Inleiding

Wat gebeurt er met je gegevens? Je persoonlijke gegevens worden door tal van instanties geregistreerd. Om je te beschermen tegen misbruik van die registraties is er de Algemene Verordening Gegevensbescherming (AVG) . Elke instantie die gegevens van en/of over jou bijhoudt is daaraan gebonden. Dat geldt ook voor &Wij waarbij jouw werkgever is aangesloten. &Wij bewaart een aantal persoonlijke gegevens over jou. Van naam en adres tot en met uitvoerige medische dossiers, het wordt allemaal geregistreerd. &Wij verwerkt de persoonlijke gegevens voor:

De arbeidsomstandigheden in bedrijven en instellingen;
De begeleiding om verzuim te voorkomen;
De begeleiding bij verzuim;
De re-integratie van werknemers bij ziekte of arbeidsongeschiktheid.

De rol van &Wij
Zowel werkgevers als de verzuimbegeleider (&Wij) worden in de nieuwe AVG gezien als verantwoordelijke. Wanneer de verzuimbegeleider in opdracht van de werkgever ook gegevens in systemen verwerkt, is de verzuimbegeleider tevens een verwerker – ook wanneer de verzuimbegeleider gegevens raadpleegt (dus alleen bekijkt). De verzuimbegeleider moet dan via een verwerkersovereenkomst regelen dat de werkgever geen toegang heeft tot gegevens die inbreuk op de privacy vormen. &Wij heeft deze overeenkomsten aan alle klanten verstrekt. De Autoriteit Persoonsgegevens heeft op zijn beurt bepaald welke gegevens vallen onder de categorie ‘bijzondere persoonsgegevens’: daarbij gaat het om vrijwel alle gegevens die bij arbeidsverzuim spelen. Van datum ziekmelding tot afspraken met artsen en van persoonlijke omstandigheden tot en met subjectieve waarnemingen van de persoon. De meeste van deze gegevens mogen niet toegankelijk zijn voor de werkgever. De werkgever mag alleen gegevens inzien die noodzakelijk zijn voor het begeleiden van het verzuim, zoals een telefoonnummer, de verzuimduur, lopende afspraken. In de praktijk betekent dit dat de arbodienst of de bedrijfsarts moet zorgen voor een goede beveiliging en afscherming, ook als het systeem van de werkgever is.

&Wij verwerkt bijzondere persoonsgegevens. In de AVG staat hierover het volgende:
De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die grondslagen samen.  In de AVG staan 10 uitzonderingen:
Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens.
De verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;
De verwerking is noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene  fysiek of juridisch niet in staat is om zijn toestemming te geven;
De verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.  En die organisatie  gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen;
De verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
De verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
De verwerking is noodzakelijk vanwege een  zwaarwegend algemeen belang;
De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskunde aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg;
De verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid.
De verwerking is noodzakelijk met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

Let op: De grondslagen 2, 7,8,9 en 10 kunnen alleen ingeroepen worden als daarvoor in de nationale wet een rechtsbasis is gecreëerd. De overige grondslagen zijn rechtstreeks toepasselijk en hoeven niet te worden omgezet in nationaal recht. Dat geldt niet voor de andere grondslagen.

&Wij beroept zich op 2 en 8.

Artikel 1: Begripsomschrijving

AVG
Algemene Verordening Gegevensbescherming.

Persoonsregistratie.
Een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd.

Persoonsgegevens.
Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon.

Bijzondere persoonsgegevens volgens de AVG:
Persoonsgegevens waaruit ras of etnische afkomst blijkt;
Persoonsgegevens waaruit politieke opvattingen blijken;
Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
Gegevens over gezondheid;
Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
Genetische gegevens;
Biometrische gegevens met het oog op de unieke identificatie van een persoon. 

Betrokkene
De natuurlijke persoon over wie gegevens zijn vastgelegd in de persoonsregistratie. De betrokkene blijft zeggenschap houden over de persoonsregistratie.

Verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verwerkingsverantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verwerkingsverantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:
om welke verwerking het gaat;
welke persoonsgegevens de organisatie hierbij verwerkt;
voor welk doel de organisatie dit doet;
op welke manier de organisatie dit doet.

Verwerker.
Een derde partij/functionaris die door de verwerkingsverantwoordelijke wordt
aangesteld om persoonsgegevens te verwerken. De verwerkingsverantwoordelijke blijft eindverantwoordelijk.

