PRIVACYREGLEMENT

ALGEMENE BEPALINGEN

Artikel1.Begripsbepalingen
1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon.
2. Medische gegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of
geestelijke gezondheid van de betrokkene (te weten gezondheidsgegevens), waarop het medisch
beroepsgeheim van de (bedrijfs)arts rust. Persoonsgegevens met betrekking tot de gezondheid van
de betrokkene waarop het medisch beroepsgeheim van de (bedrijfs)arts niet van toepassing is,
vallen in dit reglement evenwel onder het begrip medische gegevens.
3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, met elkaar in verband brengen, beschikbaar
stellen, verstrekken door middel van doorzending, alsmede het afschermen, uitwissen of vernietigen
van persoonsgegevens.
4. Verantwoordelijke: degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt, de zeggenschap heeft over de persoonsgegevens en verantwoordelijk is voor de
naleving van dit reglement.
5. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder
aan zijn rechtstreeks gezag te zijn onderworpen.
6. Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
7. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.
8. Beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de
dagelijkse (technische) zorg voor de verwerking van persoonsgegevens.
9. Derde: een persoon of instantie, niet zijnde de betrokkene, de verantwoordelijke, de bewerker,
of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker
gemachtigd is om persoonsgegevenste verwerken.
10. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens
gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens
bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
11. Registratie: het systematisch en voor bepaalde duur verzamelen, opslaan, beheren, bewerken en
beschikbaar stellen- en houden van gegevensbestanden op welke wijze dan ook.
12. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting
waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
13. WBP: de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302) en Wet Algemene Verordering
Gegevensverwerking (hierna: “AVG”) van 16 mei 2018.
14. Het reglement: dit onderhavige privacyreglement

2. Reikwijdte, verantwoordelijke en bewerker
1. Het reglement ziet op de registratie en verwerking van persoonsgegevens door personen in dienst
van of werkzaam ten behoeve van het Expertise Orgaan (hierna te noemen “EO”).
2. Het reglement is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van
persoonsgegevens, alsmede op de niet geautomatiseerde verwerking van persoonsgegevens die in
een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
3. Registratie van persoonsgegevens vindt uitsluitend plaats ten behoeve van een goede
bedrijfsvoering en dienstverlening door EO en beperkt zich tot die informatie die direct of indirect
ten dienste hiervan staat.
4. Dit reglement is onderworpen aan de werking van de WBP en de AVG en alle daarop
betrekking hebbende besluiten en maatregelen.
5. Dit reglement komt tot stand en wordt beheerd onder verantwoordelijkheid van de
verantwoordelijke, te weten de directie van EO. De verantwoordelijke heeft de zeggenschap over
het goed functioneren van de gegevensverwerking in overeenstemming met de WBP & AVG.
6. De persoonsgegevens worden in opdracht van de verantwoordelijke verwerkt door
een bewerker. In de daartoe opgestelde bewerkersovereenkomst is vastgelegd dat de bewerker de
persoonsgegevens slechts verwerkt ten behoeve van de verantwoordelijke, overeenkomstig diens
instructies en onder diens verantwoordelijkheid een en ander met inachtneming van onderhavig
reglement.

3. Melding bij de Autoriteit Persoonsgegevens/voorheen College Bescherming
Persoonsgegevens(CBP)
1. De verantwoordelijke heeft de verwerking van persoonsgegevens, zoals omschreven in onderhavig
reglement- in het verleden- aangemeld bij het CBP. De melding is voorheen opgenomen in het
openbaar register op de website van het CBP onder nummer m1623298.

3. Melding bij de Autoriteit Persoonsgegevens/voorheen College Bescherming
Persoonsgegevens(CBP)
1. De verantwoordelijke heeft de verwerking van persoonsgegevens, zoals omschreven in onderhavig
reglement- in het verleden- aangemeld bij het CBP. De melding is voorheen opgenomen in het
openbaar register op de website van het CBP onder nummer m1623298.

4. Wettelijk kader
1. In het kader van de verwerking van persoonsgegevens sluit de verantwoordelijke aan bij de Wet op
de Geneeskundige Behandelings Overeenkomst (WGBO) en de Wet op de Medische Keuringen
(WMK), de richtlijnen van de landelijke artsenfederatie Koninklijke Nederlandsche Maatschappij der
Geneeskunde (KNMG), De verzekeringsgeneeskundige protocollen van de Nederlandse vereniging
voor de Verzekeringsgeneeskunde (NVVG) en de gedragscode van de Stichting Register
Arbeidsdeskundigen (SRA).

