Privacyreglement R95

Dit reglement is gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 van toepassing is.

Privacyreglement ter bescherming van de persoonlijke levenssfeer in het kader van persoonsregistratie gehouden voor dienstverlening door Toeleiding naar Arbeid B.V. (alias R95 Routes naar Werk), R95 Routes naar Zorg Groningen B.V. en R95 Wonen B.V..

Verantwoordelijk uitgever: directie Toeleiding naar Arbeid © 1 mei 2018. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt worden, in enige vorm, of op enige wijze, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke uitgever.

1. Begripsbepaling

In dit reglement wordt verstaan onder:

PrivacyHet recht van individuen op bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
R95Elk van de bedrijven in de TNA Groep: Toeleiding naar Arbeid B.V. (alias R95 Routes naar Werk), R95 Routes naar Zorg Groningen B.V. en R95 Wonen B.V.
CliëntDegene die gebruik wil maken, gebruik maakt of gebruik heeft gemaakt van het aanbod van dienstverlening van R95.
BetrokkeneDegene over wie gegevens verwerkt worden. Dit kan een cliënt zijn, maar ook medewerkers, debiteuren, leveranciers en andere netwerkcontacten kunnen betrokkene zijn.
VerwerkingsverantwoordelijkeDegene die vaststelt welk doel er is voor het verwerken van persoonsgegevens. Binnen R95 is dit de directie.
VerwerkerDegene die bevoegd is om persoonsgegevens te verwerken; binnen R95 zijn dit zowel de administratie als de medewerkers, als externe partijen, zoals gemeenten en UWV. Voor de medewerkers is de verantwoordelijkheid vastgelegd in de arbeidsovereenkomst; voor externe partijen wordt in principe een verwerkersovereenkomst gesloten.
BewerkerDegene die onder verantwoording van de verwerkingsverantwoordelijke persoonsgegevens bewerkt.
Ontvanger Iemand die de persoonsgegevens ontvangt.
PersoonsgegevensAlle informatie die tot een geïdentificeerde natuurlijke persoon te herleiden is.
Gegevens over gezondheidPersoonsgegevens die gaan over de fysieke of mentale gezondheid van een persoon, waaronder gegevens over de gezondheidszorg die geboden is.
Verwerking van persoonsgegevensElke handeling met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden of vernietigen van gegevens.
ToestemmingAantoonbare instemming van de betrokkene met de beoogde verwerking van gegevens. Aantoonbaar betekent dat de toestemming gegeven wordt door: (1) een handtekening op het document waarop de gegevens staan, (2) aankruisen + handtekening op een toestemmingsverklaring, (3) gegevensaanlevering door de betrokkene zelf terwijl deze al een toestemming gegeven heeft op eerder geregistreerde gegevens, of (4) door schriftelijke toestemming zoals e-mail of Whatsapp-bericht.
GeheimhoudingIedere medewerker in dienst van R95 die toegang heeft tot persoonsgegevens van cliënten is tot geheimhouding verplicht. Deze plicht is ook van toepassing na beëindiging van het dienstverband.

2. Reikwijdte

  1. Dit reglement is van toepassing op alle papieren dossiers, digitale dossiers en ongeschreven informatie binnen R95, alswel de bijbehorende gegevensuitwisseling en gegevensverwerking
  2. R95 verwerkt informatie in de volgende categorieën (volg de koppeling voor de actuele lijst met gegevensregistraties):
    • persoonsgegevens, waaronder naam, adres, woonplaats, geboortedatum, burgerservicenummer
    • achtergrondinformatie, zoals uitkeringssituatie, arbeidsverleden, persoonlijke netwerk
    • voortgangsinformatie: zoals persoonlijke ontwikkeling, gespreksverslagen, voortgangsrapportages, evaluatieverslagen
    • medische informatie, zoals de aard van de handicap en diagnoses
    • contractinformatie, zoals opdrachtverstrekkingen, zorgtoewijzingen, leveringscontracten, arbeidscontracten
    • procesinformatie, zoals datum van binnenkomst, aanwezigheid, rapportagedata, klachtenregistratie, melding datalekken, incidentenregistratie
  3. Dit reglement is van toepassing binnen R95 en heeft betrekking op de verwerkingen van persoonsgegevens van:
    • cliënten
    • medewerkers, inclusief stagiaires en vrijwilligers
    • debiteuren, zoals opdrachtgevers en budgetbeheerders
    • leveranciers, zoals onderaannemers maar ook andere bedrijven
    • netwerkcontacten, zoals de relatie met en gegevens van andere personen in het persoonlijk netwerk

