Menu
PRIVACYREGLEMENT
PRIVACYREGLEMENT
Medimark medische keuringen
Versie 1.2 – 2025
Rechtsgeldig bevoegd functionaris: David de Vos
Functionaris gegevensbescherming: Sandra van Ooijen (FG003203)
Handelsnaam: Medimark medische keuringen
Adres: Max Euwelaan 51, 3062 MA Rotterdam
Classificatie document: Standaard
ARTIKEL 1 – BEGRIPSBEPALINGEN
Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de AVG daaraan toekent. De Functionaris gegevensbescherming van Medimark heeft zich gemeld bij de Autoriteit Persoonsgegevens en staat geregistreerd onder FG003203.
Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Gezondheidsgegevens: Bijzondere persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen.
Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verstrekken van persoonsgegevens: Het bekendmaken of ter beschikking stellen van persoonsgegevens.
Verzamelen van persoonsgegevens: Het verkrijgen van persoonsgegevens.
Verantwoordelijke: De natuurlijke persoon, rechtspersoon of ieder ander die alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Gebruiker: Enig persoon die, onder gezag van de verantwoordelijke, gemachtigd is persoonsgegevens te verwerken.
Beheerder: Degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft.
Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Derde: Ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker of de bewerker.
Ontvanger: Degene aan wie persoonsgegevens worden verstrekt.
Uitdrukkelijke toestemming: Elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee deze aanvaardt dat op hem/haar betrekking hebbende persoonsgegevens worden verwerkt. Nu werknemers ten opzichte van werkgevers afhankelijk zijn, gelden zware eisen aan het toestemmingsvereiste.
AP: Autoriteit Persoonsgegevens.
Medewerker: Degene die onder de verantwoordelijke is belast met de verwerking van persoonsgegevens. Een onderscheid wordt gemaakt tussen Medewerker A, die in de uitoefening van zijn/haar taken geen medische gegevens verwerkt, en Medewerker B, die in de uitoefening van zijn/haar taken wel medische gegevens verwerkt.
ARTIKEL 2 – REIKWIJDTE, BEHEER EN BEWERKING
2.1. Dit reglement is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens door/namens de verantwoordelijke. De verantwoordelijke in de zin van dit reglement is Medimark medische keuringen te Rotterdam.
2.2. Medimark medische keuringen garandeert dat zij alle toepasselijke privacywet- en regelgeving naleeft, waaronder begrepen de Wet Bescherming Persoonsgegevens, de Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG), de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO; voor zover van toepassing), de Wet op de medische keuringen en de toepasselijke gedragscodes en richtlijnen.
2.3 Dit reglement stelt regels voor de persoonsregistratie van Medimark medische keuringen. De directie is houder van de registratie en beheert deze in overeenstemming met dit reglement.
2.4 De directie van Medimark medische keuringen ziet toe op de goede werking van de registratie overeenkomstig dit reglement en in het vorige lid genoemde afspraken en is verantwoordelijk voor het goed functioneren van de persoonsregistratie.
2.5 De directie heeft ten aanzien van de registratie niet meer bevoegdheden dan die welke haar in dit reglement worden toegekend. Haar zeggenschap over de werking van de persoonsregistratie en de verstrekking van gegevens uit die registratie wordt beperkt door dit reglement.
2.6 De directie is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
2.7 Periodiek wordt een interne audit uitgevoerd met als hoofddoel het nagaan of alle medewerkers binnen Medimark medische keuringen zich houden aan de privacyafspraken en het privacyreglement.
ARTIKEL 3 – DOEL VAN DE GEGEVENSVERWERKING
3.1 De doelstellingen van het verzamelen van de persoonsgegevens, waarop dit reglement van toepassing is, zijn bepaald in bijlage A. Deze bijlage vormt één geheel met dit reglement.
3.2 De verantwoordelijke zal niet meer persoonsgegevens opnemen dan voor het doel noodzakelijk is en zal geen persoonsgegevens opnemen of bewaren voor andere doeleinden dan in bijlage A genoemd.
ARTIKEL 4 – VERWERKEN VAN PERSOONSGEGEVENS
4.1 De verwerking van de persoonsgegevens, waarop dit reglement van toepassing is, is omschreven in bijlage B. Deze bijlage vormt één geheel met dit reglement.
4.2 In de sub 4.1 bedoelde omschrijving wordt ten minste genoemd:
a. de naam, vestigingsplaats en het karakter van de organisatie ten behoeve waarvan de verwerking functioneert;
b. de verantwoordelijke en wie namens de verantwoordelijke optreedt;
c. de beheerder(s);
d. de eventuele bewerker;
e. de verwerking van de persoonsgegevens;
f. of de verwerking voor bepaalde dan wel onbepaalde tijd is ingesteld; indien er sprake is van een beperkte looptijd geeft de houder aan wat er na afloop met de gegevens gebeurt.
4.3 Medimark B.V. is verantwoordelijk voor het goed functioneren van de verwerking van de persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming. Haar handelen met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van persoonsgegevens wordt beperkt door dit reglement. Medimark B.V. is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
Medimark gaat uiterst zorgvuldig om met de onder haar verkregen persoonsgegevens van een keurling en houdt zich strikt aan het medisch beroepsgeheim.
Medimark voldoet vervolgens aan artikel 9, 2e lid, letter h van de EU-AVG “Verwerking van bijzondere categorieën van persoonsgegevens”. Op grond daarvan valt Medimark onder de algemene uitzonderingsgronden op het verwerkingsverbod. Onder de verwerking ressorteren persoonsgegevens evenals medische informatie welke noodzakelijk is voor doeleinden van preventieve- of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de betrokken werknemer/keurling, medische diagnosen (…).
Naast de AVG en de Uitvoeringswet zijn ook de privacyregels van toepassing zoals vastgelegd in de Wet medische keuringen.
4.4 Medimark B.V. verplicht de bewerker dit reglement na te leven. De taken, rechten en verplichtingen van de bewerker worden door Medimark B.V. schriftelijk vastgelegd. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en van de persoonsgegevens zelf. De ter zake getroffen regeling(en) is/zijn bij de bewerker in te zien.
Medimark waarborgt dat haar werknemers contractueel verplicht zijn tot geheimhouding van de persoonsgegevens waarvan zij met betrekking tot de uitvoering van haar werkzaamheden kennis kunnen nemen. De geheimhoudingsplicht kan alleen worden doorbroken wanneer een wettelijk voorschrift verplicht om de persoonsgegevens te verstrekken.
4.5 Medimark B.V. treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft.
ARTIKEL 5 – OPGENOMEN GEGEVENS
5.1 De persoonsgegevens kunnen de volgende gegevenscategorieën bevatten:
personalia/identificatiegegevens;
financieel/administratieve gegevens;
medische en psychologische gegevens.
Deze categorieën van gegevens en hun herkomst worden nader gespecificeerd in bijlage C van het reglement. Deze bijlage vormt één geheel met dit reglement.
ARTIKEL 6 – VERTEGENWOORDIGING
6.1 Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien jaar valt en niet in staat is tot een redelijke waardering van zijn belangen, treden naast de persoon zelf diens ouders op.
