PRIVACY POLICY
FACETASTIC CLINIC hecht veel belang aan de privacy van persoonsgegevens van haar cliënteel, medewerkers en artsen. Zij wil dan ook op een veilige en confidentiële wijze omgaan met de persoonsgegevens die worden verzameld.
Deze privacy policy omschrijft welke persoonsgegevens worden verwerkt, op welke basis zij deze verwerkt, waarom deze worden verwerkt en wat de rechten van de betrokkenen zijn. Tot slot informeert zij welke beveiligingsmaatregelen worden genomen teneinde de persoonsgegevens van de medewerkers te beschermen.
1. Wat zijn persoonsgegevens en wat is een verwerking?
De General Data Protection Regulation (hierna: GDPR) definieert een persoonsgegeven als volgt:
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, rijksregisternummer, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”
Artikel 4.1 GDPR
De verwerking wordt als volgt gedefinieerd:
“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, raadplegen, …”
Artikel 4.2 GDPR
Indien deze privacy policy naar “persoonsgegevens” en de “verwerking” verwijst, wordt verwezen naar deze definities uit de Verordening.
2. Wie is de verantwoordelijke voor de verwerking van de Persoonsgegevens?
De verantwoordelijke voor de verwerking is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor deze verwerking van persoonsgegevens vaststelt namelijk:
FACETASTIC CLINIC
0771.857.506
Hopland 45A
2000 Antwerpen
tyra-johnson@live.nl
3. Wie zijn de Verwerkers van de Persoonsgegevens?
Een verwerker is een natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
FACETASTIC CLINIC doet beroep op verwerkers wanneer dit noodzakelijk is voor een goede bedrijfsvoering. Met oog op de beveiliging van de persoonsgegevens sluit FACETASTIC CLINIC een verwerkingsovereenkomst met al haar verwerkers.
4. Welke persoonsgegevens worden verwerkt?
FACETASTIC CLINIC verwerkt alle gegevens die uit de toepassing van wettelijke, reglementaire of conventionele bepalingen met betrekking tot tewerkstelling en het leveren van de diensten voortvloeien namelijk:
-
het statuut en de onderworpenheid op arbeidsrechtelijk, sociaal en fiscaal vlak;
-
de loonbestanddelen, de omvang, de uitbetaling en de evolutie ervan;
-
alle andere wettelijke, reglementaire en conventionele aspecten van personeelsadministratie (bv. in het kader van arbeidsongevallenverzekeringen, arbeidsgeneeskunde, medische controle op arbeidsongeschiktheid, door de werkgever toegekende extralegale verzekeringen, …);
-
het personeelsbeheer
-
Medische gegevens
Meer concreet zijn dit:
-
identificatiegegevens (naam, woonplaats, rijksregisternummer);
-
financiële gegevens (bankrekeningnummer, …);
-
persoonlijke kenmerken (leeftijd, geslacht, burgerlijke staat, arbeidsvergunning, …);
-
klantengegevens
-
lidmaatschap van een ziekenfonds (in ongevallendossiers, …);
-
administratief medische gegevens (arbeidsongeschiktheidspercentages, medische attesten, HR gerelateerde onderzoeken …);
-
medische fiches en persoonsgegevens over gezondheid zoals bepaald in overweging 35 GDPR;
-
camerabewaking
FACETASTIC CLINIC houdt tevens persoonsgegevens bij van sollicitanten in het kader van het sollicitatieproces.
Het gaat om volgende gegevens:
-
Identificatiegegevens (naam, woonplaats, rijksregisternummer)
-
CV’s
-
Motivatiebrieven
-
Referentiegegegevens vorige tewerkstelling
-
Diploma’s en/of getuigschriften
-
Evaluatiebrieven
5. Wat zijn de doeleinden voor de verwerking?
-
Uitvoering van overeenkomsten
-
Uitvoeringen (medische) behandelingen
6. Wat is de rechtsgrond voor de verwerking?
Alle verwerkingen van de persoonsgegevens zoals vermeld in artikel 4 worden verwerkt op basis van een rechtsgrond.