3. Doel van de persoonsregistratie

  1. Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor de uitvoering van de zorg voor cliënten, het hebben van personeel en het functioneren als bedrijf.
  2. De gegevens van cliënten worden verzameld en verwerkt ten bate van:
    1. Het bemiddelbaar maken
    2. Het bemiddelen naar de reguliere arbeidsmarkt
    3. Het begeleiden op alle gebieden van het dagelijks leven
    4. Het begeleiden binnen een woongroep voor beschermd wonen
      • Deze doelstellingen worden gerealiseerd door middel van het aanbieden van intensieve individuele- en groepsbegeleiding
  3. De gegevens van medewerkers worden verzameld en verwerkt ten bate van:
    1. Het maken en uitvoeren van een arbeids- of stageovereenkomst
    2. Het laten uitvoeren van de loonadministratie
    3. Het als collega's samenwerken
    4. Het voorbereid zijn op calamiteiten
  4. De gegevens van debiteuren oftewel opdrachtgevers worden verzameld en verwerkt ten bate van:
    1. Het kunnen uitvoeren van en communiceren over verstrekte opdrachten
    2. Het kunnen factureren en betaald krijgen
    3. Het kunnen overleggen over potentieel nieuwe opdrachten
  5. De gegevens van crediteuren oftewel leveranciers en onderaannemers worden verzameld en verwerkt ten bate van:
    1. Het laten uitvoeren van en communiceren over verstrekte opdrachten
    2. Het kunnen betalen van facturen en het afleggen van verantwoording over de betalingen
    3. Het kunnen overleggen over de leveringen of diensten
  6. De gegevens van netwerkcontacten worden verzameld en verwerkt ten bate van:
    1. Het kunnen communiceren bij noodgevallen
    2. Het kunnen afstemmen van de diensten met het netwerk van de betrokkene

4. Vertegenwoordiging betrokkene

De betrokkene kan vertegenwoordigd worden:

  1. Indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt: de ouder of voogd tekent als wettelijk vertegenwoordiger
  2. Indien de betrokkene onder curatele of mentorschap is gesteld: de curator of mentor tekent als wettelijk vertegenwoordiger
  3. Indien de betrokkene onder verplichte bewindvoering staat: de bewindvoerder tekent als wettelijke vertegenwoordiger
  4. Indien de betrokkene onder vrijwillige bewindvoering staat: zowel de bewindvoerder als de cliënt moet tekenen
  5. Indien de betrokkene iemand expliciet gemachtigd heeft; zowel de betrokkene als de gemachtigde hebben de machtiging ondertekend; de gemachtigde mag de aangegeven documenten ondertekenen

5. Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De directie is ervoor verantwoordelijk dat de verwerking en het beheer van de persoonsgegevens goed gaat en kan daarvoor aansprakelijk gesteld worden, behoudens overmacht

6. Beschrijving functie, doel en toegang

Personen die de in het overzicht genoemde functies bekleden, hebben slechts toegang tot de registraties voorzover zij ten behoeve van betreffende re-integratiebedrijf of zorginstelling en ten behoeve van het doel van de registratie ingezet zijn.