6.2 Hetzelfde geldt voor de betrokkene die de leeftijd van achttien jaar nog niet heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
6.3 Indien de betrokkene de leeftijd van achttien jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, niet onder curatele staat of ten behoeve van hem niet het mentorschap is ingesteld, dan treedt degene in de plaats van de geregistreerde die door hem daartoe op een eerder moment schriftelijk is gemachtigd.
Ontbreekt zodanige persoon, of treedt deze niet op, dan treedt in plaats van de betrokkene diens echtgenoot of andere levensgezel, tenzij deze persoon dat niet wenst, dan wel, indien ook zodanige persoon ontbreekt, diens ouder, kind, broer of zus, tenzij deze persoon dat niet wenst.
6.4 Indien de betrokkene de leeftijd van achttien jaar heeft bereikt en in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen in diens plaats te treden.
6.5 De persoon die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
6.6 Medimark B.V. komt haar verplichtingen die voortvloeien uit wet en reglement na jegens de vertegenwoordiger van de betrokkene, tenzij die nakoming niet verenigbaar is met de zorg van een goed houder.
ARTIKEL 7 – KENNISGEVING
7.1 Medimark B.V. zal door middel van een algemene kennisgeving het bestaan van de verwerking van persoonsgegevens en van dit reglement vermelden, alsmede daarin aangeven op welke wijze het reglement kan worden ingezien en verkregen en nadere informatie ter zake kan worden ingewonnen.
7.2 Indien andere doelen dan zorgverlening en zorgondersteuning een doelstelling vormen van de persoonsgegevens, heeft de verantwoordelijke de plicht de betrokkene vooraf gericht te informeren omtrent de aard van de gegevens die over zijn persoon in de verwerking worden opgenomen, alsmede omtrent de doeleinden die daarmee worden nagestreefd, een en ander met inachtneming van het in artikel 3 bepaalde.
ARTIKEL 8 – VERSTREKKING VAN GEGEVENS
8.1 Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als genoemd in de leden 3 en 4, is voor verstrekking van persoonsgegevens aan derden de gerichte toestemming van de betrokkene vereist. Indien verstrekking buiten de doelstelling van de verwerking van persoonsgegevens valt, dient de toestemming schriftelijk verleend te worden.
8.2 Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet tot de individuele persoon herleidbaar zijn, kan Medimark B.V. beslissen deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie.
8.3 Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid worden verstrekt, indien aan ten minste één van de volgende voorwaarden is voldaan:
a. het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.
Voorts is dit slechts mogelijk indien:
het onderzoek een algemeen belang dient;
het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt; en
het onderzoek wordt verricht conform de gedragscode gezondheidsonderzoek van de Raad voor Gezondheidsonderzoek en de Stichting Federatie van Medisch Wetenschappelijke Verenigingen.
Bij een verstrekking in overeenstemming met dit lid wordt daarvan aantekening gehouden in het dossier.
8.4 Van alle gegevensverstrekkingen aan derden, anders dan op grond van lid 3 en 4, wordt door Medimark B.V. een register bijgehouden. De in dit register vermelde gegevens worden gedurende twee kalenderjaren bewaard, tenzij zij in het kader van een procedure langer bewaard moeten blijven. Medimark B.V. deelt de betrokkene op diens verzoek schriftelijk binnen vier weken mee of zijn/haar persoonsgegevens in het jaar voorafgaand aan het verzoek uit de persoonsregistraties aan derden zijn verstrekt.
ARTIKEL 9 – TOEGANG TOT PERSOONSGEGEVENS
9.1 Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot persoonsgegevens de beheerder en bewerker, voor zover dit in het kader van beheer en bewerking noodzakelijk is. Deze en andere door elk van genoemde personen aangewezen (mede)gebruikers van de persoonsgegevens, binnen Medimark B.V. werkzaam, zijn in beginsel bij functie genoemd in bijlage D, welke een geheel met dit reglement vormt en in het bezit is van Medimark B.V. Bij de in deze bijlage genoemde functies wordt aangegeven tot welke persoonsgegevens zij toegang hebben.
9.2 Medimark B.V. heeft als zodanig geen toegang tot de persoonsgegevens, tenzij dit noodzakelijk is in verband met haar algemene verantwoordelijkheid als verantwoordelijke.
ARTIKEL 10 – INZAGE EN AFSCHRIFT VAN OPGENOMEN PERSOONSGEGEVENS
10.1 De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende persoonsgegevens.
10.2 Artikel 10.1 geldt niet voor persoonsgegevens die Medimark verzamelt van een betrokkene die zich laat keuren voor een verzekeringsmaatschappij. Medimark is in dat geval niet de beheerder van de gegevens, maar stuurt ze onmiddellijk door naar de medisch adviseur van de verzekeringsmaatschappij, en als zodanig is de medisch adviseur de beheerder van de gegevens. De betrokkene moet zich in het geval van inzage en afschrift wenden tot de medisch adviseur van de verzekeringsmaatschappij.
10.3 De bij Medimark gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden.
10.4 Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, Medimark B.V. daaronder begrepen.
10.5 Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
ARTIKEL 11 – AANVULLING EN CORRECTIE VAN OPGENOMEN PERSOONSGEGEVENS
11.1 Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
11.2 De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens, indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift in de verwerking voorkomen.
11.3 De betrokkene kan verzoeken om vernietiging van tot zijn persoon herleidbare gegevens.
11.4 Medimark B.V. deelt haar beslissing binnen acht weken na ontvangst van het verzoek tot correctie of vernietiging schriftelijk aan de betrokkene mee. Een weigering is met redenen omkleed.
11.5 Medimark B.V. draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
ARTIKEL 12 – BEWAARTERMIJNEN
12.1 Gegevens die zijn verzameld voor een medische keuring moeten bewaard worden zolang dat noodzakelijk is voor het doel van de keuring. Dit is in beginsel 20 jaar. Zie hiervoor het verwerkingsregister.
12.2 Kopieën van documenten ten behoeve van medische keuringen voor verzekeringsmaatschappijen worden door Medimark B.V. 1 jaar bewaard. Dit is om de verzekeringsmaatschappij van dienst te kunnen zijn bij eventueel zoekraken van de gegevens. Medimark is geen beheerder van deze persoonsgegevens. Zie hiervoor artikel 10.2.
12.3 Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens verwijderd en vernietigd, zulks binnen een termijn van één jaar. Vernietiging blijft evenwel achterwege wanneer dat op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
ARTIKEL 13 – OVERDRACHT VAN OPGENOMEN PERSOONSGEGEVENS
13.1 De betrokkene heeft het recht de op haar/hem betrekking hebbende gegevens te doen overdragen aan een andere, door haar/hem aan te wijzen houder.
ARTIKEL 14 – KLACHTEN
14.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dient hij/zij zich te wenden tot Medimark B.V. Ingediende klachten worden door de verantwoordelijke afgehandeld volgens het klachtenreglement van Guyra Arbodienst en Medimark. Zie hiervoor onze website www.medimark.nl.
14.2 Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft de betrokkene de mogelijkheid te handelen in het kader van het Nederlandse recht.
