Privacybeleid

Stichting Sectorinstituut Transport en Logistiek, Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Privacybeleid

Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met persoonsgegevens die worden verwerkt in het kader van het gebruik van Stichting Sectorinstituut Transport en Logistiek, Sectorinstituut Transport en Logistiek B.V. en Logistiek en STL Werk B.V. (hierna gezamenlijk te noemen: “het Sectorinstituut”).

Vertrouwelijkheid

STL behandelt de persoonsgegevens van werknemer (van werkgever) vertrouwelijk en bedingt van haar werknemers en derden die direct bij de behandeling zijn betrokken geheimhouding, tenzij op grond van een wettelijk voorschrift of uit de taak van de betreffende persoon een plicht tot mededeling voortvloeit.

Informatie-uitwisseling met degenen die direct bij de verzuimbegeleiding en re-integratie zijn betrokken

De bedrijfsartsen, POB-ers en medewerkers medische administratie werken samen. Dat doen zij onder verantwoordelijkheid van de betreffende bedrijfsarts en de medisch adviseur tevens bedrijfsarts van STL. Uitgangspunt voor de gegevensuitwisseling is de KNMG- richtlijn ‘Code gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie’. (december 2016)

De verantwoordelijken voor de verzuimbegeleiding en re-integratie wisselen onderling die persoonlijke informatie uit die noodzakelijk is voor het uitvoeren van de begeleiding en re-integratie van de arbeidsongeschikte werknemer. De bedrijfsarts schakelt indien nodig arbeidsdeskundigen en interventieadviseurs in. Bij langdurige afwezigheid vervangen de collega's elkaar.

Voor het inzetten van een interventie, in het kader van de verzuimbegeleiding, is uitdrukkelijk toestemming nodig van de betrokken werknemer. De werknemer is op de hoogte van het doel van de gegevensuitwisseling en om welke gegevens het gaat. Hiervoor is een door de werknemer getekende machtiging noodzakelijk. 

AVG

Verwerking van de persoonsgegevens gebeurt op een wijze, die in overeenstemming is met de eisen die in de Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG (UAVG) en de Telecommunicatiewet (TW) stellen.

Hoe gaan wij om met persoonsgegevens?

Het Sectorinstituut biedt veel verschillende diensten aan. Om die diensten goed op elkaar te laten aansluiten is het noodzakelijk dat het Sectorinstituut een aantal persoonsgegevens van u verwerkt.

Wie is verantwoordelijk?

Het Sectorinstituut is de ‘Verwerkingsverantwoordelijke’ in de zin van de AVG voor de verwerking van persoonsgegevens in de navolgende situaties:

• De verwerking van persoonsgegevens van bezoekers aan de website van het Sectorinstituut;
• De verwerking van persoonsgegevens van werkgevers en/of werknemers waarmee het Sectorinstituut samenwerkt en die persoonsgegevens verstrekken aan het Sectorinstituut
• De verwerking van alle andere persoonsgegevens met betrekking tot personen die contact opnemen met het Sectorinstituut of van wie het Sectorinstituut persoonsgegevens verwerkt.

 Wat voor soort persoonsgegevens verwerkt het Sectorinstituut?

Het Sectorinstituut verwerkt persoonsgegevens die u zelf aan het Sectorinstituut hebt verstrekt en/of het lezen van nieuwsbrieven die werkgevers en/of hun werknemers ontvangen van het Sectorinstituut in het kader van instroom en duurzame inzetbaarheid van vakbekwaam personeel in de sector transport en logistiek.

Het Sectorinstituut gebruikt uw persoonsgegevens voor verschillende doeleinden:

 Conform de wettelijke verwerkingsgrondslagen (artikel 6 AVG) gebruikt het Sectorinstituut uw persoonsgegevens voor de navolgende doeleinden:

• Het uitvoeren van een overeenkomst
• Het nakomen van wettelijke verplichtingen
• Het informeren van bezoekers, werkgevers en/of hun werknemers die de website bezoeken
• Werkgevers en/of hun werknemers de mogelijkheid bieden om via een digitale portal in te loggen op de website van het Sectorinstituut
• De contactgegevens van werkgevers en/of werknemers worden bijgehouden in ons digitale systeem en kunnen worden gebruikt voor onder meer het verzenden van e-mails, brieven en eventuele uitnodigen voor bijeenkomsten.
• Het maken van gebruikersstatistieken van de website voor het Sectorinstituut
• Het uitvoeren en analyseren van werkgever- en/of werknemertevredenheidsonderzoeken
• Het onderwerpen van het beleid over de bescherming van persoonsgegevens aan een (externe) audit.