Functionaris gegevensbescherming.
De functionaris aan wie door de verwerkingsverantwoordelijke de zorg voor de persoonsregistratie is opgedragen.

Verstrekken van gegevens.
Het bekend maken of ter beschikking stellen van persoonsgegevens voor zover zulks geheel of grotendeels steunt op gegevens die in die persoonsregistratie zijn opgenomen, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.

Verstrekken van gegevens aan een derde.
Verstrekken van gegevens uit de persoonsregistratie aan een persoon of instantie buiten de organisatie van de verwerkingsverantwoordelijke , met uitzondering van het verstrekken aan de bewerker of de geregistreerde.

Autoriteit.
Autoriteit Persoonsgegevens.

Artikel 2: Reikwijdte en toepassingsgebied
Dit reglement is van toepassing op elke verwerking van persoonsgegevens vermeld in bijlage 1 en de verwerkingsverantwoordelijke van dit reglement &Wij.

Artikel 3: Doel van de persoonsregistratie
Doel van de persoonsregistratie is te kunnen beschikken over de gegevens die noodzakelijk zijn voor de uitvoering van de door de werkgever aan de verwerkingsverantwoordelijke opgedragen taak ten behoeve van controle en sociaal-medische begeleiding van werknemers tijdens ziekte. Daarnaast de bedrijfsmedische zorg zoals de aan werkgever en arbodienst opgedragen wettelijke taken, alsmede voor de aan de uitvoering verbonden wettelijke verplichtingen t.a.v. het verstrekken van gegevens. Tevens voor een gezonde bedrijfsvoering met hier aan gelieerde commerciële activiteiten zullen, beperkt,  gegevens moeten worden verwerkt. In bijlage 1 worden de doelstellingen duidelijk omschreven en vormen een geheel met dit reglement.

Artikel 4: Verantwoordelijkheden en persoonsgegevens
De verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van het doel, de inhoud en het gebruik van de persoonsregistraties en voor de naleving van de bepalingen in dit reglement. De functionaris gegevensbescherming is verantwoordelijk voor de uitvoering van dit reglement. De verwerkingsverantwoordelijke en de functionaris gegevensbescherming dienen hun medewerkers op de hoogte te stellen en te houden van de verantwoordelijkheden bij het omgaan met gegevens van personen. De persoonsregistratie bevat uitsluitend gegevens over personen ingevolge het in het artikel 3 genoemde doel. Dit betreffen gegevens van werknemers en daarmee gelijkgestelden die in dienst zijn van opdrachtgevers van &Wij.

Artikel 5: Verwerking van de persoonsregistratie
De verwerkingsverantwoordelijke draagt er voor zorg dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. De wijze van verwerking is opgenomen in bijlage 2. Deze vormt een geheel met dit reglement. Binnen de verwerking van persoonsregistratie wordt gehouden aan de AVG gedachte, waarbij risicobeheersing centraal staat en daarnaast:
Zo min mogelijk privacygevoelige informatie verzameld wordt.
Actief niet-relevante informatie weggegooid wordt.

Artikel 6: Geregistreerde gegevens en wijze van verkrijging
De verwerkingsverantwoordelijke registreert uitsluitend de gegevens die noodzakelijk zijn voor een juiste uitvoering van het in het artikel 3 genoemde doel. De functionaris gegevensbescherming draagt zorg voor een omschrijving van de persoons beschrijvende gegevens die zijn opgenomen in de registratie. Deze omschrijving is opgenomen in het overzicht: Verwerkingsregister persoonsgegevens. De verwerkingsverantwoordelijke registreert in de persoonsregistratie uitsluitend gegevens afkomstig van:
de betrokkene;
de werkgever van de betrokkene;
instanties of personen die bij de uitvoering van het in artikel 3 genoemde doel een taak hebben of anderszins verplicht of schriftelijk gemachtigd zijn gegevens aan de

  1. verwerkingsverantwoordelijke te verstrekken;
  2. eigen onderzoek.

Het samenvoegen van één of meer gegevens uit de persoonsregistratie buiten de organisatie van de verwerkingsverantwoordelijke is niet toegestaan, tenzij dit geschiedt ter uitvoering van een bij of krachtens een wet gegeven voorschrift of met schriftelijke toestemming van de geregistreerde.