ARTIKEL 15 – RECHT OP VERNIETIGING VAN OPGENOMEN PERSOONSGEGEVENS
15.1 De betrokkene kan schriftelijk verzoeken om vernietiging van op hem betrekking hebbende gegevens. Indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien er een wettelijke plicht tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.
15.2 De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot verwijdering of vernietiging schriftelijk of en in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
15.3 De verantwoordelijke verwijdert of vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
ARTIKEL 16 – RECHT VAN VERZET TEGEN DE VERWERKING VAN PERSOONSGEGEVENS
16.1 Indien gegevens het voorwerp zijn van verwerking op grond van artikel 4.4, kan de betrokkene daartegen bij de verantwoordelijke verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden, indien er sprake is van een gerechtvaardigd belang.
16.2 De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij terstond de verwerking.
16.3 De verantwoordelijke kan voor het in behandeling nemen van een verzet een kostenvergoeding vragen (Besluit kostenvergoeding rechten betrokkenen WBP, Staatsblad 2001 305). De vergoeding wordt teruggegeven in het geval het verzet gegrond wordt bevonden.
ARTIKEL 17 – KENNISGEVING VAN VERWERKING VAN PERSOONSGEGEVENS
17.1 De verantwoordelijke maakt het volgende bekend aan de betrokkenen:
het bestaan van het bestand bevattende persoonsgegevens;
het doel van de verwerking van persoonsgegevens;
het bestaan van dit reglement voor het beheer en verwerking van persoonsgegevens;
de wijze waarop van de inhoud van dit reglement kennis kan worden genomen.
ARTIKEL 18 – BEVEILIGING VAN GEGEVENS
Medimark medische keuringen heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de verwerking van persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de gebruikers bekende autorisatiecodes en/of wachtwoorden.
Digitale gegevens
Elektronische persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast.
Papieren gegevens
Daar waar er sprake is van persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten.
Spreekkamers
Medimark hanteert bij het aanvaarden van een nieuwe opdracht in het kader van medische keuringen voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze: de ruimte kan vanaf de gang niet ingezien worden en de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
Ons kantoor kan niet vrij betreden worden. Toegangscontrole is aanwezig. Daarnaast hebben wij diverse maatregelen getroffen tegen inbraak en brand.
ARTIKEL 19 – HUISVESTING
19.1 Medimark hanteert bij het aanvaarden van een nieuwe opdracht in het kader van medische keuringen voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze:
de ruimte kan vanaf de gang niet ingezien worden;
de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
ARTIKEL 20 – INTERNE INSTRUCTIES MEDEWERKERS MEDIMARK MEDISCHE KEURINGEN
20.1 Medewerkers van Medimark medische keuringen mogen alleen gerichte informatie en advies aan de werkgever geven over:
groepsverslagen medische keuringen;
geschikt of ongeschikt bij een beroepskeuring.
20.2 Andere relevante (“medische”) gegevens mogen alleen worden verstrekt als de werknemer de bedrijfsarts daartoe expliciet heeft gemachtigd.
20.3 Alle medewerkers van Medimark medische keuringen tekenen bij indiensttreding een geheimhoudingsbeding, waarin zij aangeven dat gegevens van cliënten en opdrachtgevers vertrouwelijk worden behandeld.
20.4 Binnen Medimark medische keuringen werken (bedrijfsartsen) nauw samen met het medisch secretariaat in taakdelegatie. Wat betreft geheimhouding werken zij onder “gedelegeerde taken”.
ARTIKEL 21 – DATALEKKEN
Indien Medimark medische keuringen geconfronteerd wordt met (het vermoeden) van een datalek, dan volgen wij de volgende procedure:
Elk vermoeden van een beveiligingsincident of een datalek wordt direct gemeld bij de Functionaris gegevensbescherming.
De Functionaris gegevensbescherming bepaalt in samenspraak met de Medisch adviseur of er sprake is van een datalek of een beveiligingsincident.
Indien er sprake is van een datalek bespreken zij wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen.
De Functionaris gegevensbescherming licht, in geval van een ernstig datalek, de betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens.
De Functionaris gegevensbescherming neemt het initiatief om een analyse te maken, om een zelfde soort datalek in de toekomst te voorkomen.
ARTIKEL 22 – INWERKINGTREDING EN LOOPTIJD
22.1 Behoudens wettelijke bepalingen is dit reglement van kracht zolang artikel 3 van toepassing is, met inachtneming van artikel 16.
22.2 Dit reglement treedt in werking per 1 mei 2020.
22.3 Wijzigingen van dit reglement worden met vermelding van de datum aangebracht door de verantwoordelijke. De wijzigingen in dit reglement worden van kracht een maand na bekendmaking ervan.
=====================================================
BIJLAGEN
Bijlagen bij het privacyreglement ter bescherming van de persoonlijke levenssfeer.
BIJLAGE A – DOEL VAN DE PERSOONSGEGEVENS
Deze bijlage, ex artikel 3 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens bij Medimark B.V., gevestigd te Rotterdam.
Deze verwerking van persoonsgegevens heeft de volgende hoofddoelstelling:
Het verrichten van medische keuringen en producten en diensten die daarmee samenhangen. Het gaat om vrijwillige en verplichte medische keuringen, zoals algemene keuringen, arbokeuringen in samenwerking met een Arbo-dienst, sportkeuringen, verzekeringskeuringen, zeevaartkeuringen, onderzoek en rapportages over keuringen, adoptie- en naturalisatiekeuringen, met inachtneming van de vigerende wet- en regelgeving op het gebied van medische keuringen, zoals de Wet op de medische keuringen en KNMG-richtlijnen en -protocollen.
Tijdens een keuring mogen alleen die gegevens worden verzameld die strikt noodzakelijk zijn voor het doel van de keuring. Het verzamelen van meer of andere gegevens vormt een inbreuk op de privacy van de keurling.
Doel en doelbinding
Het vooraf vastgelegd doel kan als volgt worden verwoord. Medimark dient kennis te nemen van de persoonsgegevens van de keurling en deze dient zich als zodanig te kunnen legitimeren met een geldig persoonsbewijs en verwerkt deze vervolgens. Een en ander strikt volgens de hiervoor toegelichte richtlijn EU-AVG.
Het medisch beroepsgeheim is van toepassing en derhalve uitdrukkelijke privacywaarborg van de keurling, alsmede dat wordt voldaan aan de vereiste bewaarplicht.
Grondslag
De verwerking van persoonsgegevens van een keurling vindt plaats op basis van een gerechtvaardigd belang.
Dataminimalisatie
De persoonsgegevens die verwerkt worden, zijn redelijkerwijs noodzakelijk om het doel te bereiken, met andere woorden het verantwoord verwerken van persoonsgegevens. Omdat het hier ook medische informatie zal inhouden, kan het doel niet met minder gegevens behaald worden.
Hierbij worden ook de bewaar- en vernietigingstermijnen vastgelegd (procedure opstellen voor verwijderen van gegevens).
Transparantie
Het gaat hier om de vastlegging van de transparantie en privacyrechten van de betrokkene, waarbij betrokkene het recht heeft te worden geïnformeerd over de wijze van zijn of haar gegevensverwerking.