De persoonsgegevens van de medewerker worden verwerkt:
-
ofwel ter uitvoering van wettelijke verplichtingen: omwille van wetten, reglementen en onderrichtingen op regionaal, federaal en internationaal vlak inzake het arbeidsrecht, de sociale zekerheid, de fiscale wetgeving, met inbegrip van collectieve en individuele arbeidsovereenkomsten en het arbeidsreglement;
-
ofwel ter uitvoering van de arbeidsovereenkomst;
-
ofwel om tegemoet te komen aan het gerechtvaardigd belang van FACETASTIC CLINIC om een correcte personeelsadministratie te voeren;
-
ofwel op grond van de uitdrukkelijke toestemming.
Welke persoonsgegevens worden verwerkt? Op basis van welke grondslag?
| Categorie | Voorbeelden | Grondslag |
|---|---|---|
| Persoonsgegevens nodig om de loonadministratie correct te verrichten | Financiële gegevens, adresgegevens, loongegevens, ziektedagen, vakantiedagen | Wettelijke verplichting / Overeenkomst |
| Persoonsgegevens nodig om de arbeidsovereenkomst op te stellen | Identificatiegegevens, adresgegevens, rijksregisternummer | Overeenkomst |
| Persoonsgegevens nodig om op te nemen in het personeelsdossier | Evaluaties, beoordelingen, opleidingen, beroepsgegevens | Gerechtvaardigd belang |
| Persoonsgegevens die voortvloeien uit het arbeidsongevallendossier | Medische gegevens | Wettelijke verplichting |
| Persoonsgegevens nodig om de veiligheid van de medewerker/derden te waarborgen | Camerabeelden | Gerechtvaardigd belang |
| Persoonsgegevens nodig om een wervingsreserve te kunnen bijhouden | CV’s, motivatiebrieven, diploma’s | Toestemming |
| Medische persoonsgegevens | — | Toestemming |
7. Wie heeft toegang tot de persoonsgegevens?
Wat betreft niet-medische persoonsgegevens:
Enkel de leidinggevenden van FACETASTIC CLINIC en de verantwoordelijken van het personeelsbeheer en de loonadministratie (hierin begrepen het sociaal secretariaat) hebben toegang tot de verschillende persoonsgegevens van de medewerkers of personen met een ander statuut die werkzaam zijn bij FACETASTIC CLINIC.
Wat betreft medische persoonsgegevens:
Enkel de behandelende Zelfstandige Arts(en) hebben toegang tot medische persoonsgegevens.
8. Hoe lang worden de persoonsgegevens bewaard?
De persoonsgegevens worden bewaard en verwerkt voor een periode die wettelijk of noodzakelijk is in functie van de doeleinden.
De persoonsgegevens van medewerkers van FACETASTIC CLINIC zullen na een termijn van 7 jaar na uitdiensttreding uit de systemen worden verwijderd.
De persoonsgegevens van medewerkers van FACETASTIC CLINIC worden in ieder geval bijgehouden conform de specifieke wetgeving die FACETASTIC CLINIC verplichten de persoonsgegevens langer bij te houden.
9. Wat zijn de rechten van de medewerkers/betrokkenen?
1. Recht op toegang en inzage
De medewerker heeft het recht om kennis te nemen van zijn persoonsgegevens, alsook van het gebruik dat FACTASTIC CLINIC van zijn persoonsgegevens maken.
2. Recht op verbetering, verwijdering en beperking
De medewerkers heeft steeds het recht FACETASTIC CILINIC te verzoeken de persoonsgegevens te verbeteren of aan te vullen. De medewerker mag eveneens vragen om de verwerking van uw persoonsgegevens te beperken indien mogelijk.
De medewerker kan zich niet verzetten tegen het verwerken van persoonsgegevens die noodzakelijk zijn voor de loonadministratie en de uitvoering van de arbeidsovereenkomst.
3. Recht van verzet
De medewerker beschikt eveneens over een recht van verzet tegen de verwerking van zijn persoonsgegevens om ernstige en legitieme redenen maar rekening houdend met voorgaande opmerkingen met betrekking tot noodzakelijke en wettelijke gegevens.
4. Recht van gegevensoverdracht
De medewerker beschikt over het recht om uw persoonsgegevens die door ons verwerkt worden in gestructureerde, gangbare en machineleesbare vorm te verkrijgen en/of aan andere verantwoordelijken over te dragen.
5. Recht van intrekking van de toestemming
Voor zover de verwerking gebaseerd is op de voorafgaande toestemming van de medewerker, beschikt de medewerker over het recht om die toestemming in te trekken.
