In de ondersteunende dienstverlening die UniK levert, staan mensen centraal. Met meer dan 30 vestigingen die onderdeel uitmaken van UniK en honderden werknemers in Brabant, Gelderland en Limburg worden er op grote schaal persoonsgegevens verwerkt. Daarnaast is UniK, en zo ook haar personeel, veel buiten bij klanten en leveranciers en wordt er met verschillende externe partners samengewerkt ten behoeve van haar dienstverlening. Ter bescherming van alle medewerkers, het bedrijf en haar partners neemt UniK privacy zeer serieus.

Ten aanzien van het onderwerp privacy en bescherming persoonsgegevens hanteert UniK in haar bedrijfsvoering een ‘riskbased approach’. Dat wil zeggen dat zij zich niet puur en alleen richt op de naleving van wetten en regels, maar zich focust op de meest omvangrijke en risicovolle verwerkingen en de beveiliging daarvan. UniK realiseert zich dat het beschermen van persoonsgegevens en het privacy proof houden van haar organisatie een dynamisch proces is met vele uitdagingen. De verwerking van persoonsgegevens van de werknemers en vele klanten is het meest omvangrijk en risicovol. Daar ligt de focus van UniK. Tevens wordt er veel waarde gehecht aan het creëren van bewustzijn op de werkvloer ten aanzien van een zorgvuldige omvang met alle gegevens. UniK is constant op zoek en zal streven naar de juiste balans tussen compliance – het voldoen aan wet- en regelgeving – en het behouden van een werkbare situatie voor alle betrokkenen, met voldoende ruimte voor ondernemen en passie voor dienstverlening.

Doeleinden van verwerking

UniK verzamelt en verwerkt persoonsgegevens voor de volgende doeleinden:

• het vervullen van haar rol als werkgever voor de vele werknemers, zowel vast als flexibel, waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen behoren: het opbouwen en beheren van personeelsdossiers en verzuimdossiers, salarisadministratie, het voldoen aan verplichtingen in het kader van re-integratie, het beoordelen van geschiktheid van werknemers voor opdrachten en het uitzenden van werknemers;
• het vervullen van haar rol als opdrachtnemer of leverancier op vele vlakken binnen de vele verschillende facetten van dienstverlening waarin UniK werkzaam is, waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen horen: het beheren van gegevens van prospecten, klanten en opdrachtgevers in de systemen van UniK en het onderhouden van deze zakelijke relaties;
• het verstrekken van gegevens van vaste en flexibele werknemers aan klanten en opdrachtgevers, hetgeen noodzakelijk is voor de uitvoering van een overeenkomst. Veel medewerkers van UniK bevinden zich altijd buiten, bij de klanten/opdrachtgevers. De wet verlangt van UniK om bepaalde gegevens van haar medewerkers te verstrekken aan deze klanten/opdrachtgevers waar de werknemers werkzaam zijn. Deze klanten/opdrachtgevers dienen de identiteit van de werknemers te kunnen controleren en gegevens op te nemen in hun administratie. Waar de grondslag voor verstrekking niet wettelijk is vastgelegd, maar de klant/opdrachtgever het toch UniK verlangt, vindt er te allen tijde een toets plaats om te beoordelen of de gegevensverstrekking conform de Wet bescherming persoonsgegevens plaatsvindt;
• het uitwisselen van gegevens binnen UniK, met en tussen de verschillende locaties ten behoeve van de optimalisatie van de dienstverlening; het verstrekken van gegevens van werknemers aan de Rijksoverheid, daar waar dit gevraagd wordt/vereist is, bijvoorbeeld voor het verkrijgen van een verklaring omtrent gedrag voor medewerkers;
• het volgen of controleren van werknemers, bijvoorbeeld met een personeelsvolgsysteem of cameratoezicht. Dit gebeurt enkel wanneer er een concrete aanleiding voor bestaat en dit nodig is om incidenten te onderzoeken. Hierbij zal altijd een toets plaatsvinden en allereerst worden gekeken of het probleem/incident met minder ingrijpende middelen kan worden opgelost;
• het verstrekken van gegevens aan bewerkers van UniK, hetgeen noodzakelijk is voor de uitvoering van een overeenkomst tussen UniK en deze bewerker. Een bewerker van UniK dient altijd een bewerkersovereenkomst te ondertekenen waarin de rechten van de betrokkenen voldoende geborgd zijn en de bewerker verplicht wordt de gegevens passend te beveiligen.