BIJLAGE B – VERWERKING VAN PERSOONSGEGEVENS
Deze bijlage, ex artikel 4 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V. te Rotterdam. Deze bijlage betreft de verwerking van persoonsgegevens genaamd Medibase en de internetagenda.
De werking van de registratie is als volgt:
Verantwoordelijke
Verantwoordelijke voor de persoonsgegevens is de directeur van Medimark B.V.
Bewerker
Stein laboratorium. Het laboratorium verwerkt bloedmonsters van cliënten van Medimark.
Verwerkers
Verwerkers zijn werknemers van Medimark B.V. die betrokken zijn bij de taakuitoefening in het kader van medische keuringen. Toegang wordt verleend op basis van de toegangsregels vermeld in bijlage D.
Verwerking van persoonsgegevens
De verwerking van persoonsgegevens is deels geautomatiseerd en deels niet-geautomatiseerd. Van de persoonsgegevens wordt gebruik gemaakt door de hiervoor vermelde verwerkers, die ieder voor zich verantwoordelijk zijn voor een juiste vastlegging en raadpleging, alsmede voor het bewaren van kopieën van de keuringstukken. Medimark B.V. heeft als zodanig geen toegang tot de persoonsgegevens, tenzij dit noodzakelijk is in het kader van zijn eindverantwoordelijkheid als verantwoordelijke.
Zo is de beheerder verantwoordelijk voor de dagelijkse zorg voor de registratie, hetgeen onder meer betekent dat hij toeziet op de handhaving van beveiligingsprocedures, als contactpersoon optreedt voor de gebruikers, verzoeken van betrokkenen om inzage of afschrift coördineert en eventueel voor de eerste klachtenopvang zorgdraagt.
Verwerkingsregister
De Algemene Verordening Gegevensbescherming (AVG) verplicht het bijhouden van een verwerkingsregister. Het verwerkingsregister bevat informatie over de persoonsgegevens die worden verwerkt. Het verwerkingsregister is voor inzage beschikbaar.
Verwerkingsovereenkomst
Met alle relevante klanten en leveranciers zal een verwerkingsovereenkomst worden gesloten indien noodzakelijk. Zie artikel 4.3 van dit document.
Beveiliging van de persoonsgegevens
De volgende maatregelen zijn genomen ter beveiliging van de persoonsgegevens:
Geautoriseerde toegang tot het pand door middel van sleutel en alarmcode.
Geautoriseerde toegang tot de persoonsgegevens ten behoeve van de medewerkers van Medimark B.V.
Opslag van de persoonsgegevens in afgesloten kasten en bureaus. Hiervoor geldt het document sleutelbeheer.
Al onze systemen draaiden op XP. Het besturingssysteem is veilig.
De keuringsartsen werken op laptops, die allemaal beveiligd zijn met een sleutel. Zonder deze sleutel kan het systeem niet worden opgestart. Beveiligingssoftware is geïnstalleerd. Tevens vindt er een directe back-up plaats.
Categorieën van personen of instanties waaraan gegevens uit de verwerking van persoonsgegevens worden verstrekt
Aan de volgende categorieën van personen of instanties worden de volgende soorten gegevens verstrekt:
Verzekeringsmaatschappij
Keuringstukken met familieanamnese en medische gegevens en bloeduitslagen van de betrokkene.
Werkgever
Aanstellingskeuringen, waarvan alleen de uitslag van de keuring wordt doorgegeven. Medische gegevens blijven bij Medimark.
Medibus-keuringen, waarvan alleen de uitslag van de keuring wordt doorgegeven aan de werkgever als de werknemer daarvoor schriftelijk toestemming heeft gegeven.
Goedkeuringscertificaten van asbestkeuringen, bodemsaneringskeuringen, persluchtkeuringen e.d. Dit betreft alleen een goedkeuringscertificaat. Medische gegevens worden niet verstrekt.
Groepsverslagen van PAGO’s (Periodiek Arbeidsgezondheidskundig Onderzoek) bij een deelname van minimaal 20 personen in verband met de anonimiteit.
Centraal Bureau voor Rijvaardigheidsbewijzen
Uitslag rijbewijskeuring inclusief oog- en gehoortest en urineonderzoek.
Expertise-artsen
Gegevens van betrokkenen met betrekking tot de uit te voeren expertise. Gegevens gaan vervolgens naar de verzekeringsmaatschappij.
Laboratorium
Bloed ter verwerking en verzameling van bloeduitslagen die nodig zijn voor het keuringsrapport.
Particulieren
Uitslagen van PAGO’s, particuliere medische onderzoeken zoals PMO’s, sportkeuringen, taxipassen, chauffeurspassen en zeevaartkeuringen, adoptie- en naturalisatiekeuringen, asbest-, perslucht- en bodemsaneringskeuringen.
BIJLAGE C – OPGENOMEN GEGEVENS IN DE VERWERKING VAN PERSOONSGEGEVENS
Deze bijlage, ex artikel 5 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V., gevestigd te Rotterdam. Deze bijlage betreft de verwerking van persoonsgegevens genaamd Medibase.
De gegevens die in de verwerking van persoonsgegevens kunnen zijn opgenomen, betreffen:
naam, adres, postcode, woonplaats, geboortedatum en -plaats, telefoonnummer;
geslacht, burgerlijke staat, geboorteland, nationaliteit;
functie;
keuringsuitslagen en -gegevens;
anamnesegegevens;
bloeduitslagen;
urine-uitslagen;
gegevens over ECG, longfunctie, audiogram, etc.;
therapie-, behandel- en medicatiegegevens;
gegevens over arbeidsomstandigheden, PMO.
BIJLAGE D – TOEGANG TOT PERSOONSGEGEVENS
Zie hiervoor hoofdstuk 8 van het privacybeleid.
BIJLAGE E – BEWAARTERMIJNEN
Deze bijlage, ex artikel 12 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V., gevestigd te Rotterdam. Deze bijlage betreft de persoonsgegevens genaamd Medibase.
Bewaartermijnen (algemeen)
De verantwoordelijke voor persoonsgegevens conformeert zich aan de algemene richtlijnen voor het bewaren en vernietigen van medische gegevens van de Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG), welke richtlijnen door de verantwoordelijke of betrokkene kunnen worden opgevraagd.
De in artikel 12 bedoelde bewaartermijnen zijn de volgende:
Personalia/identificatiegegevens
Deze worden gedurende een periode van 10 jaar na vastlegging bewaard of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.
Financieel/administratieve gegevens
Deze worden na een periode van 10 jaar na vastlegging binnen in beginsel één jaar uit het systeem verwijderd.
Medische en psychologische gegevens
Deze worden voor een periode van 20 jaar na vastlegging bewaard.
Bij blootstelling aan carcinogene stoffen of biologische agentia is de bewaartermijn 40 jaar; bij het werken met ioniserende straling 30 jaar.
Kopie documenten verzekeringskeuringen
Deze worden na een periode van 1 jaar verwijderd en vernietigd.