6. Automatische beslissingen en profiling
Dit recht is niet van toepassing binnen FACETASTIC CLINIC.
De verwerking van uw persoonsgegevens omvat geen profiling en de medewerkers zal door FACETASTIC CLINIC evenmin aan geautomatiseerde beslissingen worden onderworpen.
7. Uitoefening van de rechten
De medewerker kan zijn rechten uitoefenen door contact op te nemen met de verantwoordelijke voor gegevensbeheer die uw vraag zal onderzoeken.
10. Wie contacteren in geval van klachten?
Iedereen kan contact opnemen met de verantwoordelijke voor gegevensbeheer: tyra-johnson@live.nl
Indien de klacht met betrekking tot het onrechtmatig gebruik van persoonsgegevens niet correct behandeld wordt, heeft de medewerkers het recht een klacht in te dienen bij de Belgische Privacy commissie:
Gegevensbeschermingsautoriteit
Drukpersstraat 35
1000 Brussel
+32 (0)2 274 48 00
+32 (0)2 274 48 35
contact@apd-gba.be
11. Doorgifte aan derden
FACETASTIC CLINIC dient bepaalde persoonsgegevens verplicht door te geven:
-
Loon en werk informatie wordt enerzijds doorgegeven aan de bevoegde overheidsinstanties in het kader van de wettelijke verplichtingen, anderzijds aan het sociaal secretariaat voor een correcte afhandeling van de loonberekening.
-
In zeldzame gevallen kan het voorkomen dat FACETASTIC CLINIC de persoonsgegevens als gevolg van een gerechtelijk bevel of om te voldoen aan andere dwingende wet- of regelgeving moeten onthullen.
12. Veiligheid en vertrouwelijkheid
FACETASTIC CLINIC heeft veiligheidsmaatregelen ontwikkeld die aangepast zijn op technisch en organisatorisch vlak, om de vernietiging, het verlies, de vervalsing, de wijziging, de toegang door onbevoegden of de kennisgeving per vergissing aan derden van verzamelde persoonsgegevens te vermijden alsook elke andere niet toegestane verwerking van deze gegevens.
Technische maatregelen:
-
Gebruik van virusscans
-
Firewalls
-
Wachtwoorden die regelmatig worden aangepast
-
Toegangsbeveiliging tot gegevens
Organisatorische maatregelen:
-
Enkel welbepaalde personen hebben toegang
-
Procedure voor incidentenbeheer
-
Policy en opleiding
-
Vertrouwelijkheidsclausules
13. Welke procedure is er voorzien in het kader van een datalek?
Elke medewerker binnen de onderneming draagt de verantwoordelijkheid om onverwijld een datalek of vermoeden van datalek schriftelijk en mondeling te melden bij de verantwoordelijke van gegevensbeheer. Dit kan bijvoorbeeld de diefstal van een werklaptop zijn.
De verantwoordelijke voor gegevensbeheer draagt op zijn beurt de verplichting dit lek te onderzoeken, (preventief) te stoppen of in ieder geval de impact zo veel mogelijk te beperken, in samenwerking met de IT-afdeling. De verantwoordelijke zal op zijn beurt eveneens de leidinggevende op de hoogte brengen.
Indien de leidinggevende vaststelt dat er sprake is van een datalek met mogelijke risico’s voor het betrokken individu zal hij de gegevensbeschermingsautoriteit hiervan op de hoogte moeten brengen.
De mogelijke risico’s moeten case-by-case beoordeeld worden. De mogelijke risico’s zijn namelijk afhankelijk van veel factoren, zoals de inhoud van het datalek, de aard van de organisatie en meer.
Hiernaast zal de leidinggevende ook de medewerker waar de data betrekking op hebben op de hoogte brengen als er een hoog risico is voor de rechten en vrijheden van de medewerker.
De betrokkene zal niet geïnformeerd worden als:
-
De verantwoordelijke voor de verwerking technische en organisatorische maatregelen heeft genomen waardoor de persoonlijke data beschermd worden (zoals dataversleuteling);
-
De verantwoordelijke voor de verwerking maatregelen heeft genomen waardoor de kans op schadelijke gevolgen niet waarschijnlijk is;
-
Het disproportioneel veel moeite kost om ieder individu op de hoogte te stellen. In zo’n geval kan een publieke aankondiging ingezet worden.