Directiecontrole, verwerkersverantwoordelijke, klachtenproceduresraadplegen, bijwerken, vernietigen
Beheerderverantwoordelijk voor de dagelijkse zorg voor de persoonsregistratie en bij behandeling klachtenprocedurevernietigen
Applicatiebeheerderverantwoordelijk voor het beheer en de uitvoering van de geautomatiseerde persoonsregistratieverwijderen
Trainerberoepsbeoefenaar, tevens gebruiker registratieraadplegen
Coach / consulentuitvoering taken als consulent arbeidstoeleiding / coachraadplegen, verwijderen
Administratief medewerkerAdministratieve afhandeling van gegevensraadplegen, verwijderen
Auditorcontrole aangeleverde gegevens en naleving proceduresraadplegen

7. Verwerking van bijzondere persoonsgegevens

  1. R95 verwerkt ook enkele gegevens die in de wet geclassificeerd zijn als 'bijzondere persoonsgegevens'. Het gaat om persoonsgegevens die betrekking hebben op gegevens over gezondheid
  2. De betrokkene geeft in de toestemmingsverklaring of in een machtiging expliciet toestemming voor het verwerken van deze bijzondere persoonsgegevens

8. Verstrekking van gegevens

  1. De betrokkene geeft expliciet toestemming voor het delen van gegevens met derden
  2. Indien de betrokkene toestemming heeft gegeven wordt en gegevens gedeeld gaan worden, wordt er een verwerkersovereenkomst gesloten met de ontvangende partij. In deze verwerkersovereenkomst staat uitgelegd hoe er met persoonsgegevens om moet worden gegaan en welke beveiligingsmaatregelen R95 en de ontvanger treffen
  3. Zie ook de informatieverstrekkingsschema's waarin aangegeven wordt welke gegevens met externe partijen gedeeld moeten worden, met wie en waarom

9. Rechten van betrokkene

  1. Wanneer de betrokkene schriftelijk toestemming heeft gegeven voor het verwerken van zijn/haar persoonsgegevens moet de directie kunnen aantonen dat dit is gebeurd
  2. De betrokkene heeft het recht zijn toestemming op elk moment in te trekken
  3. De betrokkene heeft het recht om gegevens over te dragen
  4. De betrokkene heeft het recht om vergeten te worden
  5. De betrokkene heeft het recht op inzage
  6. De betrokkene heeft het recht op rectificatie en aanvulling
  7. Het recht tot inzage strekt zich niet uit tot de aantekeningen die consulenten maken (de 'gespreksverslagen'), tenzij deze tevens gebruikt zouden worden voor een ander doel dan aantekeningen

10. Bewaren van gegevens

Voor verschillende documenten gelden verschillende bewaartermijnen:

vernietigen papieren dossiers2 jaar na uitstroom
vernietigen digitale dossiers5 jaar na uitstroom
vernietigen toegangslogboek5 jaar na datum mutatie
vernietigen e-mailarchief5 jaar na uitstroom
vernietigen digitale agenda's5 jaar na einde boekjaar
vernietigen papieren dagstaten2 jaar na einde boekjaar
vernietigen urenregistratie5 jaar na einde boekjaar
vernietigen personeelsdossier2 jaar na einde dienstverband
vernietigen salarisadministratie7 jaar na einde boekjaar
vernietigen financiële informatie (debiteuren)7 jaar na einde boekjaar
vernietigen lijst van vernietigde dossiers20 jaar vernietiging
vernietigen digitale backups5 jaar na backupdatum
vernietigen gegevens in administratie5 jaar na uitstroom
vernietigen na gehonoreerd vernietigingsverzoek3 maanden na verzoek
vernietigen sollicitatiebrief en CV4 weken na afronding sollicitatieprocedure, of 1 jaar bij open sollicitatie

11. Klachtenregeling

De betrokkene kan een klacht indienen bij de directie over de gegevensverwerking. Dit moet op de manier die is vastgelegd in het klachtenreglement.

12. Wijzigingen inwerkingtreding en afschrift

Directie R95
01-05-2018