedrijfsarts en de arboverpleegkundige.
• 2.
  2. Bij medische keuringen kan het behandelteam bestaan uit: De keuringsarts, de keuringsassistente, de vitaliteits- en gezondheidsdeskundige, alsmede de praktijk ondersteuner bedrijfsarts en de arboverpleegkundige.

Voor de duur van vervanging tijdens ziekte of afwezigheid of bij opvolging van een functionaris uit het behandelteam heeft de vervangende (bedrijfs)arts, keuringsarts, of ander lid van het behandelteam toegang tot de medische gegevens.

Alleen indien noodzakelijk voor (technisch) beheer en onderhoud kunnen beheerders die daartoe zijn aangewezen toegang verkrijgen tot persoonsgegevens.

1.11 Geautomatiseerde verwerking van persoonsgegevens

5docs neemt geen besluiten op basis van geautomatiseerde verwerkingen over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen. 5docs maakt ook geen gebruik van profilering, waarbij gegevens verzameld worden om het gedrag van klanten te voorspellen.

2. Doorgifte en ontvangst van persoonsgegevens

2.1 Categorieën van ontvangers

Uitgangspunt is dat 5docs de persoonsgegevens niet aan derden zal doorgeven, tenzij dit nodig is voor de uitvoering van een overeenkomst, ten behoeve van onze gerechtvaardigde professionele en zakelijke doeleinden, om aan verzoeken van bezoekers te voldoen en/of als dit wettelijk of op grond van voorschriften verplicht of toegestaan is. Wij verstrekken nooit meer gegevens dan noodzakelijk is voor het doel van de verstrekking.

5docs werkt voor de uitvoering van haar rol als werkgever voor haar dienstverlening, alsmede voor haar administratie samen met partners, zoals uitzendbureaus, werving en selectie bureaus, assessmentbureaus, leasemaatschappijen, salarisadministrateurs, klanten, leveranciers, zakelijke partners, externe adviseurs, serviceproviders, logistieke dienstverleners, postbedrijven, telecommunicatiedienstverleners, verzekeraars, banken, administrateurs, gevolmachtigden, IT-ondersteuners, internetproviders en - analysebedrijven, webhosting- en cloudopslagdienstverleners.

In het kader van haar wettelijke verplichting verstrekt zij persoonsgegevens aan instanties, zoals de Belastingdienst, de centrale of lokale overheid, gerechtelijke instanties, deurwaarders en overige overheidsinstellingen.

Persoonsgegevens, waaronder medische gegevens van werknemers van klanten worden door 5docs met inachtneming van de toepasselijke wet- en regelgeving verstrekt aan:

• a)
  personen die rechtstreeks betrokken zijn bij de behandeling of arbeidsgezondheidskundige begeleiding van de werknemer van de klant;
• b)
  Uitvoeringsinstituut Werknemersverzekeringen (UWV) in het kader van de sociale verzekeringswetten en de Wet SUWI;
• c)
  verzekeringsmaatschappijen, voor zover dit noodzakelijk is in het kader van de verzekering van de loondoorbetaling bij ziekte en wel conform de uitvoeringswet AVG en het Besluit SUWI;
• d)
  d) het Nederlands Centrum voor Beroepsziekten (NCB), het Centraal Bureau voor de Statistiek (CBS) en het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) ten behoeve van wetenschappelijke en statistische doeleinden. Hierbij worden uitsluitend geanonimiseerde gegevens verstrekt.

5docs geeft aan de klant als werkgever geen gegevens over de gezondheid van de werknemer door. Wij mogen in dat kader slechts de volgende gegevens aan de werkgever verstrekken:

• de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• de verwachte verzuimduur;
• de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

De werknemer is zelf verantwoordelijk voor het melden aan zijn werkgever van een ander verblijf- of verpleegadres, de mogelijkheid van regres en een mogelijke vangnetsituatie.

2.2 Verwerkers

5docs doet uitsluitend een beroep op verwerkers die afdoende garanties bieden met betrekking tot de naleving van de AGV en de bescherming van de rechten van betrokkenen is gewaarborgd. Zij sluit hiertoe met iedere verwerker een verwerkersovereenkomst, die aan het bepaalde in art. 28 lid 3 AVG voldoet.