KENMERKENVANPERSOONSGEGEVENS

5. Doel van de gegevensverwerking
1. De verantwoordelijke verwerkt persoonsgegevens in het kader van de dienstverlening aan klanten
op het gebied re-integratie- en belastbaarheid adviezen. Voorts vindt verwerking van
persoonsgegevens plaats voor de financiële afhandeling van eerdergenoemde dienstverlening, voor
de uitvoering van aanvullende contractuele afspraken met klanten, voor interne toetsing van de
kwaliteit van de geleverde diensten en voor statistisch en wetenschappelijk onderzoek.
2. De persoonsgegevens moeten toereikend zijn, ter zake dienend en niet bovenmatig gelet op de
doeleinden waarvoor de persoonsgegevens worden verzameld of verwerkt. De verantwoordelijke zal
niet meer persoonsgegevens verwerken dan voor de in artikel 5.1 genoemde doeleinden
noodzakelijk is.
3. Indien de verantwoordelijke persoonsgegevens voor andere doeleinden dan genoemd in artikel
5.1 wenst te verwerken, heeft de verantwoordelijke de plicht de betrokkene vooraf gericht te
informeren omtrent de aard van de gegevens die over zijn persoon in de verwerking worden
opgenomen, alsmede omtrent de doeleinden die daarmee worden nagestreefd. Deze verplichting
geldt niet wanneer de persoonsgegevens niet (meer) tot individuele natuurlijke personen
herleidbaar zijn.
4. Persoonsgegevens kunnen afkomstig zijn van de betrokkene zelf, diens leidinggevende of
werkgever, verzekeraars, bedrijfsartsen, verzekeringsartsen, re-integratiedeskundigen, overige
externe professionals/deskundigen, UWV of andere bij de dienstverlening betrokken derden.

6. Rechtmatige grondslag gegevensverwerking
1. Op grond van de WBP en AVG dient er voor iedere verwerking van persoonsgegevens een
rechtmatige grondslag te zijn. Deze grondslag is aanwezig indien:
a. er sprake is van ondubbelzinnige toestemming van de betrokkene;
b. de gegevensverwerking noodzakelijk is:
• voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het
nemen van precontractuele maatregelen naar aanleiding van een verzoek van de
betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
• voor het nakomen van een wettelijke verplichting waaraan de verantwoordelijke is
onderworpen;
• ter vrijwaring van een vitaal belang van betrokkene (denk aan een dringende
medische oorzaak, zoals verlies van het bewustzijn);
• voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een
derde waaraan de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten
en vrijheden van de betrokkene prevaleren.
2. De verwerking van persoonsgegevens door de verantwoordelijke voldoet steeds aan één van de in
artikel 6.1 genoemde grondslagen.

3. Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige
wijze verwerkt. In dit kader treft de verantwoordelijke de nodige maatregelen om de
vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens te waarborgen. De
verantwoordelijke draagt zorg voor de beveiliging van de persoonsgegevens tegen verlies of
aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de faciliteiten, die hij onder
zich heeft.
4. De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die niet
onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening
gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de
verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de
waarborging ter bescherming van de persoonlijke levenssfeer. Persoonsgegevens mogen verder
worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan
de verantwoordelijke onderworpen is of geschiedt met de ondubbelzinnige toestemming van de
betrokkene.

7. Categorieën van persoonsgegevens
De persoonsgegevens die door EO verwerkt worden voor de doeleinden zoals genoemd in artikel 5,
betreft persoonsgegevens, waaronder medische gegevens, op basis van verplichte contacten en vrijwillige
contacten tussen de betrokkene en EO. Denk aan alle activiteiten in het kader van re-integratie- en
belastbaarheid adviezen. Voor de verwerking van persoonsgegevens die aangemerkt worden als medische
gegevens (“bijzondere gegevens” of ook wel “gezondheidsgegevens” in de WBP en AVG genoemd),
gelden vergaande regels ter bewaking van de privacy van de betrokkene. Deze zijn nader uitgewerkt in de
volgende artikelen van dit reglement en/of in interne procedures en werkinstructies binnen de
organisatie van de verantwoordelijke.

