Contact
Header banner website - Cordaet

Privacy Beleid

Privacy Beleid

Cordaet hecht grote waarde aan privacy en gegevensbescherming. Om die reden hanteren wij een privacybeleid dat in lijn is met de Algemene Verordening Gegevensbescherming (AVG).

Voor een deel van de collega’s zullen de gedragsregels uit het privacybeleid als vanzelfsprekend worden ervaren. In het kader van de AVG is het nodig om deze -soms voor de hand liggenderegels te noteren. Dit betekent niet dat het privacybeleid slechts een formaliteit is. Cordaet ziet erop toe dat het beleid in de praktijk wordt gebracht.

De AVG is complex. In het privacybeleid is geprobeerd om de uitvoering van de AVG zo praktisch mogelijk te houden. In de praktijk kan het voorkomen dat er zich situaties voor doen waarop het privacybeleid geen antwoord biedt. Cordaet nodigt iedereen uit om deze situaties en daarbij ook onvrede of aanvullingen aan te dragen. Het privacybeleid is een onderdeel van het totale pakket aan maatregelen om de AVG te implementeren.

Begrippen 

Persoonsgegevens 

Een persoonsgegeven is informatie over een natuurlijke persoon, waarmee die persoon mogelijkerwijs geïdentificeerd kan worden. Dit begrip gaat erg ver, in beginsel: alle gegevens over personen.

Bijzondere persoonsgegevens 

Persoonsgegevens die betrekking hebben op godsdienst, levensovertuiging, ras, politieke voorkeur, gezondheid, seksualiteit.

Verwerking 

Alle handelingen die met persoonsgegevens kunnen plaatsvinden, zoals opslaan, veranderen, inzien, wissen, doorsturen etc. bijvoorbeeld: noteren van gegevens, inspreken van dictaten, foto’s nemen of andere handelingen waarbij persoonsgegevens betrokken zijn.

Betrokkene 

De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.

Datalek 

Het verliezen of openbaar maken van gegevens zonder dat dit in overeenstemming is met de wettelijke bepalingen.

 

Omgang met persoonsgegevens tijdens inventarisatie of onderzoek

De AVG bepaalt dat gegevens alleen worden verzameld met een doel en dat niet meer gegevens mogen worden verzameld dan noodzakelijk. Dit houdt in dat de hoeveelheid en details van de gegevens mogen niet bovenmatig is.

Bij het uitvoeren van opdrachten verwerkt Cordaet persoonsgegevens. Tijdens het intakegesprek bij betrokkene thuis worden persoonsgegevens verzameld. In het gesprek worden allerlei zaken tot in detail besproken. Het is zaak dat wanneer deze gegevens genoteerd (verwerkt) worden, dit tot het noodzakelijke beperkt blijft. De expert bepaalt vanzelfsprekend zelf of de hoeveelheid en details van de gegevens noodzakelijk zijn. Er moet alleen wel altijd in het achterhoofd worden gehouden: niet meer gegevens verzamelen dan noodzakelijk is om het doel te bereiken.

De AVG bepaalt dat de verwerking van persoonsgegevens transparant moet zijn. Dit houdt in dat de betrokkene moet kunnen weten wat er met zijn gegevens gebeurt. Om aan deze informatieverplichting te voldoen moet worden verwezen naar de privacyverklaring.

Betrokkene of belangenbehartiger kan in een e-mail van de afspraakbevestiging via een link worden verwezen naar de privacyverklaring op de site van Cordaet.

De AVG bepaalt dat degene die persoonsgegevens verwerkt ervoor moet zorgen dat deze gegevens juist zijn. Cordaet doet dit door het opgestelde rapport ter akkoord naar betrokkene of zijn belangenbehartiger te sturen. Wanneer gegevens onjuist zijn worden die gerectificeerd. Rectificatie is alleen van toepassing bij feitelijke onjuistheden. Zienswijze of meningen van experts worden niet aangepast.