Artikel 7: Bewaartermijnen
De gegevens worden niet langer bewaard dan voor het doel omschreven in artikel 3 noodzakelijk is, met inachtneming van de wettelijke voorschriften. De functionaris gegevensbescherming draagt zorg voor een omschrijving van de bewaartermijnen die binnen de organisatie van de verwerkingsverantwoordelijke van kracht zijn. Deze omschrijving is opgenomen in het overzicht: Verwerkingsregister persoonsgegevens.
Indien de bewaartermijn is verstreken, worden de persoonsgegevens binnen een jaar uit het bestand verwijderd en vernietigd. Vernietiging blijft eventueel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aannemelijk belang is voor een ander dan de geregistreerde, alsmede bewaring op grond van een wettelijk voorschrift is vereist of indien tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

Artikel 8: Verstrekking van gegevens
Bij verzuimbegeleiding verstrekt de verwerkingsverantwoordelijke slechts gegevens aan derden (rekening houdend met wat de Algemene Verordening Gegevensbescherming daarover heeft vastgelegd) en voor zover dit:
voortvloeit uit het doel van de registratie;
wordt vereist ingevolge een wettelijke voorschrift;
geschiedt met schriftelijke toestemming van de betrokkene; een en ander geschiedt met inachtneming van de Algemene Verordening Gegevensbescherming (AVG).

De betrokkene heeft het recht zijn toestemming ten aller tijde in te trekken. Het intrekken van de toestemming is even eenvoudig als het geven ervan. De in dit artikel bedoelde derden moeten in hun verzoek aangeven op grond waarvan zij over de gegevens wensen te beschikken. Een verzoek voor een verstrekking van gegevens wordt schriftelijk bij de verwerkingsverantwoordelijke ingediend. In dit verzoek dient te worden aangegeven voor welk doel de gegevens gebruikt zullen worden en dient de garantie opgenomen te zijn, dat de gevraagde gegevens niet aan een andere instantie óf persoon zullen worden verstrekt. Aan de werkgever worden geen (medische) persoonsgegevens verstrekt tenzij dit noodzakelijk is en de werknemer daarvoor zijn uitdrukkelijke toestemming heeft gegeven. Van de toestemming wordt aantekening gemaakt in het medisch dossier;
Aan de werkgever worden geen mededelingen gedaan over bezoek werknemer aan arbeidsomstandighedenspreekuur of vrijwillige deelname van werknemer aan periodieke onderzoeken. Indien naar aanleiding van zo’n bezoek of deelname de bedrijfsarts advies wenst te geven aan de werkgever dan is daarvoor de uitdrukkelijke en gerichte toestemming van de werknemer nodig. Deze toestemming is óf aangetekend in het dossier en/of bevestigd middels een schriftelijke machtiging;
De verwerkingsverantwoordelijke deelt een ieder op diens verzoek schriftelijk binnen een maand mede of en zo ja, welke hem of haar betreffende gegevens in het jaar voorafgaande aan het verzoek uit de persoonsregistratie aan derden zijn verstrekt en op grond waarvan.  In afwijking hiervan kan worden geweigerd aan het verzoek te voldoen, indien dat noodzakelijk is in het belang van opsporing en/of vervolging van strafbare feiten, dan wel van inspectie, controle of toezicht door of vanwege organen met een publiekrechtelijke taak, dan wel van gewichtige belangen van anderen dan de verzoeker, de verwerkingsverantwoordelijke daaronder begrepen.

De verwerkingsverantwoordelijke is verplicht op deugdelijke wijze bij te houden aan wie gegevens uit de persoonsregistratie zijn verstrekt, alsmede op grond waarvan gegevens zijn verstrekt.
In geval de verwerkingsverantwoordelijke redelijkerwijs mocht aannemen dat het belang van de betrokkene niet onevenredig zou worden geschaad door niet vast te leggen welke gegevens zijn verstrekt, kan hij volstaan met een in algemene termen vervatte mededeling betreffende de aard van de verstrekte gegevens en degenen aan wie deze zijn verstrekt.