TOEGANGTOT EN VERSTREKKING VAN PERSOONSGEGEVENS

8. Toegang tot persoonsgegevens
1. Alleen die medewerkers van EO die in het kader hun functie en taken direct dan wel indirect
betrokken zijn bij de uitvoering van de dienstverlening aan klanten en de overige doeleinden van de
gegevensverwerking zoals opgenomen in artikel 5, hebben toegang tot de persoonsgegevens. Deze
medewerkers hebben slechts toegang tot die delen van de persoonsgegevens, waarover zij voor een
goede taakuitoefening moeten beschikken.
2. Ten aanzien van de medische gegevens geldt dat alleen de bedrijfsarts, diens waarnemer en
medewerkers die rechtstreeks betrokken zijn bij de behandeling of bedrijfsgeneeskundige
begeleiding van de betrokkene toegang hebben tot de gegevens.
3. De beheerder en de bewerker hebben toegang tot de persoonsgegevens voor zover dit in het kader
van de uitoefening van hun taken noodzakelijk is.
4. Onder verantwoordelijkheid van de beheerder kunnen derden worden ingeschakeld ten behoeve van
technisch onderhoud aan en/of aanpassing van de systemen van de verantwoordelijke. Deze derden
verkrijgen toegang tot persoonsgegevens voor zover dit voor de uitvoering van hun werkzaamheden
noodzakelijk is.

5. De personen, bedoeld in de artikelen 8.1 tot en met 8.4, voor wie niet reeds uit hoofde van ambt,
beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van
de persoonsgegevens, waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift
hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Hiertoe
ondertekenen zij een geheimhoudingsverklaring.
6. Iedere medewerker van EO die met inachtneming van het bepaalde in de artikelen 8.1 en
8.2 toegang heeft tot persoonsgegevens, deze verzamelt en/of verwerkt, is verantwoordelijk voor
een juiste en zorgvuldige raadpleging, vastlegging en verwerking van deze gegevens. De
verantwoordelijke is te allen tijde verantwoordelijk voor de inhoud van het (medisch) dossier die van
de betrokkene wordt bijgehouden.
7. Middels een rechtenstructuur in de software hebben uitsluitend de daartoe geautoriseerde
personen toegang tot persoonsgegevens. Autorisatie vindt plaats aan de hand van de door de
verantwoordelijke vastgestelde functies en bijbehorende rechten en rollen. Indien

9. Verstrekking van persoonsgegevens
1. Binnen EO kunnen persoonsgegevens worden verstrekt, voor zover voor hun
taakuitoefening noodzakelijk, aan medewerkers die rechtstreeks betrokken zijn bij de
activiteiten re-integratie- en belastbaarheid adviezen
2. Buiten EO kunnen persoonsgegevens worden verstrekt aan:
a. personen die rechtstreeks betrokken zijn bij het specialistische consult of bedrijfsgeneeskundige begeleiding van de betrokkene, voor zover dit voor hun taakuitoefening
noodzakelijk is, zij BIG geregistreerd zijn en contractuele afspraken zijn gemaakt over de wijze
waarop deze ontvangers hun werkzaamheden uitvoeren onder verantwoordelijkheid van EO;
b. de bedrijfsarts (verwijzer) die betrokkene heeft aangemeld heeft aangemeld bij EO
c. de verwijzer anders dan een bedrijfsarts voor zover het (niet medische) gegevens betreft zoals
nader omschreven in artikel 10;
d. de werkgever (of diens casemanager), voor zover het (niet medische) gegevens betreft zoals
nader omschreven in artikel 10.
3. Tenzij dit noodzakelijk ister uitvoering van een wettelijk voorschrift of het een geval betreft als
genoemd in de artikelen 9.1, 9.2, 9.4 en 9.5, is voor verstrekking van persoonsgegevens aan derden
steeds uitdrukkelijke toestemming van de betrokkene vereist. Voor de toestemming geeft de
betrokkene akkoord welke wordt opgeslagen in het elektronisch dossier van EO.

4. Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van
wetenschappelijk onderzoek en statistiek worden verstrekt, indien aan alle van de volgende
voorwaarden is voldaan:
a. het vragen van toestemming onmogelijk blijkt of een onevenredige inspanning kost;
b. het onderzoek een algemeen belang dient;
c. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
d. de persoonlijke levenssfeer van de betrokkene daardoor niet evenredig wordt geschaad en
vaststaat dat het onderzoek niet in de vorm van tot de betrokkene identificeerbare gegevens
zal worden gepresenteerd;
e. het onderzoek wordt verricht conform een op de onderzoeker betrekking hebbende
gedragscode en nadat een onafhankelijke commissie hierover positief geadviseerd heeft.
Voorts dienen er tussen de verantwoordelijke en de onderzoeker schriftelijk afspraken te zijn
gemaakt over de in verband met de bescherming van de persoonlijke levenssfeer van betrokkene te
treffen maatregelen.
5. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet meer herleidbaar
zijn tot de betrokkene, kan de verantwoordelijke beslissen deze aan derden te verstrekken.
Geanonimiseerde gegevenszijn namelijk geen persoonsgegevens in de zin van de WBP & AVG

10. Verstrekking van persoonsgegevens aan de werkgever
1. Op informatie die is verzameld in het kader van vrijwillig aangegane contacten, zoals omschreven in
artikel 7 is de Wet Geneeskundige Behandelingsovereenkomst (WGBO) integraal van toepassing. Dit
betekent dat EO slechts met uitdrukkelijke toestemming van de betrokkene persoonsgegevens aan
de werkgever mag verstrekken.
2. Aan de werkgever worden geen medische gegevens verstrekt, tenzij dit volgens de bedrijfsarts
noodzakelijk is en de betrokkene hiervoor zijn uitdrukkelijke toestemming heeft gegeven. Van de
toestemming wordt aantekening gemaakt in het dossier of de betrokkene tekent een daartoe
specifiek opgestelde machtiging, welke wordt opgeslagen in het dossier van EO.

RECHTEN VAN BETROKKENE

11.Inzage en afschrift vanpersoonsgegevens
1. De verantwoordelijke deelt een ieder op diens verzoek, zo spoedig mogelijk maar uiterlijk binnen
een maand na ontvangst van het verzoek, schriftelijk mee of hem betreffende persoonsgegevens
worden verwerkt. Indien dit inderdaad het geval is, zendt de verantwoordelijke tevens de
betreffende gegevens mee.
2. Inzage in de persoonsgegevens wordt aan de betrokkene in persoon verleend, door het tonen
van de op deze persoon betrekking hebbende gegevens. De betrokkene dient zich vooraf te
legitimeren.
3. De betrokkene heeft recht op kopieën van de in artikel 7 bedoelde gegevens. Voor de
verstrekking hiervan mag een redelijke vergoeding in rekening worden gebracht.

4. Een verzoek tot inzage kan met redenen omkleed worden geweigerd, evenals het verstrekken van
kopieën.
5. Inzage in de persoonsgegevens en het verkrijgen van kopieën daarvan is eveneens mogelijk door
een daartoe schriftelijk gemachtigde (vertrouwens)persoon van de betrokkene. De machtiging moet
voldoende specifiek aangeven op welke gegevens het verzoek om inzage en/of afschrift ziet.

12. Verbeteren, aanvullen en verwijderen van persoonsgegevens
1. Op schriftelijk verzoek van de betrokkene of diens gevolmachtigde gaat de verantwoordelijke over
tot het verbeteren, aanvullen of verwijderen van de persoonsgegevens die op de betrokkene
betrekking hebben, indien en voor zover deze gegevens feitelijk onjuist zijn, voor het doel van de
verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een
wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen en de
motivatie hiervoor.
2. De verantwoordelijke deelt de betrokkene zo spoedig mogelijk maar uiterlijk binnen een maand na
ontvangst van het verzoek schriftelijk mee of hij daaraan voldoet. Hieraan ligt een gemotiveerde
beslissing ten grondslag.
3. De verantwoordelijke draagt ervoor zorg dat een beslissing tot verbetering, aanvulling of
verwijdering van persoonsgegevens zo spoedig mogelijk wordt uitgevoerd, doch uiterlijk binnen
drie maanden na de datum waarop de beslissing aan de betrokkene is gecommuniceerd.
4. Een verzoek tot verwijdering van persoonsgegevens wordt niet ingewilligd wanneer redelijkerwijs
aannemelijk is dat bewaring een aanmerkelijk belang dient voor een ander dan de betrokkene,
alsmede wanneer bewaring op grond van een wettelijk voorschrift is vereist.