Wanneer persoonsgegevens worden verwerkt zonder dat het onder een van bovenstaande doeleinden valt, vindt ten allen tijde een toets plaats om te beoordelen of een van de wettelijke doeleinden van toepassing is en of een rechtmatige grondslag bestaat voor verwerking.

Verwerking van persoonsgegevens: medewerkers, klanten en zakelijke relaties

De verwerking van persoonsgegevens binnen UniK vindt plaats op gebied van HR alsmede op klantgebied. UniK verwerkt van haar werknemers uitsluitend gegevens die nodig voor het aanleggen en onderhouden van het personeels- en eventueel verzuimdossier. Gedurende het dienstverband en de wettelijke bewaartermijnen na het eindigen van het dienstverband bewaart UniK, naast de noodzakelijke basisgegevens van werknemers, in het dossier een kopie van het ID-bewijs, referenties en getuigschriften en indien nodig/van toepassing pre-screening documentatie, A1-verklaringen, verblijfsvergunningen, tewerkstellingsvergunningen en notificaties.

UniK verwerkt van haar klanten uitsluitend gegevens die nodig zijn voor het aanleggen en onderhouden van het elektronisch patiëntendossier. Gedurende de dienstverlening en de wettelijke bewaartermijnen na het eindigen van het ondersteuningsverband bewaart UniK, de noodzakelijke basisgegevens van haar klanten, in het dossier

Daarnaast worden er gegevens van zakelijke relaties verwerkt, namelijk van leveranciers en (andere) samenwerkingspartners. De gegevens die UniK verwerkt van haar zakelijke relaties zijn veelal bedrijfsgegevens en vallen niet onder de Wet bescherming persoonsgegevens. De gegevens van contactpersonen (naam, contactgegevens, functie) van alle zakelijke relaties vallen wel onder de Wet bescherming persoonsgegevens. UniK gaat met alle gegevens zeer zorgvuldig om. Ook de bedrijfsgegevens worden zeer vertrouwelijk behandeld.

Verstrekken van gegevens aan derden

Het verstrekken van persoonsgegevens aan derden kan noodzakelijk zijn om uitvoering te geven een aan overeenkomst, dan wel om wet- en regelgeving na te leven. Gegevens worden gedeeld binnen UniK. Deze verstrekking geschiedt met het doel om dienstverlening te verbeteren, ten behoeve van klantbeleving, het verbeteren van arbeidsomstandigheden, ten behoeve van de gezondheid van onze medewerkers en het terugdringen van verzuim. UniK verstrekt in geen enkel geval persoonsgegevens aan derden ten behoeve van commercieel gewin. Om uitvoering te geven aan overeenkomsten met opdrachtgevers/klanten en een van de doeleinden zoals hierboven genoemd dient UniK gegevens te verstrekken aan deze partijen. UniK toetst altijd of de opdrachtgever/klant niet meer gegevens vraagt dan noodzakelijk voor het doel en maakt afspraken met deze partijen teneinde de bescherming van deze gegevens te waarborgen. Als de wet dit vereist zal UniK gegevens verstrekken aan de Rijksoverheid of handhavingsinstanties.