Artikel 9: Organisatie van beheer en gebruik
Toegang tot de geregistreerde gegevens hebben alleen die functionarissen aan wie taken zijn opgedragen die toegang noodzakelijk maken. De functionaris gegevensbescherming draagt zorg voor een omschrijving waaruit blijkt van welke afdeling functionarissen toegang hebben tot de registratie op grond van de aan hen opgedragen taken. Deze omschrijving is opgenomen onder bijlage 1. Ten aanzien van medische gegevens geldt als voorwaarde dat de functionaris door of vanwege de arts gerechtigd is van de gegevens kennis te nemen. De verwerkingsverantwoordelijke is verantwoordelijk voor de verificatie, de juistheid en actualiteit van de geregistreerde gegevens. De verwerkingsverantwoordelijke is verantwoordelijk voor de beveiliging van de betrokkene gegevens.

Artikel 10: Recht op kennisgeving
De verwerkingsverantwoordelijke deelt een ieder over wie voor de eerste keer persoonsgegevens in de registratie worden opgenomen schriftelijk mede dat dit is geschied. De mededeling bevat een aanduiding van het doel van de registratie alsmede de naam, het adres en de woonplaats van de verwerkingsverantwoordelijke.
De verplichting bedoeld in dit artikel geldt niet:
Indien de betrokkene weet of redelijkerwijs kan weten dat een dergelijke opname heeft plaatsgevonden;
Indien een gewichtig belang van de betrokkene zich tegen het doen van een schriftelijke mededeling verzet.

Artikel 11: Inzage van opgenomen gegevens
De betrokkene, zijn wettelijke vertegenwoordiger dan wel een door hem schriftelijk daartoe gemachtigde heeft recht op inzage in de gegevens die over de betrokkene in de persoonsregistratie zijn opgenomen. Onder dossier dient te worden verstaan:
het geheel van medische en arbeidskundige gegevens omtrent de geregistreerde;
de bij derden of betrokkene ingewonnen inlichtingen.

Alle persoonsgegevens zijn opgenomen in digitale systemen. Inzage kan verleend worden door middel van het verstrekken van een weergave op papier of een digitaal leesbaar bestand (bijvoorbeeld PDF). Een verzoek om inzage moet worden schriftelijk worden ingediend. Inzage (verstrekking op papier of digitaal) zal plaatsvinden binnen één maand na de datum waarop het verzoek om inzage werd gedaan. Afhankelijk van de complexiteit van de vraag en het aantal verzoeken kan de termijn indien nodig met twee maanden verlengd worden. Binnen één maand dient de betrokkene in kennis gesteld te worden van de verlenging.

Artikel 12: Correctierecht
Wanneer een betrokkene van mening is dat een gegeven, vastgelegd op een zich in het dossier bevinden stuk of op de weergave op papier van persoonsgegevens die zich in het geautomatiseerde gegevensbestand bevinden, feitelijk onjuist en/of onvolledig is weergegeven of niet terzake dienend is, kan de geregistreerde, zijn wettelijke vertegenwoordiger dan wel een door hem schriftelijk daartoe gemachtigde de verwerkingsverantwoordelijke schriftelijk verzoeken dit gegeven te verbeteren, aan te vullen of te verwijderen. Het verzoek behelst de aan te brengen wijzigingen;
De verwerkingsverantwoordelijke deelt de verzoeker binnen één maand na ontvangst van het verzoek schriftelijk mee hoe de opvolging zal geschieden. Afhankelijk van de complexiteit van de vraag en het aantal verzoeken kan de termijn indien nodig met twee maanden verlengd worden. Binnen één maand dient de betrokkene in kennis gesteld te worden van de verlenging. De verwerkingsverantwoordelijke deelt daarbij mee in welk opzicht en/of in welke mate door de betrokkene verstrekte gegevens voor hem grond vormen voor een nadere beslissing en zo ja, voor welke.
Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan.
Weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
De verwerkingsverantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling of verwijdering zo spoedig mogelijk wordt uitgevoerd.
Wanneer een betrokkene van mening is dat in het dossier of op de weergave op papier van persoonsgegevens die zich in het geautomatiseerde gegevensbestand bevinden, één of meer gegevens ontbreken die van belang kunnen zijn voor het doel van artikel 3, wordt aan het dossier of die weergave toegevoegd een door de geregistreerde, zijn wettelijke vertegenwoordiger dan wel een door hem schriftelijk daartoe gemachtigde opgemaakt en ondertekend geschrift waarop die gegevens staan omschreven.
De verwerkingsverantwoordelijke deelt de betrokkene binnen twee maanden schriftelijk mee in welk opzicht en/of in welke mate de verstrekte gegevens voor de verwerkingsverantwoordelijke grond vormen voor een nadere beslissing en zo ja, voor welke. De verwerkingsverantwoordelijke draagt er zorg voor dat degenen aan wie naar zijn weten in het jaar voorafgaand aan het verzoek in de sinds dat verzoek verstreken periode de betrokken gegevens zijn verstrekt, mededeling wordt gedaan van eventuele verbetering, aanvulling of verwijdering. De betrokkene ontvangt een afschrift van de mededeling.