2.3 Doorgifte aan andere landen of internationale organisaties

5docs geeft geen persoonsgegevens door aan landen of internationale organisaties, die niet binnen het toepassingsbereik van de AVG of GDPR vallen, dan wel door op grond van art. 45 AVG niet zijn aangewezen als land of organisatie dat of die een passend beschermingsniveau waarborgt.

3. Bewaren van persoonsgegevens

3.1 Bewaartermijnen

5docs bewaart persoonsgegevens als identificeerbare gegevens, voor zolang dat nodig is voor de doeleinden waarvoor deze verzameld zijn.

Om te voldoen aan haar wettelijke verplichtingen en voor zover er sprake is van verwerking van persoonsgegevens houdt 5docs de volgende bewaartermijnen in acht:

• Administratieve gegevens ten behoeve van de Belastingdienst ter uitvoering van art. 52 Algemene Wet inzake Rijksbelastingen: 7 jaar;
• Een kopie identiteitsbewijs ter uitvoering van art. 66 lid 4 Uitvoeringsregeling Loonbelasting: 5 jaar na het einde van het kalenderjaar waarin de dienstbetrekking is geëindigd;
• Tijdsregistratiegegevens ter uitvoering van art. 3.2.1. Arbeidstijdenbesluit: 52 weken, gerekend vanaf de datum waarop de desbetreffende gegevens en bescheiden betrekking hebben;
• Sollicitatiegegevens: tot 4 weken na einde procedure, met toestemming van de werknemer tot één jaar na einde procedure;
• Gegevens met betrekking tot het dienstverband: tot 2 jaar na het einde van het dienstverband. Indien een gerechtelijke vordering kan worden verwacht kunnen gegevens worden bewaard tot de vordering is verjaard;
• Subsidie-administratie op grond van art. 4: 69 Algemene Wet Bestuursrecht: 10 jaar;
• Gegevens websitebezoek: tot 6 maanden na het bezoek c.q. het invullen van het webformulier;
• Klant- en leveranciersgegevens: tot 2 jaar nadat de klant- of leveranciersrelatie is geëindigd;
• Openstaande vorderingen: totdat de vordering is verjaard;
• Prospectgegevens: tot 6 maanden na een uitgebrachte offerte of een laatste contactmoment;

Persoonsgegevens die wij verwerken op grond van de Wet Geneeskundige Behandelingsovereenkomst bewaren wij tot 20 jaar na de laatste wijziging. In geval van blootstelling aan gevaarlijke stoffen of overdracht van de gegevens aan een nieuwe bedrijfsarts of arbodienst bewaren wij deze gegevens langer en houden wij ons aan de richtlijnen van de Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst (KNMG).

4. Beveiliging van persoonsgegevens

4.1 Beveiligingsmaatregelen

Om aantoonbaar de veiligheid van uw persoonsgegevens te waarborgen werkt 5docs in het kader van de treffen beveiligingsmaatregelen met leveranciers die ISO27001 zijn gecertificeerd.

Wij verwerken de persoonsgegevens in een verzuimregistratie applicatie die alleen toegankelijk is voor mensen die daar een autorisatie voor hebben. Bij sommige onderdelen is de toegang beperkt tot bepaalde functiegroepen. Medewerkers van 5docs die een autorisatie voor de verzuimregistratie applicatie krijgen, moeten een geheimhoudingsverklaring ondertekenen.

Ter beveiliging van de persoonsgegevens heeft 5docs passende technische en organisatorische maatregelen genomen om een op het op haar risiconiveau afgestemd beveiligingsniveau te waarborgen, die onder meer het volgende omvatten:

• de pseudonimisering en versleuteling van persoonsgegevens;
• het toepassen van afdoende beveiligingssystemen die de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten garanderen;
• een procedure om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

4.2 Datalekken

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking of toegang tot persoonsgegevens. De medewerker die een (mogelijk) datalek constateert, meldt dit incident per omgaande aan zijn of haar leidinggevende. 5docs documenteert alle feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG).

