Context en definities

De General Data Protection Regulation, de “GDPR” (of “AVG”, De Algemene Verordening Gegevensbescherming) legt een aantal regels vast betreffende de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens. 

In het kader van de GDPR worden als persoonsgegevens beschouwd, alle gegevens of informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. 

Een verwerking staat voor elke bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op een andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. 

Een verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. 

De verwerkingsverantwoordelijke treft, rekening houdend met de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en de ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, de passende technische en organisatorische maatregelen met als doel de gegevensbeschermingsmiddelen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van de Algemene Verordening Gegevensbescherming en ter bescherming van de rechten van de betrokkenen.

De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen de persoonsgegevens worden verstrekt die noodzakelijk zijn voor elk specifiek doel van de verwerking.

Doel van de verwerking

 Experconsult is erkend door de Federale Overheidsdienst Mobiliteit en Vervoer voor het uitvoeren van medische onderzoeken bij chauffeurs die vervallen verklaard zijn van het recht op het besturen van een wagen.  De medische onderzoeken die in dit kader worden uitgevoerd, gebeuren overeenkomstig de algemene bepalingen van het koninklijk besluit van 23 maart 1998 betreffende het rijbewijs.  

 Experconsult, als partner voor het verbeteren van het welzijn op het werk, helpt een werkgever en zijn werknemers bij het opzetten van een gezondheidspreventieprogramma.  Medische doorlichtingen (check-ups) kunnen gezondheidsklachten helpen voorkomen of verminderen.  Door gezondheids-problemen in een vroeg stadium op te sporen, kunnen de ernst en de duur aanzienlijk worden verminderd. 

De dienstverleners (artsen, psychologen, diëtisten en anderen) van Experconsult stellen van elke onderzochte werknemer een individueel rapport op.  Dit rapport is enkel kan enkel ter beschikking worden gesteld van de betrokken werknemer en wordt niet aan de werkgever meegedeeld.  De dienstverleners kunnen enkel een rapport opmaken voor de onderneming als geheel, gericht op de evaluatie van de collectieve gezondheid van de onderzochte werknemers. 

Acties ter bevordering van de vitaliteit op het werk stellen werkgevers in staat het welzijn en de energie van hun werknemers te verbeteren door middel van leuke en innovatieve oplossingen. Tijdens de uitvoering van sommige van deze acties kunnen de dienstverleners persoonsgegevens ontvangen en verwerken die noodzakelijk zijn voor het goede verloop van de actie. Deze informatie wordt alleen gebruikt in het kader van deze actie en wordt niet aan derden meegedeeld, tenzij de deelnemer hiermee instemt. De dienstverleners kunnen enkel een rapport opmaken voor de onderneming als geheel, gericht op de evaluatie van de collectieve gezondheid van de onderzochte werknemers. 

 

De verwerking van persoonsgegevens

Alle persoonsgegevens moeten:

• worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is;
• voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
• toereikend zijn, ter zake dienend zijn en noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt;
• juist en geactualiseerd zijn;
• bewaard worden in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is;
• door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is.

De verwerking van persoonsgegevens gebeurt in het kader van de bepalingen betreffende het welzijn van de werknemer op het werk zoals opgenomen in de welzijnswet van 4 augustus 1996 en boek I t/m 10 van de codex over het welzijn op het werk en de bepalingen van het koninklijk besluit van 23 maart 1998 betreffende het rijbewijs.

De verwerking van bijzondere en gevoelige persoonsgegevens

De verwerking van bijzondere persoonsgegevens, zoals de gegevens met betrekking tot de (fysische en psychische) gezondheid van een persoon gebeurt in overeenstemming met artikel 9, 2. van de Algemene Verordening Gegevensbescherming.

De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsongeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsels en diensten of uit hoofde van een overeenkomst met een gezondheidswerker.

 

Welke gegevens worden verwerkt

Alle persoonsgegevens die verwerkt worden gebeuren in het kader van de wettelijke of toevertrouwde opdrachten van Experconsult.