 Ons uitgangspunt is dat u weet welke gegevens wij nodig hebben en gebruiken om onze producten of diensten te kunnen leveren, contact met u te kunnen opnemen en u op de hoogte te houden van onze activiteiten.

Het Sectorinstituut deelt geen persoonsgegevens met derden, tenzij dit nodig is voor onze dienstverlening, een wettelijke verplichting daartoe is of op uitdrukkelijk verzoek van uzelf.

Omdat het Sectorinstituut niet alle diensten zelf levert, is het in die gevallen nodig dat de persoonsgegevens die nodig zijn voor die specifieke dienst worden gedeeld met de desbetreffende toeleveranciers of instanties (‘Verwerkers’ in de zin van de AVG). Het Sectorinstituut sluit met deze verwerkers een verwerkersovereenkomst die voldoet aan de eisen van de AVG. In paragraaf 20 e.v. wordt hier nader op in gegaan.

Ook ontvangt het Sectorinstituut  in het kader van haar taken in bepaalde gevallen informatie van bijvoorbeeld werkgevers die het Sectorinstituut de opdracht geven om die gegevens te verwerken. Zoals bij diensten als de Code Check 95, Verzuimbegeleiding, Praktijkopleidingen in opdracht van de werkgever en eventuele andere diensten in opdracht van andere partijen dan het Sectorinstituut. In dat geval is het Sectorinstituut niet de ‘Verwerkingsverantwoordelijke’ in de zin van de AVG, maar een ‘Verwerker’. Het Sectorinstituut verwerkt in dat geval persoonsgegevens uitsluitend in opdracht van de werkgever (‘Verwerkingsverantwoordelijke’) of een andere derde die daarvoor verantwoordelijk is. 

Als u onze website bezoekt om informatie te verzamelen over onze diensten en producten kunt u ervoor kiezen om uw persoonsgegevens achter te laten. Bijvoorbeeld als u over bepaalde producten of diensten meer informatie wenst te ontvangen of omdat u wenst deel te nemen aan bepaalde bijeenkomsten. Die informatie gebruiken wij alleen om u van informatie te voorzien op de manier die u verzoekt.

Wanneer u bij ons producten of diensten afneemt, slaan wij uw persoonsgegevens op in ons digitale systeem.

Het Sectorinstituut gebruikt uw persoonsgegevens om haar diensten en producten zo goed mogelijk op elkaar te laten aansluiten. Dat betekent dat wij bijvoorbeeld uw opleidingstraject volgen en ervoor zorgen dat als er subsidie mogelijk is, subsidie wordt aangevraagd. Als het Sectorinstituut bemiddelt in de plaatsing bij een desbetreffende werkgever of via een detachering - of uitzendbureau, verwerkt het Sectorinstituut uw persoonsgegevens bijvoorbeeld voor de salarisadministratie. Daarnaast kan het zo zijn dat een werkgever een advies vraagt over het indelen van functies in de juiste cao-salarisschaal (FUWA). In dat geval nemen wij de door de werkgever ontvangen persoonsgegevens mee in het advies.

Daarnaast gebruikt het Sectorinstituut uw persoonsgegevens om u zo goed mogelijk op de hoogte te houden van alle ontwikkelingen. Daarvoor vragen wij u steeds vooraf om toestemming.

Om deze uitgangspunten zo goed mogelijk te waarborgen, hebben wij een beleid geformuleerd. Dat beleid wordt hierna verder uitgewerkt.

Beleid

Doel van dit privacy statement is om waarborging te creëren voor de zorgvuldige omgang met persoonsgegevens door het Sectorinstituut en haar opdrachtnemers. De reikwijdte van dit privacy statement strekt zich uit tot verwerking van persoonsgegevens door het Sectorinstituut en een door het Sectorinstituut ingeschakelde derde (‘Verwerker’ in de zin van de AVG). Bij de uitvoering van haar taken verwerkt het Sectorinstituut persoonsgegevens van verschillende doelgroepen. Het Sectorinstituut vindt het belangrijk dat die verwerkingen zorgvuldig en rechtmatig plaatsvinden.

Persoonsgegevens zijn alle persoonsgegevens betreffende een geïdentificeerde of identificeerbare persoon. Dus bijvoorbeeld een naam, adresgegevens of een e-mailadres, maar ook meer indirecte persoonsgegevens kunnen persoonsgegevens zijn.