Omgang met dossiers en IT-gerelateerde zaken

Cordaet heeft maatregelen genomen om persoonsgegevens te beschermen tegen verlies of diefstal. Deze maatregelen werken alleen als er juist mee wordt omgegaan. Daarom moeten de volgende punten in acht worden genomen:

  • Om datalekken te voorkomen is het wenselijk om zoveel mogelijk digitaal te werken. Wanneer er digitaal wordt gewerkt is de kans op een datalek aanzienlijk kleiner.
  • Wanneer er gebruik wordt gemaakt van papieren dossiers moeten de volgende punten in  acht worden genomen:   voorkom dat de dossiers kunnen worden ingezien door onbevoegde of kwijtraken;
  1. zorg dat dossiers worden bewaard in afsluitbare kasten en/of koffers;
  2. dossiers mogen niet langer thuis worden bewaard dan nodig is voor werkzaamheden;
  3. dossiers moeten worden vernietigd bij Cordaet, thuis vernietigen is niet toegestaan;
  4. dossiers worden, uitsluitend in geval van nood, aangetekend verstuurd naar een expert.
  • Elke e-mail en andere dossier gerelateerde correspondentie moet worden opgeslagen in Synergy. Van lopende dossiers mogen e-mails tevens in de mailbox worden bewaard. De emails moeten te allen tijde terug zijn te vinden door middel van een dossiernummer. Wanneer een opdracht is afgerond en het dossier is gesloten moet alle e-mail zijn  opgeslagen in Synergy.
  • Wanneer er foto’s worden gemaakt is het zaak om deze zo snel mogelijk op te slaan in Synergy. Vervolgens moeten de foto’s worden verwijderd van de camera, telefoon, mailbox, laptop, etc. Wanneer dit niet gebeurt bestaat het risico dat foto’s nog lang blijven  rondzweven en neemt het risico op datalekken aanzienlijk toe.
  • Wanneer er met laptop of telefoon op een locatie wordt gewerkt -dat wil zeggen een andere locatie dan thuis of kantoor- is het niet toegestaan om gebruik te maken van openbare wifinetwerken. Voor het werken op locatie moet er gebruik gemaakt worden van een beveiligde hotspot van de door Cordaet verstrekte telefoon. Het internetverkeer op openbare netwerken is eenvoudig te onderscheppen.
  • De door Cordaet gefaciliteerde telefoon en laptop moeten worden beveiligd met een toegangscode of vingerafdruk voor het ontgrendelen. Deze veiligheidsmaatregelen mogen niet openbaar worden gemaakt aan derden, dit laatste inclusief gezinsleden.

 

Bewaartermijn & wissen/vernietigen

De bewaartermijn van (digitale) afgeronde dossiers is 5 jaar. Dit ten behoeve van een heropdracht en omdat Cordaet zich wil kunnen verdedigen tegen eventuele beroepsaansprakelijkheid.

Wanneer een opdracht is afgerond en het dossier is gesloten, moet het papieren dossier worden vernietigd. Dit door het dossier in de daarvoor bestemde blauwe container te deponeren.

Nadat de bewaartermijn is verlopen moet het digitale dossier worden gewist uit Synergy. Ingeval van een interessante zaak, kan het digitale dossier worden geanonimiseerd en worden opgeslagen in een daarvoor ingerichte database.

Ontvangen en doorsturen van medische informati

Medische informatie valt onder bijzondere persoonsgegevens. Er is toestemming nodig om deze bijzondere persoonsgegevens te verwerken. In de AVG is deze toestemmingseis streng, het moet gaan om schriftelijke uitdrukkelijke toestemming. Cordaet heeft deze toestemming niet gekregen van betrokkene. Wanneer medische gegevens door een belangenbehartiger worden gestuurd mag er niet vanuit worden gegaan dat er een uitdrukkelijke toestemming bestaat.

Als er medische informatie wordt ontvangen van betrokkene of de belangenbehartiger van betrokkene, moet deze informatie zo snel mogelijk worden doorgezonden naar de medisch adviseur. Bij een belangenbehartiger of betrokkene wordt altijd aangedrongen op rechtstreekse verzending van de medische informatie naar de medisch adviseur.