Zodra 5docs heeft vastgesteld dat er sprake is dat er een meldplicht geldt ten aanzien van het (mogelijk) datalek op grond van het bepaalde in artikel 33 AVG, meldt zij dit datalek meteen, waar mogelijk binnen 72 uur, aan de Autoriteit Persoonsgegevens. Indien dit niet mogelijk is, registreert 5docs de reden van de vertraging. Hierbij wordt ten minste medegedeeld:

• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de contactpersoon;
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
• • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

Indien het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor de rechten en vrijheden voor een of meerdere betrokkenen, informeert 5docs ieder van deze betrokkenen over de aard van de inbreuk en de aanbevelingen over hoe hij of zij mogelijke negatieve gevolgen kan beperken.

5. Rechten van betrokkenen

5docs respecteert de volgende rechten van betrokkenen:

1. Recht op informatie

Voor zover de wijze van verwerking niet reeds blijkt uit deze privacy verklaring, heeft de betrokkene het recht geïnformeerd te worden over de verwerking van zijn of haar persoonsgegevens.

2. Recht op inzage

De betrokkene heeft het recht om uitsluitsel te verkrijgen over het al dan niet verwerken van hem of haar betreffende persoonsgegevens. Indien dat het geval is, heeft betrokkene, voor zover dit niet reeds blijkt uit deze privacy verklaring, recht om inzage te verkrijgen van de persoonsgegevens die door 5docs worden verwerkt.

3. Recht op rectificatie

De betrokkene heeft het recht om van 5docs rectificatie van hem of haar betreffende persoonsgegevens te verkrijgen, als deze onjuist of onvolledig door ons zijn verwerkt. Indien na een verzoek tot rectificatie door betrokkene 5docs meent dat de persoonsgegevens wel juist en/of volledig zijn verwerkt, informeert 5docs betrokkene hierover zo spoedig mogelijk. 5docs is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

4. Recht op vergetelheid

5docs is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, indien:

• de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of verwerkt;
• de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor de verwerking bestaat;
• de betrokkene bezwaar maakt tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking
• de persoonsgegevens onrechtmatig zijn verwerkt;
• de persoonsgegevens moeten worden gewist om te voldoen aan wettelijke verplichting die op 5docs rust;

5. Recht op beperking van de verwerking

De betrokkene heeft het recht de beperking van de verwerking te verkrijgen, indien:

• de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die 5docs in staat stelt de juistheid van de persoonsgegevens te controleren;
• de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en in de plaats daarvan verzoekt om beperking van het gebruik ervan;
• 5docs de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
• de betrokkene bezwaar heeft gemaakt tegen de verwerking, gedurende de periode dat het antwoord op de vraag of de gerechtvaardigde gronden van 5docs zwaarder wegen dan die van de betrokkene, wordt afgewacht.

Door 5docs zal duidelijk in het bestand worden aangegeven dat de verwerking is beperkt, zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan onverwijld op de hoogte worden gebracht.

5docs stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikelen 16, 17 en 18 van de AVG, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Tevens verstrekt zij de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.

6. Recht op overdraagbaarheid/dataportabiliteit

De betrokkene heeft het recht zijn of haar persoonsgegevens, die hij of zij aan 5docs heeft verstrekt, in een gestructureerde, gangbare en computer leesbare vorm te verkrijgen, en hij of zij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, indien:

• de verwerking berust op toestemming uit hoofde van artikel 6, lid 1, punt a) AVG, of artikel 9, lid 2, punt a) AVG, of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b) AVG;
• de verwerking via geautomatiseerde procedés wordt verricht.

Bij de uitoefening van dit recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks worden doorgezonden.

7. Recht op het maken van bezwaar

De betrokkene heeft het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. Als een betrokkene bezwaar maakt staakt 5docs de verwerking, tenzij dwingende gerechtvaardigde gronden zwaarder wegen.

8. Recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming

De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem of haar rechtsgevolgen zijn verbonden of dat hem of haar anderszins in aanmerkelijke mate treft.

6. Klachten

Indien de betrokkene van mening is dat de bepalingen van deze privacy verklaring niet of niet in voldoende mate door 5docs worden nageleefd dient hij of zij zich in eerste instantie te wenden tot 5docs door indiening van de klacht op schrift, waaruit duidelijk blijkt dat het een officiële klacht betreft. De beslissing op de klacht zal aan de klager schriftelijk worden medegedeeld.

Indien de ingediende klacht voor de betrokkene niet binnen zes weken na indiening leidt tot een voor hem of haar acceptabel resultaat, kan hij of zij zich wenden tot de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, via telefoonnummer 0900 - 2001201.