PRIVACYREGLEMENT
Medimark medische keuringen
Versie 1.2 – 2025
Rechtsgeldig bevoegd functionaris: David de Vos
Functionaris gegevensbescherming: Sandra van Ooijen (FG003203)
Handelsnaam: Medimark medische keuringen
Adres: Max Euwelaan 51, 3062 MA Rotterdam
Classificatie document: Standaard
ARTIKEL 1 – BEGRIPSBEPALINGEN
Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de AVG daaraan toekent. De Functionaris gegevensbescherming van Medimark heeft zich gemeld bij de Autoriteit Persoonsgegevens en staat geregistreerd onder FG003203.
Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Gezondheidsgegevens: Bijzondere persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen.
Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verstrekken van persoonsgegevens: Het bekendmaken of ter beschikking stellen van persoonsgegevens.
Verzamelen van persoonsgegevens: Het verkrijgen van persoonsgegevens.
Verantwoordelijke: De natuurlijke persoon, rechtspersoon of ieder ander die alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Gebruiker: Enig persoon die, onder gezag van de verantwoordelijke, gemachtigd is persoonsgegevens te verwerken.
Beheerder: Degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft.
Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Derde: Ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker of de bewerker.
Ontvanger: Degene aan wie persoonsgegevens worden verstrekt.
Uitdrukkelijke toestemming: Elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee deze aanvaardt dat op hem/haar betrekking hebbende persoonsgegevens worden verwerkt. Nu werknemers ten opzichte van werkgevers afhankelijk zijn, gelden zware eisen aan het toestemmingsvereiste.
AP: Autoriteit Persoonsgegevens.
Medewerker: Degene die onder de verantwoordelijke is belast met de verwerking van persoonsgegevens. Een onderscheid wordt gemaakt tussen Medewerker A, die in de uitoefening van zijn/haar taken geen medische gegevens verwerkt, en Medewerker B, die in de uitoefening van zijn/haar taken wel medische gegevens verwerkt.
ARTIKEL 2 – REIKWIJDTE, BEHEER EN BEWERKING
2.1. Dit reglement is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens door/namens de verantwoordelijke. De verantwoordelijke in de zin van dit reglement is Medimark medische keuringen te Rotterdam.
2.2. Medimark medische keuringen garandeert dat zij alle toepasselijke privacywet- en regelgeving naleeft, waaronder begrepen de Wet Bescherming Persoonsgegevens, de Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG), de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO; voor zover van toepassing), de Wet op de medische keuringen en de toepasselijke gedragscodes en richtlijnen.
2.3 Dit reglement stelt regels voor de persoonsregistratie van Medimark medische keuringen. De directie is houder van de registratie en beheert deze in overeenstemming met dit reglement.
2.4 De directie van Medimark medische keuringen ziet toe op de goede werking van de registratie overeenkomstig dit reglement en in het vorige lid genoemde afspraken en is verantwoordelijk voor het goed functioneren van de persoonsregistratie.
2.5 De directie heeft ten aanzien van de registratie niet meer bevoegdheden dan die welke haar in dit reglement worden toegekend. Haar zeggenschap over de werking van de persoonsregistratie en de verstrekking van gegevens uit die registratie wordt beperkt door dit reglement.
2.6 De directie is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
2.7 Periodiek wordt een interne audit uitgevoerd met als hoofddoel het nagaan of alle medewerkers binnen Medimark medische keuringen zich houden aan de privacyafspraken en het privacyreglement.
ARTIKEL 3 – DOEL VAN DE GEGEVENSVERWERKING
3.1 De doelstellingen van het verzamelen van de persoonsgegevens, waarop dit reglement van toepassing is, zijn bepaald in bijlage A. Deze bijlage vormt één geheel met dit reglement.
3.2 De verantwoordelijke zal niet meer persoonsgegevens opnemen dan voor het doel noodzakelijk is en zal geen persoonsgegevens opnemen of bewaren voor andere doeleinden dan in bijlage A genoemd.
ARTIKEL 4 – VERWERKEN VAN PERSOONSGEGEVENS
4.1 De verwerking van de persoonsgegevens, waarop dit reglement van toepassing is, is omschreven in bijlage B. Deze bijlage vormt één geheel met dit reglement.
4.2 In de sub 4.1 bedoelde omschrijving wordt ten minste genoemd:
a. de naam, vestigingsplaats en het karakter van de organisatie ten behoeve waarvan de verwerking functioneert;
b. de verantwoordelijke en wie namens de verantwoordelijke optreedt;
c. de beheerder(s);
d. de eventuele bewerker;
e. de verwerking van de persoonsgegevens;
f. of de verwerking voor bepaalde dan wel onbepaalde tijd is ingesteld; indien er sprake is van een beperkte looptijd geeft de houder aan wat er na afloop met de gegevens gebeurt.
4.3 Medimark B.V. is verantwoordelijk voor het goed functioneren van de verwerking van de persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming. Haar handelen met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van persoonsgegevens wordt beperkt door dit reglement. Medimark B.V. is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement.
Medimark gaat uiterst zorgvuldig om met de onder haar verkregen persoonsgegevens van een keurling en houdt zich strikt aan het medisch beroepsgeheim.
Medimark voldoet vervolgens aan artikel 9, 2e lid, letter h van de EU-AVG “Verwerking van bijzondere categorieën van persoonsgegevens”. Op grond daarvan valt Medimark onder de algemene uitzonderingsgronden op het verwerkingsverbod. Onder de verwerking ressorteren persoonsgegevens evenals medische informatie welke noodzakelijk is voor doeleinden van preventieve- of arbeidsgeneeskunde, voor de beoordeling van arbeidsgeschiktheid van de betrokken werknemer/keurling, medische diagnosen (…).
Naast de AVG en de Uitvoeringswet zijn ook de privacyregels van toepassing zoals vastgelegd in de Wet medische keuringen.
4.4 Medimark B.V. verplicht de bewerker dit reglement na te leven. De taken, rechten en verplichtingen van de bewerker worden door Medimark B.V. schriftelijk vastgelegd. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en van de persoonsgegevens zelf. De ter zake getroffen regeling(en) is/zijn bij de bewerker in te zien.
Medimark waarborgt dat haar werknemers contractueel verplicht zijn tot geheimhouding van de persoonsgegevens waarvan zij met betrekking tot de uitvoering van haar werkzaamheden kennis kunnen nemen. De geheimhoudingsplicht kan alleen worden doorbroken wanneer een wettelijk voorschrift verplicht om de persoonsgegevens te verstrekken.
4.5 Medimark B.V. treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft.
ARTIKEL 5 – OPGENOMEN GEGEVENS
5.1 De persoonsgegevens kunnen de volgende gegevenscategorieën bevatten:
personalia/identificatiegegevens;
financieel/administratieve gegevens;
medische en psychologische gegevens.
Deze categorieën van gegevens en hun herkomst worden nader gespecificeerd in bijlage C van het reglement. Deze bijlage vormt één geheel met dit reglement.
ARTIKEL 6 – VERTEGENWOORDIGING
6.1 Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien jaar valt en niet in staat is tot een redelijke waardering van zijn belangen, treden naast de persoon zelf diens ouders op.
6.2 Hetzelfde geldt voor de betrokkene die de leeftijd van achttien jaar nog niet heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
6.3 Indien de betrokkene de leeftijd van achttien jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, niet onder curatele staat of ten behoeve van hem niet het mentorschap is ingesteld, dan treedt degene in de plaats van de geregistreerde die door hem daartoe op een eerder moment schriftelijk is gemachtigd.