Experconsult houdt een gezondheidsdossier bij van de werknemer waarvoor een medisch toezicht werd georganiseerd in het kader van het welzijn van de werknemer op het werk zoals opgenomen in de welzijnswet en van de codex welzijn op het werk.  Het gezondheidsdossier bestaat uit alle relevante informatie betreffende de werknemer die de arts of andere dienstverlener in staat stelt de check-up uit te voeren en de doeltreffendheid te meten van de preventie- en beschermingsmaatregelen die in de onderneming worden toegepast.  De verwerking van deze gegevens gebeurt met eerbiediging van de Algemene Verordening Gegevensbescherming en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Volgende persoonsgegevens worden verwerkt:

Persoonlijke identificatiegegevens: naam, adres, telefoonnummer, rijksregisternummer.

Gegevens betreffende persoonlijke kenmerken: leeftijd, geslacht, geboortedatum en -plaats, burgerlijke staat, nationaliteit.

Gegevens betreffende beroep en betrekking: omschrijving van de functie, datum van aanwerving, werkplaats, arbeidsmodaliteiten en -voorwaarden.

Medische gegevens: beroepsanamnese, datum en aard van het soort uitgevoerd preventief medisch onderzoek en de resultaten, resultaten van de gerichte onderzoeken of van de gerichte functionele tests (zoals gezondheidsonderzoek, cardiologisch onderzoek, longfunctietest, gehoortest, oogtest, EKG, biometrie, urinetest, ….), resultaten van het biologisch toezicht, alle andere documenten of gegevens met betrekking tot gerichte onderzoeken die de werknemer heeft ondergaan en die door een externe arts of dienst zijn uitgevoerd, gezondheidsbeoordeling, alle andere medische of medisch-sociale documenten.

Experconsult zal voor elke onderneming een dossier samenstellen voor de bevordering van de vitaliteit op het werk, met de contactgegevens van de deelnemers en de voorlopige vragenlijsten. Deze gegevens worden verwerkt in overeenstemming met de Algemene Verordening Gegevensbescherming.

De verwerking betreft de volgende persoonsgegevens:

Persoonlijke identificatiegegevens: naam, adres, telefoonnummer, e-mailadres.

Gegevens met betrekking tot persoonlijke kenmerken: leeftijd, geslacht, geboortedatum.

Gegevens met betrekking tot beroep en werkgelegenheid: functieomschrijving, arbeidsplaats, werkmethoden en arbeidsvoorwaarden.

Gegevens over levensstijl: fysieke en sportieve activiteiten, kookvaardigheden, eetgewoonten, slaaptijden…

 

Overdracht van persoonsgegevens

De gegevens worden door Experconsult niet meegedeeld aan derden, behoudens voor de toepassing van wettelijke of reglementaire bepalingen (bevoegde ambtenaren van de overheid toezicht welzijn op het werk), of voor de uitvoering van haar opdrachten in het kader van de wettelijke bepalingen van het koninklijk besluit van 23 maart 1998 betreffende het rijbewijs.  De artsen van Experconsult zijn gehouden aan het medisch beroepsgeheim en kunnen als dusdanig geen persoonlijke of medische gegevens bekendmaken aan derden.

De gegevens kunnen aan de geregistreerde persoon zelf worden meegedeeld.

Bewaartermijnen van de gegevens

De persoonsgegevens worden niet langer bijgehouden dan nodig zoals voorzien in de wetgeving.

Beveiliging

De persoonsgegevens zullen verwerkt worden op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt en die voorkomt dat een ongeoorloofde toegang of een ongeoorloofd gebruik van persoonsgegevens, mogelijk wordt.  De verwerker neemt hiertoe de passende technische en organisatorische maatregelen zoals verder omschreven.

In het bijzonder zal Experconsult de persoonsgegevens beveiligen tegen ongeoorloofde toegang of gebruik van doorgezonden, opgeslagen of verwerkte gegevens, het wijzigen, het verlies of de vernietiging van gegevens, hetzij per ongeluk, hetzij onrechtmatig. 