E-mailen volgens de NTA 7516 standaard

UniK is een zorginstelling die regelmatig (medische) persoonsgegevens moet delen met derden.
Daarmee dient UniK zich te houden aan de NTA 7516 standaard.
UniK heeft er voor gekozen om alle mail die wordt verstuurd te beveiligen volgens deze standaard. Dus ook mails die geen (medische) persoonsgegevens bevatten worden volgens deze standaard beveiligd. We begrijpen dat dit vervelend kan zijn als de inhoud van de mail geen noodzaak is om een mail te beveiligen.
Meer informatie over Bastion en de NTA 7516 standaard is te vinden via de onderstaande links.
Bastion 365 – Veilig e-mailen

NCS 7516-1:2020 nl (nen.nl)

Inschakelen van bewerkers

Voor het uitvoeren van haar werkgeversrol kan UniK gebruik maken van of diensten uitbesteden aan derden. Voorbeelden hiervan zijn het uitbesteden van: loonadministratie, ICT-beheer, strategische personeelsplanning en de inzet van zzp-ers. Deze derden kunnen persoonsgegevens verwerken, waardoor zij als bewerker worden aangemerkt volgens de Wet bescherming persoonsgegevens. UniK eist van haar bewerkers een hoog niveau van bescherming van persoonsgegevens. De lat ligt voor bewerkers hoger dan voor UniK zelf, aangezien de gegevens buiten de UniKomgeving worden gebracht en verwerkingen dus minder in het zicht van UniK plaatsvinden. Bewerkers worden mede geselecteerd op hun privacy beleid, afspraken worden contractueel vastgelegd en indien daartoe aanleiding is wordt de nakoming ervan gecontroleerd.

Informatiebeveiliging

De meeste gegevens die worden verwerkt binnen UniK zijn gegevens van klanten. Dat betekent dat de risico’s ten aanzien van die gegevens het grootst zijn. UniK focust daarom op beveiliging van de ICT-processen en -systemen en het beschermen van de privacy van haar klanten. Deze focus uit zich in beveiliging, die met name gericht is op de centrale technische infrastructuur, waar het ICT Platform, het ERP Platform en de toegang tot de centrale omgeving vanaf decentrale locaties onder vallen. De beveiliging is gericht op de bescherming van informatie zelf en de middelen waarop het wordt opgeslagen zoals verschillende informatiesystemen, hardware, operating systems, databases, bedrijfsnetwerken en de fysieke locaties.

Cookies

UniK maakt op haar bedrijfswebsites gebruik van functionele cookies en/of web statistieken cookies. Tevens maakt UniK gebruik van cookies om de inhoud van onze website te delen via social media. Op de intranetwebsites (SharePoint) waar medewerkers toegang toe hebben, wordt slechts gebruik gemaakt van functionele cookies met als doel informatie te krijgen over het technisch functioneren van het intranet. Het gebruik van deze cookies heeft geen gevolgen voor de bezoekers van het intranet, omdat met deze cookies geen persoonsgegevens worden verwerkt.

Bewaarbeleid

Gegevens worden niet langer bewaard dan de bewaartermijnen die in de wet dan wel in het Vrijstellingsbesluit van de Autoriteit Persoonsgegevens zijn bepaald. UniK hanteert een bewaarbeleid waarin alle termijnen die voor gegevenswerkingen gelden zijn vastgelegd.

Inzage, wijzigen, wissen persoonsgegevens

Medewerkers van UniK hebben toegang tot hun eigen gegevens en kunnen bij de betreffende HR manager verzoeken om inzage van hun eigen personeelsdossier. Verzoeken tot wijziging, verwijdering of het verkrijgen van een kopie van de gegevens kunnen ook bij de HR adviseur worden ingediend. Zakelijke relaties kunnen bij hun contactpersoon binnen UniK dezelfde verzoeken indienen. Klachten of vermoedelijke misstanden ten aanzien van het verwerken van persoonsgegevens binnen UniK kunnen worden gemeld bij de contactpersoon zoals hierboven genoemd, dan wel de functionaris gegevensbescherming, dan wel bij de Autoriteit Persoonsgegevens te Den Haag.

Functionaris gegevensbescherming

Zoals verplicht gesteld door de Autoriteit Persoonsgegevens is er een functionaris gegevensbescherming aangesteld bij UniK.
De Functionaris Gegevensbescherming is te bereiken via 088-2052345 of privacy@unik.nl

Tot slot

UniK behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy statement. Deze versie is vastgesteld op 1 mei 2018.