Artikel 13: Overdracht van persoonsgegevens
Overdracht van persoonsgegevens aan een andere verwerker zal slechts plaatsvinden na schriftelijke toestemming van de betrokkene. De inwilliging van het verzoek kan geweigerd worden, mits er op grond van wettelijke voorschriften verplicht overdracht van persoonsgegevens plaats dient te vinden.

Artikel 14: Klachten
Indien een belanghebbende van mening is dat de verwerkingsverantwoordelijke handelt in strijd met dit reglement kan bij de verwerkingsverantwoordelijke schriftelijk een met redenen omklede klacht worden ingediend. Ingediende klachten worden door de verwerkingsverantwoordelijke afgehandeld volgens de klachtenprocedure die is opgenomen in het managementhandboek.

Indien de belanghebbende zich niet kan verenigen met de beslissing, die door de verwerkingsverantwoordelijke op grond van de hiervoor genoemde klachtenprocedure is genomen, kan de betreffende belanghebbende de arrondissementsrechtbank schriftelijk verzoeken alsnog een verzoek als bedoeld in dit reglement toe te wijzen. Het verzoekschrift moet worden ingediend binnen een termijn van zes weken na ontvangst van de beslissing over de klacht van de  verwerkingsverantwoordelijke. Indien de betreffende belanghebbende binnen de in de klachtprocedure genoemde termijn geen beslissing van de verwerkingsverantwoordelijke heeft ontvangen, moet het verzoekschrift worden ingediend binnen zes weken na afloop van die termijn. De betreffende belanghebbende kan zich ook wenden tot de Registratiekamer of de Autoriteit met het verzoek te bemiddelen of  te adviseren in het geschil met de verwerkingsverantwoordelijke.

Artikel 15: Verzoek om uitleg
De betrokkene mag om uitleg vragen, wanneer een interesseprofiel of risicoanalyse wordt uitgevoerd met behulp van de gegevens van de betrokkene. De verwerkingsverantwoordelijke dient dan uitleg te verstrekken over hoe de persoonsgegevens van de betrokkene worden ingezet voor deze doeleinden.

Artikel 16: Functionaris Gegevensbescherming
&Wij verwerkt bijzondere persoonsgegevens. Conform de AVG is er een Functionaris Gegevensbescherming (FG) aangesteld en aangemeld voor het openbaar register van de Autoriteit Persoonsgegevens. De Functionaris Gegevensbescherming houdt binnen de organisaties toezicht op de toepassing en de naleving van de AVG.

Artikel 17: Publicatie
Dit reglement is openbaar, beschikbaar via de website en ligt ter inzage bij de functionaris gegevensbescherming.

Artikel 18: Inwerkingtreding, looptijd en wijziging van het reglement
Dit reglement treedt in werking op 1 mei 2018. Behoudens wettelijke bepalingen is dit reglement van kracht zolang artikel 3 van toepassing is. Wijzigingen van dit reglement worden aangebracht door de functionaris gegevensbescherming. De wijzigingen in dit reglement worden van kracht een maand na bekendmaking ervan.

Artikel 19: Privacy risico’s in kaart brengen
Doormiddel van een Privacy Impact Assessment (PIA) brengt &Wij periodiek privacy risico’s in kaart. Op deze manier gaat zij aantoonbaar en beheerst om met eventuele privacy risico’s die haar dienstverlening met zich meebrengt. 

Bijlage 1: Doelstellingen van de persoonsregistratie 

De doelstelling van persoonsregistratie is het nu en in de toekomst kunnen beschikken over gegevens die dienstbaar zijn aan de bescherming en bevordering van de gezondheid en het welzijn van alle betrokkenen, in het bijzonder zover het betreft de relatie van de gezondheid tot de werksituatie zoals bedoeld in de arbeidsomstandighedenwet.