Vertrouwelijkheid van de gegevens

Alle persoonsgegevens die aan Experconsult worden meegedeeld, dienen strikt vertrouwelijk te worden behandeld. 

Alle partijen verbinden er zich toe om alle persoonsgegevens geheim te houden en op geen enkele wijze intern of extern te verspreiden tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

Gegevensverwerking buiten een lidstaat van de Europese Unie

De persoonsgegevens worden alleen in België verwerkt en zullen in geen geval buiten een lidstaat van de Europese Unie worden verwerkt. 

Beveiligingsmaatregelen en beschermingsmaatregelen

Experconsult zal passende technische en organisatorische maatregelen nemen om de vertrouwelijkheid bij de verwerking van de persoonsgegevens te waarborgen en ter voorkoming van ongeoorloofde toegang of het ongeoorloofd gebruik van de persoonsgegevens. 

1. Beleid voor informatieveiligheid

Experconsult beschikt over een beleid betreffende informatieveiligheid die door de verantwoordelijke voor het dagelijks beheer is goedgekeurd.  Het beleid legt een aantal algemene richtlijnen op inzake informatieveiligheid zoals de naleving van de veiligheidsmaatregelen, uitvoeren van conformiteitsaudits, implementatie van maatregelen, ….

De beleidslijnen worden gecommuniceerd naar en ook nageleefd door alle personeelsleden van Experconsult.  

2. Risicobeoordeling

Experconsult zal bij elk proces en bij elk project een risicobeoordeling rond informatieveiligheid en privacy uitvoeren, communiceren en onderhouden.  Bij deze risicobeoordeling wordt gekeken naar de ingevoerde maatregelen en waarborgen om de persoonsgegevens te beschermen, de risico’s te beperken en om aan te tonen dat men voldoet aan de voorwaarden van de GDPR.

3. Interne organisatie van de informatieveiligheid

 Experconsult beschikt over een policy informatieveiligheid waarin alle verantwoordelijkheden van de medewerker en van de organisatie ten aanzien van informatieveiligheid en privacy vastgelegd zijn.  Alle medewerkers, alle ingehuurde medewerkers of externe gebruikers van Experconsult, en voor zover nodig, dienen de policy te ondertekenen.  De verwerker zorgt ervoor dat de medewerkers (intern en extern), voor zover dit nodig is voor de uitoefening van hun functie, de nodige informatie en een geschikte vorming krijgen inzake informatieveiligheid.

4. Toegangsbeheer

Experconsult heeft een toegangsbeheerder aangeduid die verantwoordelijk is voor het beheer van de rechten tot de informaticasystemen.  De beheerder bepaalt de individuele toegangsrechten van de gebruiker op basis van een procedure die gevalideerd is door de directie.  De toegang wordt verplicht beperkt tot de toepassingen die noodzakelijk zijn voor de uitvoering van de taken van de gebruiker. 

5. Logbeheer

De verwerking van persoonsgegevens wordt geregistreerd in logbestanden.  Op die manier kan Experconsult op elk moment nagaan wie gegevens heeft gewijzigd, aangevuld of verwijderd.  De logbestanden worden periodiek gecontroleerd op het onrechtmatig gebruik of toegang tot persoonsgegevens.

6. Veilige fysieke omgeving

Expertconsult treft de nodige maatregelen om de toegang tot de gebouwen en de lokalen waar zich gevoelige of kritische informatie bevindt te beperken tot de  geautoriseerde personen.  Experconsult voorziet ook de nodige procedures voor het uitoefenen van een controle op de toegang.  

Experconsult  moet de maatregelen treffen ter voorkoming van verlies, schade of diefstal van de bedrijfsmiddelen.

7. Beveiliging van de gegevensoverdracht

 De opslag, het verwerken en het verzenden, extern of via het internet, van persoonsgegevens is altijd versleuteld.  Versleuteling wordt gebruikt voor de overdracht van gegevens die niet leesbaar kunnen zijn voor andere personen.  Enkel de afzender en de ontvanger beschikken over de noodzakelijke sleutel om de gegevens in hun oorspronkelijke vorm terug te zetten.  Deze aanvullende gegevens worden door Experconsult afzonderlijk bewaard.  Experconsult neemt hiertoe ook de nodige technische en organisatorische maatregelen.