Ontbreekt zodanige persoon, of treedt deze niet op, dan treedt in plaats van de betrokkene diens echtgenoot of andere levensgezel, tenzij deze persoon dat niet wenst, dan wel, indien ook zodanige persoon ontbreekt, diens ouder, kind, broer of zus, tenzij deze persoon dat niet wenst.
6.4 Indien de betrokkene de leeftijd van achttien jaar heeft bereikt en in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen in diens plaats te treden.
6.5 De persoon die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
6.6 Medimark B.V. komt haar verplichtingen die voortvloeien uit wet en reglement na jegens de vertegenwoordiger van de betrokkene, tenzij die nakoming niet verenigbaar is met de zorg van een goed houder.
ARTIKEL 7 – KENNISGEVING
7.1 Medimark B.V. zal door middel van een algemene kennisgeving het bestaan van de verwerking van persoonsgegevens en van dit reglement vermelden, alsmede daarin aangeven op welke wijze het reglement kan worden ingezien en verkregen en nadere informatie ter zake kan worden ingewonnen.
7.2 Indien andere doelen dan zorgverlening en zorgondersteuning een doelstelling vormen van de persoonsgegevens, heeft de verantwoordelijke de plicht de betrokkene vooraf gericht te informeren omtrent de aard van de gegevens die over zijn persoon in de verwerking worden opgenomen, alsmede omtrent de doeleinden die daarmee worden nagestreefd, een en ander met inachtneming van het in artikel 3 bepaalde.
ARTIKEL 8 – VERSTREKKING VAN GEGEVENS
8.1 Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als genoemd in de leden 3 en 4, is voor verstrekking van persoonsgegevens aan derden de gerichte toestemming van de betrokkene vereist. Indien verstrekking buiten de doelstelling van de verwerking van persoonsgegevens valt, dient de toestemming schriftelijk verleend te worden.
8.2 Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet tot de individuele persoon herleidbaar zijn, kan Medimark B.V. beslissen deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie.
8.3 Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid worden verstrekt, indien aan ten minste één van de volgende voorwaarden is voldaan:
a. het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.
Voorts is dit slechts mogelijk indien:
het onderzoek een algemeen belang dient;
het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt; en
het onderzoek wordt verricht conform de gedragscode gezondheidsonderzoek van de Raad voor Gezondheidsonderzoek en de Stichting Federatie van Medisch Wetenschappelijke Verenigingen.
Bij een verstrekking in overeenstemming met dit lid wordt daarvan aantekening gehouden in het dossier.
8.4 Van alle gegevensverstrekkingen aan derden, anders dan op grond van lid 3 en 4, wordt door Medimark B.V. een register bijgehouden. De in dit register vermelde gegevens worden gedurende twee kalenderjaren bewaard, tenzij zij in het kader van een procedure langer bewaard moeten blijven. Medimark B.V. deelt de betrokkene op diens verzoek schriftelijk binnen vier weken mee of zijn/haar persoonsgegevens in het jaar voorafgaand aan het verzoek uit de persoonsregistraties aan derden zijn verstrekt.
ARTIKEL 9 – TOEGANG TOT PERSOONSGEGEVENS
9.1 Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot persoonsgegevens de beheerder en bewerker, voor zover dit in het kader van beheer en bewerking noodzakelijk is. Deze en andere door elk van genoemde personen aangewezen (mede)gebruikers van de persoonsgegevens, binnen Medimark B.V. werkzaam, zijn in beginsel bij functie genoemd in bijlage D, welke een geheel met dit reglement vormt en in het bezit is van Medimark B.V. Bij de in deze bijlage genoemde functies wordt aangegeven tot welke persoonsgegevens zij toegang hebben.
9.2 Medimark B.V. heeft als zodanig geen toegang tot de persoonsgegevens, tenzij dit noodzakelijk is in verband met haar algemene verantwoordelijkheid als verantwoordelijke.
ARTIKEL 10 – INZAGE EN AFSCHRIFT VAN OPGENOMEN PERSOONSGEGEVENS
10.1 De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende persoonsgegevens.
10.2 Artikel 10.1 geldt niet voor persoonsgegevens die Medimark verzamelt van een betrokkene die zich laat keuren voor een verzekeringsmaatschappij. Medimark is in dat geval niet de beheerder van de gegevens, maar stuurt ze onmiddellijk door naar de medisch adviseur van de verzekeringsmaatschappij, en als zodanig is de medisch adviseur de beheerder van de gegevens. De betrokkene moet zich in het geval van inzage en afschrift wenden tot de medisch adviseur van de verzekeringsmaatschappij.
10.3 De bij Medimark gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden.
10.4 Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, Medimark B.V. daaronder begrepen.
10.5 Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
ARTIKEL 11 – AANVULLING EN CORRECTIE VAN OPGENOMEN PERSOONSGEGEVENS
11.1 Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
11.2 De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens, indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift in de verwerking voorkomen.
11.3 De betrokkene kan verzoeken om vernietiging van tot zijn persoon herleidbare gegevens.
11.4 Medimark B.V. deelt haar beslissing binnen acht weken na ontvangst van het verzoek tot correctie of vernietiging schriftelijk aan de betrokkene mee. Een weigering is met redenen omkleed.
11.5 Medimark B.V. draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
ARTIKEL 12 – BEWAARTERMIJNEN
12.1 Gegevens die zijn verzameld voor een medische keuring moeten bewaard worden zolang dat noodzakelijk is voor het doel van de keuring. Dit is in beginsel 20 jaar. Zie hiervoor het verwerkingsregister.
12.2 Kopieën van documenten ten behoeve van medische keuringen voor verzekeringsmaatschappijen worden door Medimark B.V. 1 jaar bewaard. Dit is om de verzekeringsmaatschappij van dienst te kunnen zijn bij eventueel zoekraken van de gegevens. Medimark is geen beheerder van deze persoonsgegevens. Zie hiervoor artikel 10.2.
12.3 Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens verwijderd en vernietigd, zulks binnen een termijn van één jaar. Vernietiging blijft evenwel achterwege wanneer dat op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
ARTIKEL 13 – OVERDRACHT VAN OPGENOMEN PERSOONSGEGEVENS
13.1 De betrokkene heeft het recht de op haar/hem betrekking hebbende gegevens te doen overdragen aan een andere, door haar/hem aan te wijzen houder.
ARTIKEL 14 – KLACHTEN
14.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dient hij/zij zich te wenden tot Medimark B.V. Ingediende klachten worden door de verantwoordelijke afgehandeld volgens het klachtenreglement van Guyra Arbodienst en Medimark. Zie hiervoor onze website www.medimark.nl.
14.2 Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft de betrokkene de mogelijkheid te handelen in het kader van het Nederlandse recht.
ARTIKEL 15 – RECHT OP VERNIETIGING VAN OPGENOMEN PERSOONSGEGEVENS
15.1 De betrokkene kan schriftelijk verzoeken om vernietiging van op hem betrekking hebbende gegevens. Indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien er een wettelijke plicht tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.