De verwerking van persoonsgegevens moet met respect voor de persoonlijke levenssfeer van betrokkene plaatsvinden. Voorkomen moet worden dat er inbreuken worden gemaakt. De AVG biedt hiervoor het wettelijk kader. Als algemene regel geldt dat persoonsgegevens op behoorlijke en zorgvuldige wijze moeten worden verwerkt. De AVG bepaalt verder dat persoonsgegevens alleen voor een specifiek doel mogen worden verzameld en gebruikt. Persoonsgegevens zullen niet langer mogen worden bewaard dan noodzakelijk om het doel waarvoor ze zijn verzameld te realiseren. In aanvulling daarop, of in voorkomende gevallen ter vervanging van de AVG, bevat andere wetgeving soms een specifiek regime voor gegevensverwerking.

Het Sectorinstituut heeft voor de compliance van de deze wettelijke regelingen en dit beleid een Functionaris voor de gegevensbescherming (FG) aangesteld.

Het Sectorinstituut verwerkt de persoonsgegevens uitsluitend op grond van een van rechtsgronden genoemd in artikel 6 lid 1 AVG. De navolgende gronden zijn specifiek van toepassing:

• Toestemming: Als we uw toestemming hebben gevraagd om uw persoonsgegevens te verwerken en u hebt deze toestemming verleend, dan hebt u ook altijd weer het recht om deze toestemming in te trekken.
• Uitvoering van de overeenkomst: Indien u ons een opdracht verleent tot het leveren van onze diensten, verwerken wij persoonsgegevens indien en voor zover dat voor het uitvoeren van de opdracht noodzakelijk is.
• Wettelijke verplichting
• Gerechtvaardigd belang: Het Sectorinstituut gebruikt bijvoorbeeld uw contactgegevens om u op de hoogte te houden via nieuwsbrieven of e-mails.

Bij de verwerking van persoonsgegevens voldoet het Sectorinstituut, gelet op de AVG, minimaal aan de volgende eisen:  

• Rechtmatige verwerking (artikel 5 lid 1 (a) en 6 AVG ): Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
• Grondslag en doelbinding (artikelen 5 en 6 AVG) het Sectorinstituut zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt.
• Evenredigheid en betrouwbaarheid (artikel 5, 6 en 9 AVG ) Het doel waarvoor het Sectorinstituut persoonsgegevens verzamelt en verwerkt, is bepalend voor de hoeveelheid en soort gegevens die onderwerp van verwerking mogen vormen. Met het oog op dat specifieke doel, moet de verwerking toereikend, terzake dienend en niet bovenmatig maar ook juist en nauwkeurig zijn.
• Vertrouwelijkheid, geheimhouding en beveiliging (artikel 5, 9 en 32 AVG): Op het Sectorinstituut rust de verplichting door technische en organisatorische maatregelen te waarborgen dat onbevoegde toegang tot en onbevoegd gebruik van persoonsgegevens wordt voorkomen.
• Rechtmatige bewaartermijnen (artikel 5 en 13 AVG): Het Sectorinstituut bewaart persoonsgegevens die zij verwerkt niet langer dan noodzakelijk is voor het doel van de verwerking op grond van de wet is vereist. Meer in het bijzonder: het Sectorinstituut hanteert voor medische documenten van algemene aard een bewaartermijn van tien jaar (waarbij de werknemer om vernietiging kan vragen) en voor patiëntendossiers een termijn van vijftien jaar.
• Informeren (artikel 13 en 14 AVG): Het Sectorinstituut informeert betrokkene(n) over de persoonsgegevens die het Sectorinstituut over hem of haar verwerkt en voor welk doel dat gebeurt, een en ander in lijn met het bepaalde in artikelen artikel 13 en 14 AVG. Deze informatieverplichting geldt niet als de betrokkene al op de hoogte is van de gegevensverwerking.
• Inzage- en correctierecht ( artikelen 15 t/m 16 en 19 AVG): het Sectorinstituut geeft in voorkomende gevallen gehoor aan het recht op inzage en/of correctie van de persoonsgegevens van een betrokkene. 