8. Continuïteitsbeheer

Fysieke of technische incidenten zoals het uitvallen van apparatuur kunnen de beschikbaarheid of de toegang tot persoonsgegevens verhinderen of kunnen aanleiding geven tot het verlies van persoonsgegevens.  Experconsult zorgt ervoor dat de nodige maatregelen worden genomen zodat de organisatie gepast kan reageren op ernstige incidenten of rampen en een tijdig herstel kan bewerkstelligen.

9. Incidentbeheer

Experconsult zorgt ervoor dat de nodige procedures opgemaakt worden voor het vastleggen en het beheren van incidenten over informatieveiligheid.  Deze procedures zijn  gekend door alle medewerkers van Experconsult.

Elke medewerker is verplicht om melding te maken van ongeautoriseerde toegang, gebruik, openbaring, verlies of vernietiging van persoonlijke informatie.  Incidenten moeten gemeld worden aan de veiligheidsconsulent of functionaris van gegevensbescherming.   Alle bewijzen over het incident worden correct verzameld en bewaard.

Elk incident over informatieveiligheid moet geëvalueerd worden zodat de procedures kunnen aangepast en verbeterd worden.  

10. Datalekken

 Alle datalekken, dit is iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze  leidt tot de vernietiging, het verlies, de wijziging  of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of verwerkte gegevens, worden binnen de 72 uur na de ontdekking van het datalek, gemeld aan de gegevensbeschermingsautoriteit. 

Experconsult heeft de nodige procedures uitgewerkt om in een zo vroeg mogelijk stadium alle datalekken te kunnen detecteren.  Experconsult houdt ook een register bij van alle feiten betreffende de datalekken, de gevolgen en alle corrigerende maatregelen die werden genomen.

 

Rechten van de personen wiens persoonsgegevens worden verwerkt

1. Recht op toegang en op verbetering

De betrokken persoon heeft het recht om op elk ogenblik en kosteloos kennis te nemen van zijn persoonsgegevens en deze te verbeteren.

De betrokkene kan zijn gegevens verbeteren of vervolledigen, via een schrijven met een kopie van de identiteitskaart, gericht aan de gedelegeerd bestuurder van Experconsult, dhr. Olivier Legrand, Bischoffsheimlaan 1-8, 1000 Brussel. 

2. Recht op gegevenswissing (recht om vergeten te worden)

De persoonsgegevens die noodzakelijk zijn voor de uitoefening van haar wettelijke opdrachten door Expertconsult, kunnen niet worden gewist. 

Medische dossiers kunnen niet gewist worden tenzij dit in overeenstemming is met de wettelijke bepalingen van de codex welzijn op het werk.

3. Recht op beperking van de verwerking

 Expertconsult verwerkt de persoonsgegevens voor zover dit noodzakelijk is voor de uitvoering van haar wettelijke opdrachten die voortvloeien uit de welzijnswet, de codex inzake het welzijn op het werk en de algemene bepalingen van het koninklijk besluit van 23 maart 1998 betreffende het rijbewijs.  Persoonlijke en medische gegevens in het kader van preventieve medische onderzoeken, zullen enkel verwerkt worden mits uitdrukkelijke toestemming van de werknemer zelf. 

4. Recht op overdraagbaarheid

Het recht van overdraagbaarheid betekent het recht van de betrokken werknemer om zijn persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en het recht om deze aan een andere verwerkingsverantwoordelijke (of werkgever) rechtstreeks of onrechtstreeks over te dragen. 

Klachten

Ieder betrokken persoon heeft het recht een klacht in te dienen bij de gegevensbeschermingsautoriteit indien hij van mening is dat zijn rechten in het kader van de Algemene Verordening Gegevensbescherming geschonden zijn.