15.2 De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot verwijdering of vernietiging schriftelijk of en in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
15.3 De verantwoordelijke verwijdert of vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
ARTIKEL 16 – RECHT VAN VERZET TEGEN DE VERWERKING VAN PERSOONSGEGEVENS
16.1 Indien gegevens het voorwerp zijn van verwerking op grond van artikel 4.4, kan de betrokkene daartegen bij de verantwoordelijke verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden, indien er sprake is van een gerechtvaardigd belang.
16.2 De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij terstond de verwerking.
16.3 De verantwoordelijke kan voor het in behandeling nemen van een verzet een kostenvergoeding vragen (Besluit kostenvergoeding rechten betrokkenen WBP, Staatsblad 2001 305). De vergoeding wordt teruggegeven in het geval het verzet gegrond wordt bevonden.
ARTIKEL 17 – KENNISGEVING VAN VERWERKING VAN PERSOONSGEGEVENS
17.1 De verantwoordelijke maakt het volgende bekend aan de betrokkenen:
het bestaan van het bestand bevattende persoonsgegevens;
het doel van de verwerking van persoonsgegevens;
het bestaan van dit reglement voor het beheer en verwerking van persoonsgegevens;
de wijze waarop van de inhoud van dit reglement kennis kan worden genomen.
ARTIKEL 18 – BEVEILIGING VAN GEGEVENS
Medimark medische keuringen heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de verwerking van persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de gebruikers bekende autorisatiecodes en/of wachtwoorden.
Digitale gegevens
Elektronische persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast.
Papieren gegevens
Daar waar er sprake is van persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten.
Spreekkamers
Medimark hanteert bij het aanvaarden van een nieuwe opdracht in het kader van medische keuringen voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze: de ruimte kan vanaf de gang niet ingezien worden en de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
Ons kantoor kan niet vrij betreden worden. Toegangscontrole is aanwezig. Daarnaast hebben wij diverse maatregelen getroffen tegen inbraak en brand.
ARTIKEL 19 – HUISVESTING
19.1 Medimark hanteert bij het aanvaarden van een nieuwe opdracht in het kader van medische keuringen voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze:
de ruimte kan vanaf de gang niet ingezien worden;
de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
ARTIKEL 20 – INTERNE INSTRUCTIES MEDEWERKERS MEDIMARK MEDISCHE KEURINGEN
20.1 Medewerkers van Medimark medische keuringen mogen alleen gerichte informatie en advies aan de werkgever geven over:
groepsverslagen medische keuringen;
geschikt of ongeschikt bij een beroepskeuring.
20.2 Andere relevante (“medische”) gegevens mogen alleen worden verstrekt als de werknemer de bedrijfsarts daartoe expliciet heeft gemachtigd.
20.3 Alle medewerkers van Medimark medische keuringen tekenen bij indiensttreding een geheimhoudingsbeding, waarin zij aangeven dat gegevens van cliënten en opdrachtgevers vertrouwelijk worden behandeld.
20.4 Binnen Medimark medische keuringen werken (bedrijfsartsen) nauw samen met het medisch secretariaat in taakdelegatie. Wat betreft geheimhouding werken zij onder “gedelegeerde taken”.
ARTIKEL 21 – DATALEKKEN
Indien Medimark medische keuringen geconfronteerd wordt met (het vermoeden) van een datalek, dan volgen wij de volgende procedure:
Elk vermoeden van een beveiligingsincident of een datalek wordt direct gemeld bij de Functionaris gegevensbescherming.
De Functionaris gegevensbescherming bepaalt in samenspraak met de Medisch adviseur of er sprake is van een datalek of een beveiligingsincident.
Indien er sprake is van een datalek bespreken zij wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen.
De Functionaris gegevensbescherming licht, in geval van een ernstig datalek, de betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens.
De Functionaris gegevensbescherming neemt het initiatief om een analyse te maken, om een zelfde soort datalek in de toekomst te voorkomen.
ARTIKEL 22 – INWERKINGTREDING EN LOOPTIJD
22.1 Behoudens wettelijke bepalingen is dit reglement van kracht zolang artikel 3 van toepassing is, met inachtneming van artikel 16.
22.2 Dit reglement treedt in werking per 1 mei 2020.
22.3 Wijzigingen van dit reglement worden met vermelding van de datum aangebracht door de verantwoordelijke. De wijzigingen in dit reglement worden van kracht een maand na bekendmaking ervan.
=====================================================
BIJLAGEN
Bijlagen bij het privacyreglement ter bescherming van de persoonlijke levenssfeer.
BIJLAGE A – DOEL VAN DE PERSOONSGEGEVENS
Deze bijlage, ex artikel 3 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens bij Medimark B.V., gevestigd te Rotterdam.
Deze verwerking van persoonsgegevens heeft de volgende hoofddoelstelling:
Het verrichten van medische keuringen en producten en diensten die daarmee samenhangen. Het gaat om vrijwillige en verplichte medische keuringen, zoals algemene keuringen, arbokeuringen in samenwerking met een Arbo-dienst, sportkeuringen, verzekeringskeuringen, zeevaartkeuringen, onderzoek en rapportages over keuringen, adoptie- en naturalisatiekeuringen, met inachtneming van de vigerende wet- en regelgeving op het gebied van medische keuringen, zoals de Wet op de medische keuringen en KNMG-richtlijnen en -protocollen.
Tijdens een keuring mogen alleen die gegevens worden verzameld die strikt noodzakelijk zijn voor het doel van de keuring. Het verzamelen van meer of andere gegevens vormt een inbreuk op de privacy van de keurling.
Doel en doelbinding
Het vooraf vastgelegd doel kan als volgt worden verwoord. Medimark dient kennis te nemen van de persoonsgegevens van de keurling en deze dient zich als zodanig te kunnen legitimeren met een geldig persoonsbewijs en verwerkt deze vervolgens. Een en ander strikt volgens de hiervoor toegelichte richtlijn EU-AVG.
Het medisch beroepsgeheim is van toepassing en derhalve uitdrukkelijke privacywaarborg van de keurling, alsmede dat wordt voldaan aan de vereiste bewaarplicht.
Grondslag
De verwerking van persoonsgegevens van een keurling vindt plaats op basis van een gerechtvaardigd belang.
Dataminimalisatie
De persoonsgegevens die verwerkt worden, zijn redelijkerwijs noodzakelijk om het doel te bereiken, met andere woorden het verantwoord verwerken van persoonsgegevens. Omdat het hier ook medische informatie zal inhouden, kan het doel niet met minder gegevens behaald worden.
Hierbij worden ook de bewaar- en vernietigingstermijnen vastgelegd (procedure opstellen voor verwijderen van gegevens).
Transparantie
Het gaat hier om de vastlegging van de transparantie en privacyrechten van de betrokkene, waarbij betrokkene het recht heeft te worden geïnformeerd over de wijze van zijn of haar gegevensverwerking.
BIJLAGE B – VERWERKING VAN PERSOONSGEGEVENS
Deze bijlage, ex artikel 4 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V. te Rotterdam. Deze bijlage betreft de verwerking van persoonsgegevens genaamd Medibase en de internetagenda.
De werking van de registratie is als volgt:
Verantwoordelijke
Verantwoordelijke voor de persoonsgegevens is de directeur van Medimark B.V.