Iedere persoon kan op basis van de AVG bepaalde rechten uitoefenen ten aanzien van zijn of haar persoonsgegevens. Zo hebt u in bepaalde gevallen het recht tot inzage, rectificatie en verwijdering van persoonsgegevens. Ook kunt u in bepaalde gevallen bezwaar maken tegen het gebruik van uw gegevens of vragen dit gebruik te beperken. In bepaalde gevallen kunt u zelfs uw gegevens opvragen en meenemen naar een andere partij. Neemt u voor al deze vragen contact op via info@stlwerkt.nl.

Informatieveiligheid

Op het Sectorinstituut rust de verplichting door technische en organisatorische maatregelen te waarborgen dat onbevoegde toegang tot en onbevoegd gebruik van persoonsgegevens wordt voorkomen. Hoe gevoeliger de informatie is, des te meer en strengere maatregelen moeten worden getroffen. Dit betekent dat de maatregelen in overeenstemming moeten zijn met de risico’s van de verwerking en de (gevoelige) aard van de persoonsgegevens. Daarbij wordt rekening gehouden met de stand van de technieken en de kosten van de maatregelen. Meer in het bijzonder: tot medische gegevens hebben toegang de gecontracteerde bedrijfsarts, en de medisch adviseur. De praktijkondersteuner bedrijfsarts werkt in taakdelegatie met de bedrijfsarts en heeft alleen toegang tot de medische gegevens betreffende de huidige ziekmelding die beschikbaar wordt gesteld door de bedrijfsarts.

Het Sectorinstituut hecht grote waarde aan de veiligheid van de verwerking en de opslag van persoonsgegevens. Informatiebeveiliging betreft niet alleen beschikbaarheid en continuïteit, maar ook exclusiviteit en vertrouwelijkheid. Informatie hoort alleen toegankelijk te zijn voor degenen die hiertoe geautoriseerd zijn.

In het geval zich onverhoopt een datalek voordoet zal het Sectorinstituut direct passende maatregelen treffen. Met datalek wordt gedoeld op (een aanzienlijke kans op) een ernstige inbreuk op de systemen, verlies of onrechtmatige verwerking van persoonsgegevens. Meldingen hieromtrent zullen, na zijn aanstelling, in ieder geval bij de Functionaris voor de gegevensbescherming worden gedaan. De Functionaris voor de gegevensbescherming meldt een datalek aan de Autoriteit Persoonsgegevens (en in voorkomende gevallen aan betrokken). Geconstateerde of vermoede beveiligingslekken en –incidenten zullen intern worden gemeld de Functionaris voor de gegevensbescherming.                                                                                                          

Bewaartermijnen

In de AVG is bepaald dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is ter realisatie van het doel waarvoor ze zijn verkregen. Als de wet bewaartermijnen bevat, zijn deze vanzelfsprekend leidend. Vaak is echter geen vastgestelde termijn van toepassing en geldt alleen de algemene regel uit de AVG. Het Sectorinstituut zal steeds van geval tot geval een beleid vaststellen met betrekking tot het bewaren van de gegevens. Het Sectorinstituut bewaart persoonsgegevens die zij verwerkt niet langer dan noodzakelijk is voor het doel van de verwerking dan wel op grond van de wet is vereist.

Verwerking en inschakeling derden en uitwisseling van persoonsgegevens

Het Sectorinstituut schakelt bij de verwerking van persoonsgegevens ook derden in. Op grond van artikel 28 van de AVG is het Sectorinstituut verplicht met die externe een Verwerkersovereenkomst te sluiten. In voorkomende gevallen zal het Sectorinstituut  ook een raamovereenkomst afsluiten waarin de zorgvuldige verwerking van persoonsgegevens (mede) ter uitvoering van de taken van het Sectorinstituut is geregeld.

In bepaalde gevallen treedt het Sectorinstituut niet op als verwerkingsverantwoordelijke met betrekking tot de verwerking van de persoonsgegevens en zal het Sectorinstituut als verwerker de nodige zorg jegens de verantwoordelijke betrachten zoals voorzien bij wet.

In bepaalde gevallen kan het zo zijn dat het Sectorinstituut op strategisch niveau een samenwerking aangaat waarbij de persoonsgegevens worden uitgewisseld met derde partijen in het kader van de uitvoering van haar taken. Indien er sprake is van structurele uitwisseling of samenwerking maakt het Sectorinstituut vooraf afspraken over de persoonsgegevensuitwisseling.

Wijzigingen in de Privacy Statement

Het Sectorinstituut behoudt zich het recht voor om deze ‘privacy statement’ op ieder gewenst moment en voor welke reden dan ook aan te passen of te wijzigen.

Gouda, september 2021