Een aandachtspunt is dat deze medische informatie vervolgens direct en volledig moet worden verwijderd uit de mailboxen. (Dus ook: de mappen verzonden items, verwijderde items etc.)

Doorsturen van rapporten SZW en arbeidsdeskundigerapporten

Cordaet krijgt regelmatig het verzoek om een rapport van de Nederlandse Arbeidsinspectie of een arbeidsdeskundige door te sturen. Deze rapporten bevatten persoonsgegevens over betrokkene waaronder bijzondere persoonsgegevens. Het is moeilijk vast te stellen of de gegevens mogen worden doorgestuurd aan derden. Per geval moet een afweging worden gemaakt. Per geval wordt bekeken of de ontvanger een in de AVG genoemde grondslag heeft om persoonsgegevens te verwerken.

Om de hierboven genoemde reden werkt Cordaet in beginsel niet mee aan het verstrekken van informatie aan andere partijen dan belangenbehartigers, betrokkenen en de opdrachtgever. Degene die deze rapporten wil inzien moet zich wenden tot de verzekeraar, de belangenbehartiger van betrokkene, de Nederlandse Arbeidsinspectie of de arbeidsdeskundige.

Omgang met datalekken

Een datalek is het verliezen of openbaar maken van gegevens zonder dat dit in overeenstemming is met de wettelijke bepalingen. Bij Cordaet zijn onder andere de volgende datalekken denkbaar:

  • verliezen van papieren dossiers;
  • post of e-mail sturen naar de verkeerde ontvanger;
  • verlies van gegevens zonder back-up;
  • apparaten verliezen of weggooien waar nog persoonsgegevens op staan (usb-sticks, computers etc.)

Voorbeelden: 

  • Een gestolen of verloren laptop is geen datalek omdat -als het goed is- er geen persoonsgegevens op de laptop zijn opgeslagen, de gegevens bevinden zich in de cloud waar een derde geen toegang tot kan krijgen.
  • Een gestolen of verloren telefoon daarentegen is een datalek wanneer daar nog persoonsgegevens in de vorm van foto’s, e-mail gedownloade bijlage uit e-mail op staan.
  • Wanneer een actief papieren dossier per ongeluk is vernietigd met het oud papier, is er geen datalek wanneer het digitale dossier compleet is. Er zijn dan geen gegevens verloren gegaan, het dossier kan immers opnieuw worden uitgeprint. Dit is wel een datalek wanneer het digitale dossier niet compleet is omdat er dan gegevens verloren zijn gegaan.
  • Een kwijt geraakt of gestolen papieren dossier is altijd een datalek omdat het mogelijk is dat een onbevoegde de gegevens kan inzien. De persoonsgegevens liggen mogelijk openlijk op straat.

In geval van een datalek

Wanneer er een datalek plaatsvindt moet dit worden geregistreerd en in sommige gevallen worden gemeld bij de autoriteit persoonsgegevens of betrokkene. De collega bij wie het datalek plaats heeft gevonden, vult onmiddellijk na ontdekking het datalek registratieformulier in en stuurt dit naar privacy@cordaet.nl. Vervolgens wordt dit verder afgehandeld door de Office Manager.

Snel handelen is noodzakelijk omdat er een wettelijke termijn van 72 uur geldt voor het eventueel melden bij de autoriteit persoonsgegevens. Veel opdrachtgevers verplichten Cordaet daarom om hun binnen 24 uur na ontdekking in kennis te stellen van het datalek.

Omgang met verzoeken van betrokkene

Betrokkene kan een aantal rechten op hun persoonsgegevens uitoefenen. Namelijk het recht van: inzage, correctie en aanvulling, bezwaar en beperking, overdraagbaarheid en het recht om vergeten te worden.

Een verzoek tot rectificatie of aanvulling van de persoonsgegevens wordt afgehandeld door de expert. Rectificatie is alleen van toepassing bij feitelijke onjuistheden. Zienswijze of meningen van experts worden niet aangepast.

Indien er een ander verzoek binnen komt, kun je dit binnen 5 dagen doorsturen naar privacy@cordaet.nl en wordt het vanaf daar verder afgehandeld door de Office Manager.