VERPLICHTINGENVANDEVERANTWOORDELIJKE

13. Informatieplicht
1. Indien de verantwoordelijke de persoonsgegevens verkrijgt bij de betrokkene zelf, deelt de
verantwoordelijke voor of op het moment van verkrijging zijn identiteit mee alsmede het doel van de
verwerking waarvoor de persoonsgegevens zijn bestemd, tenzij de betrokkene hiervan reeds op de
hoogte is.

4. Bewaren en verwijderen van persoonsgegevens
1. Met inachtneming van eventuele wettelijke voorschriften en de doeleinden waarvoor de
gegevens worden verwerkt, stelt de verantwoordelijke de bewaartermijn van de
persoonsgegevens vast.
2. Ten aanzien van persoonsgegevens die worden aangemerkt als medische gegevens gelden de
bewaartermijnen zoals neergelegd in Bijlage A. Deze bijlage wordt geacht één geheel te vormen
met dit reglement.

3. Wanneer de door de verantwoordelijke vastgestelde bewaartermijn is verstreken, worden de
persoonsgegevens binnen één jaar verwijderd.
4. Het verwijderen blijft eventueel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring
van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een
wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar
overeenstemming bestaat. Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot
identificeerbare personen redelijkerwijs onmogelijk is, kunnen zij in deze geanonimiseerde vorm
bewaard blijven.

15. Beveiliging van persoonsgegevens
1. De verantwoordelijke neemt passende technische en organisatorische maatregelen om de
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking,
zodat de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens wordt
gewaarborgd.
2. De beveiliging van persoonsgegevens is gebaseerd op de richtsnoeren van het College
Bescherming Persoonsgegevens en behandelt onder meer de volgende onderwerpen:
• beveiliging van de toegang tot de geautomatiseerde omgeving;
• fysieke beveiliging van datacentra en kantoren;
• screening van het personeel en het hanteren van gedragscodes omtrent het omgaan met
vertrouwelijke informatie;
• uniform beheer van bedrijfsmiddelen;
• bedrijfscontinuïteit bij calamiteiten;
• het verzorgen van back-ups.
3. Digitale gegevens worden in beginsel opgeslagen in informatiesystemen van de verantwoordelijke of
van de bewerker. Papieren gegevens worden opgeslagen in afgesloten kasten en bureaus op locatie
van EO.
4. De medewerkers die in dienst zijn bij EO tekenen een geheimhoudingsverklaring.

RECHTSBESCHERMING

16.Klachten
1. Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd
en/of de verantwoordelijke de rechten van betrokkene met betrekking tot de verwerking van
persoonsgegevens niet respecteert, dient betrokkene zich met zijn klacht te wenden tot de
verantwoordelijke. De verantwoordelijke zal vervolgens de klacht afhandelenconform het
Klachtenreglement van EO.
2. Indien de klachtafhandeling door de verantwoordelijke voor de betrokkene niet leidt tot een voor
hem acceptabel resultaat, heeft de betrokkene de mogelijkheid om een klacht in te dienen bij het het
CBP. Tot slot kan betrokkene zich ook tot de rechtbank wenden met het schriftelijk verzoek om de
verantwoordelijke te bevelen (alsnog) aan bepaalde verplichtingen uit de WBP te voldoen.

SLOTBEPALINGEN

17. Openbaarheid van dit reglement
Het reglement is in te zien via de website www.expertiseorgaan.nl. Op verzoek wordt een papieren
exemplaar van dit reglement ter beschikking gesteld.

18. Naleving van het reglement
Via periodieke interne audits wordt door de AVG-verantwoordelijke onderzoek gedaan naar naleving van
de bepalingen uit onderhavig reglement, welke kunnen worden aangevuld door verplichte audits als
gevolg van de door EO te voeren accreditaties en keurmerken.

19. Inwerkingtreding van het reglement
De verantwoordelijke hanteert sinds 1 juni 2020 dit onderhavige reglement. Dit reglement wordt door
de verantwoordelijke geactualiseerd indien nodig. De laatste revisie van het reglement is steeds van
toepassing welke staat gepubliceerd op de website van de vennootschap (www.expertiseorgaan.nl)