Bewerker
Stein laboratorium. Het laboratorium verwerkt bloedmonsters van cliënten van Medimark.
Verwerkers
Verwerkers zijn werknemers van Medimark B.V. die betrokken zijn bij de taakuitoefening in het kader van medische keuringen. Toegang wordt verleend op basis van de toegangsregels vermeld in bijlage D.
Verwerking van persoonsgegevens
De verwerking van persoonsgegevens is deels geautomatiseerd en deels niet-geautomatiseerd. Van de persoonsgegevens wordt gebruik gemaakt door de hiervoor vermelde verwerkers, die ieder voor zich verantwoordelijk zijn voor een juiste vastlegging en raadpleging, alsmede voor het bewaren van kopieën van de keuringstukken. Medimark B.V. heeft als zodanig geen toegang tot de persoonsgegevens, tenzij dit noodzakelijk is in het kader van zijn eindverantwoordelijkheid als verantwoordelijke.
Zo is de beheerder verantwoordelijk voor de dagelijkse zorg voor de registratie, hetgeen onder meer betekent dat hij toeziet op de handhaving van beveiligingsprocedures, als contactpersoon optreedt voor de gebruikers, verzoeken van betrokkenen om inzage of afschrift coördineert en eventueel voor de eerste klachtenopvang zorgdraagt.
Verwerkingsregister
De Algemene Verordening Gegevensbescherming (AVG) verplicht het bijhouden van een verwerkingsregister. Het verwerkingsregister bevat informatie over de persoonsgegevens die worden verwerkt. Het verwerkingsregister is voor inzage beschikbaar.
Verwerkingsovereenkomst
Met alle relevante klanten en leveranciers zal een verwerkingsovereenkomst worden gesloten indien noodzakelijk. Zie artikel 4.3 van dit document.
Beveiliging van de persoonsgegevens
De volgende maatregelen zijn genomen ter beveiliging van de persoonsgegevens:
Geautoriseerde toegang tot het pand door middel van sleutel en alarmcode.
Geautoriseerde toegang tot de persoonsgegevens ten behoeve van de medewerkers van Medimark B.V.
Opslag van de persoonsgegevens in afgesloten kasten en bureaus. Hiervoor geldt het document sleutelbeheer.
Al onze systemen draaiden op XP. Het besturingssysteem is veilig.
De keuringsartsen werken op laptops, die allemaal beveiligd zijn met een sleutel. Zonder deze sleutel kan het systeem niet worden opgestart. Beveiligingssoftware is geïnstalleerd. Tevens vindt er een directe back-up plaats.
Categorieën van personen of instanties waaraan gegevens uit de verwerking van persoonsgegevens worden verstrekt
Aan de volgende categorieën van personen of instanties worden de volgende soorten gegevens verstrekt:
Verzekeringsmaatschappij
Keuringstukken met familieanamnese en medische gegevens en bloeduitslagen van de betrokkene.
Werkgever
Aanstellingskeuringen, waarvan alleen de uitslag van de keuring wordt doorgegeven. Medische gegevens blijven bij Medimark.
Medibus-keuringen, waarvan alleen de uitslag van de keuring wordt doorgegeven aan de werkgever als de werknemer daarvoor schriftelijk toestemming heeft gegeven.
Goedkeuringscertificaten van asbestkeuringen, bodemsaneringskeuringen, persluchtkeuringen e.d. Dit betreft alleen een goedkeuringscertificaat. Medische gegevens worden niet verstrekt.
Groepsverslagen van PAGO’s (Periodiek Arbeidsgezondheidskundig Onderzoek) bij een deelname van minimaal 20 personen in verband met de anonimiteit.
Centraal Bureau voor Rijvaardigheidsbewijzen
Uitslag rijbewijskeuring inclusief oog- en gehoortest en urineonderzoek.
Expertise-artsen
Gegevens van betrokkenen met betrekking tot de uit te voeren expertise. Gegevens gaan vervolgens naar de verzekeringsmaatschappij.
Laboratorium
Bloed ter verwerking en verzameling van bloeduitslagen die nodig zijn voor het keuringsrapport.
Particulieren
Uitslagen van PAGO’s, particuliere medische onderzoeken zoals PMO’s, sportkeuringen, taxipassen, chauffeurspassen en zeevaartkeuringen, adoptie- en naturalisatiekeuringen, asbest-, perslucht- en bodemsaneringskeuringen.
BIJLAGE C – OPGENOMEN GEGEVENS IN DE VERWERKING VAN PERSOONSGEGEVENS
Deze bijlage, ex artikel 5 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V., gevestigd te Rotterdam. Deze bijlage betreft de verwerking van persoonsgegevens genaamd Medibase.
De gegevens die in de verwerking van persoonsgegevens kunnen zijn opgenomen, betreffen:
naam, adres, postcode, woonplaats, geboortedatum en -plaats, telefoonnummer;
geslacht, burgerlijke staat, geboorteland, nationaliteit;
functie;
keuringsuitslagen en -gegevens;
anamnesegegevens;
bloeduitslagen;
urine-uitslagen;
gegevens over ECG, longfunctie, audiogram, etc.;
therapie-, behandel- en medicatiegegevens;
gegevens over arbeidsomstandigheden, PMO.
BIJLAGE D – TOEGANG TOT PERSOONSGEGEVENS
Zie hiervoor hoofdstuk 8 van het privacybeleid.
BIJLAGE E – BEWAARTERMIJNEN
Deze bijlage, ex artikel 12 van het reglement, vormt één geheel met het privacyreglement voor de verwerking van persoonsgegevens in Medimark B.V., gevestigd te Rotterdam. Deze bijlage betreft de persoonsgegevens genaamd Medibase.
Bewaartermijnen (algemeen)
De verantwoordelijke voor persoonsgegevens conformeert zich aan de algemene richtlijnen voor het bewaren en vernietigen van medische gegevens van de Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG), welke richtlijnen door de verantwoordelijke of betrokkene kunnen worden opgevraagd.
De in artikel 12 bedoelde bewaartermijnen zijn de volgende:
Personalia/identificatiegegevens
Deze worden gedurende een periode van 10 jaar na vastlegging bewaard of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.
Financieel/administratieve gegevens
Deze worden na een periode van 10 jaar na vastlegging binnen in beginsel één jaar uit het systeem verwijderd.
Medische en psychologische gegevens
Deze worden voor een periode van 20 jaar na vastlegging bewaard.
Bij blootstelling aan carcinogene stoffen of biologische agentia is de bewaartermijn 40 jaar; bij het werken met ioniserende straling 30 jaar.
Kopie documenten verzekeringskeuringen
Deze worden na een periode van 1 jaar verwijderd en vernietigd.
Meer informatie?
Geen probleem. Stuur ons een mailtje of geef ons een belletje. Bij ons geen wachtrijen. Direct geholpen.
Meer informatie?
Geen probleem. Stuur ons een mailtje of geef ons een belletje. Bij ons geen wachtrijen. Direct geholpen.
Meer informatie?
Geen probleem. Stuur ons een mailtje of geef ons een belletje. Bij ons geen wachtrijen. Direct geholpen.