Een andere doelstelling is het kunnen beschikken over gegevens die noodzakelijk zijn voor het kunnen uitvoeren van  verzekeringsgeneeskundige taken onder andere voortvloeiend uit de relevante wetgeving, alsmede het kunnen beschikken over gegevens die noodzakelijk zijn voor het kunnen uitvoeren van (verzekerings-) keuringen. Daarnaast dient de registratie ter ondersteuning van de bedrijfsvoering en de beleidsondersteuning binnen &Wij.

Om een gezonde bedrijfsvoering te kunnen voeren en continuïteit voor ons personeel te kunnen bieden zullen er commerciële activiteiten moeten worden ontplooid en dienen die uitgevoerd te worden. 

De laatste doelstelling voor persoonsregistratie is de beschikking over gegevens voor statistische en wetenschappelijke doeleinden en voor advisering ten aanzien van gezondheid, welzijn en werkomstandigheden in het algemeen.

Bijlage 2: Verwerking persoonsregistratie

De persoonsregistratie wordt verwerkt indien:
betrokkene voor de verwerking zijn toestemming heeft verleend, of;
de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst waarin betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene die noodzakelijk zijn voor het sluiten van een overeenkomst, of;
de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen, of;
de gegevensverwerking noodzakelijk is voor het behartigen van het gerechtvaardigde belang van de betrokkene of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de geregistreerde, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. De verwerkingsverantwoordelijke bewaart geheimhouding over de persoonsgegevens waarvan hij/zij kennisneemt, behoudens voor zover enig wettelijk voorschrift hem/haar tot mededeling verplicht of uit zijn/haar taak tot mededeling voortvloeit. De verwerkingsverantwoordelijke verwerkt geen persoonsgegevens betreffende iemand godsdienst of levensovertuiging, ras/etnische afkomst, politieke opvattingen, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Is niet van toepassing voor zover:
dit geschiedt met schriftelijke toestemming van geregistreerde;
de gegevens door betrokkene openbaar zijn gemaakt;
dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;
dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende maatregelen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.
Persoonsgegevens worden wel verwerkt ten behoeve van wetenschappelijk onderzoek of statistiek voor zover:
dit onderzoek een algemeen belang dient;
de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost;
bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
Het versturen van berichten.
&Wij wil haar berichten delen via e-mail, telefoon, post en social media. Deze berichten zijn enerzijds   commercieel en anderzijds gericht op kennisdeling. Je voornaam en e-mailadres worden verzameld via het daarvoor bestemde formulier op de website van &Wij. Daarnaast kan je mondeling of tekstueel gevraagd worden om je aan te melden.
Contact opnemen
Jouw gegevens zullen verzameld worden als jij contact opneemt met &Wij via de website of anders. Hierbij wordt echter alleen gevraagd om de benodigde gegevens om een kennismaking, scans, voorstel of een dienst aan te kunnen bieden, zoals je naam, bedrijfsnaam, e-mailadres, telefoonnummer en projectomschrijving.
Op het moment dat je contact opneemt met &Wij via mail, dan worden die gegevens die jij meestuurt, zoals bijvoorbeeld je naam, bedrijfsnaam, en e-mailadres, opgeslagen op de mailserver. Die mails worden tot maximaal twee jaar terug bewaard.

Ontvangers
De gegevens die &Wij ontvangt en verwerkt worden beheerd d.m.v.:

IT Company
De e-mail van &Wij wordt gehost bij IT Companyy. Als jij contact opneemt via de formulieren of via mail, worden die betreffende mails opgeslagen op de servers van IT Company.

WordPress
De website en back-ups van de website worden gehost bij WordPress. Gegevens die jij achterlaat op de website van &Wij zijn op de servers van WordPress opgeslagen.

Opslag periode
Jouw gegevens worden voor langere tijd bewaard door &Wij, maar nooit langer dan nodig is voor het uitvoeren van activiteiten, tenzij we op grond van een wettelijke regeling jouw gegevens langer moeten bewaren.
Jouw e-mailadres en voornaam worden opgeslagen in Dropbox. De opslag van jouw gegevens is voor onbepaalde tijd. Je kunt je laten uitschrijven wanneer je maar wilt door een mail te sturen naar [email protected].