Privacy Statement STMG

Omgang met persoonsgegevens

In de dienstverlening die STMG levert, staan mensen centraal. Voor STMG worden met 5000 cliënten en 1200 medewerkers persoonsgegevens verwerkt. STMG levert zorg bij klanten thuis en er wordt met vele externe partners samengewerkt ten behoeve van haar dienstverlening. Denk hierbij aan huisartsen, ziekenhuizen, sociale wijkteams etc. Ter bescherming van alle medewerkers, het bedrijf en haar partners neemt STMG privacy zeer serieus. Ten aanzien van het onderwerp privacy en bescherming persoonsgegevens hanteert STMG in haar bedrijfsvoering een ‘riskbased approach’. Dat wil zeggen dat zij zich niet puur en alleen richt op de naleving van wetten en regels, maar zich focust op de meest omvangrijke en risicovolle verwerkingen en de beveiliging daarvan. STMG realiseert zich dat het beschermen van persoonsgegevens en het privacy proof houden van haar organisatie een dynamisch proces is met vele uitdagingen. De verwerking van persoonsgegevens van onze cliënten en werknemers is het meest omvangrijk en risicovol. Daar ligt de focus van STMG. Tevens wordt er veel waarde gehecht aan het creëren van bewustzijn op de werkvloer ten aanzien van een zorgvuldige omgang met alle gegevens. STMG is constant op zoek en zal streven naar de juiste balans tussen compliance - het voldoen aan wet- en regelgeving - en het behouden van een werkbare situatie voor alle betrokkenen, met voldoende ruimte voor ondernemen en passie voor dienstverlening.

Doeleinden van verwerking

STMG verzamelt en verwerkt persoonsgegevens voor de volgende doeleinden: 

• Het vervullen van haar rol als zorgaanbieder voor de (particuliere) cliënten waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen behoren: het beheren en verwerken van gegevens van klanten in het elektronisch cliëntendossier. Het betreft hier het verwerken van gegevens betreffende de gezondheid van klanten. Deze verwerking is gerechtvaardigd door de uitzondering in de Wet bescherming persoonsgegevens op het verbod deze gegevens te verwerken, wanneer dit gebeurt door instellingen in de gezondheidszorg. De verwerking geschiedt ter uitvoering van de overeenkomst inzake geneeskundige behandeling dan wel dan wel met een andere gerechtvaardigde grondslag;
• Het vervullen van haar rol als werkgever voor de werknemers, zowel vast als flexibel, waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen behoren: het opbouwen en beheren van personeelsdossiers en verzuimdossiers, salarisadministratie, het voldoen aan verplichtingen in het kader van re-integratie, het beoordelen van geschiktheid van werknemers bij mogelijke indiensttreding;
• Het vervullen van haar rol als werkgever voor de sollicitant waartoe gegevens worden verwerkt met als doel om te beoordelen of de sollicitant geschikt is voor een functie die vacant is of kan komen, de afhandeling van de door de sollicitant gemaakte onkosten, interne controle of bedrijfsbeveiliging, de uitvoering of toepassing van een andere wet.
• Het vervullen van haar rol als opdrachtnemer voor zorgverzekeraars, zorgkantoor en gemeenten op het gebied van het leveren van verpleging, verzorging, thuisbegeleiding en hulp bij het huishouden. STMG en bovengenoemde partijen zijn tegenover elkaar gehouden tot het over en weer verstrekken van die informatie die voor de andere partij redelijkerwijs noodzakelijk is voor een correcte uitvoering van de overeenkomst.
• Het verstrekken van gegevens van werknemers aan de Rijksoverheid, daar waar dit gevraagd wordt/vereist is, bijvoorbeeld voor het verkrijgen van een verklaring omtrent gedrag voor medewerkers;
• Het verstrekken van gegevens aan verwerkers (zie pagina 3; inschakelen van verwerkers) van STMG, hetgeen noodzakelijk is voor de uitvoering van een overeenkomst tussen STMG en deze verwerker. Een verwerker van STMG dient altijd een verwerkersovereenkomst te ondertekenen waarin de rechten van de betrokkenen voldoende geborgd zijn en de verwerker verplicht wordt de gegevens passend te beveiligen. Wanneer persoonsgegevens worden verwerkt zonder dat het onder een van bovenstaande doeleinden valt, vindt te allen tijde een toets plaats om te beoordelen of één van de wettelijke doeleinden van toepassing is en of een rechtmatige grondslag bestaat voor verwerking.

Verwerking van persoonsgegevens: klanten

De verwerking van persoonsgegevens binnen STMG vindt voornamelijk plaats op het gebied van het primaire proces, het leveren van zorg voor de klant. STMG verwerkt van haar klanten uitsluitend gegevens die nodig zijn voor het leveren van zorg. Gedurende het leveren van zorg (tijdens het uitvoeren van de zorg- en dienstverleningsovereenkomst tussen klant en STMG) en de wettelijke bewaartermijnen na het eindigen van de zorg bewaart STMG het cliëntdossier.

Verwerking van persoonsgegevens: medewerkers en zakelijke relaties

De verwerking van persoonsgegevens binnen STMG vindt ook plaats op het gebied van HR processen. STMG verwerkt van haar werknemers uitsluitend gegevens die nodig voor het aanleggen en onderhouden van het personeels- en eventueel verzuimdossier. Gedurende het dienstverband en de wettelijke bewaartermijnen na het eindigen van het dienstverband bewaart STMG, naast de noodzakelijke basisgegevens van werknemers, in het dossier een kopie van het ID-bewijs, referenties en getuigschriften en indien nodig/van toepassing pre-screening documentatie etc.. Daarnaast worden er gegevens van zakelijke relaties verwerkt, namelijk van samenwerkingspartners en leveranciers. De gegevens die STMG verwerkt van haar zakelijke relaties zijn veelal bedrijfsgegevens en vallen niet onder de AVG. De gegevens van contactpersonen (naam, contactgegevens, functie) van alle zakelijke relaties vallen wel onder de AVG. STMG gaat met alle gegevens zeer zorgvuldig om. Ook de bedrijfsgegevens worden vertrouwelijk behandeld.

Verstrekken van gegevens aan derden

Het verstrekken van persoonsgegevens aan derden kan noodzakelijk zijn om uitvoering te geven aan een overeenkomst, dan wel om wet- en regelgeving na te leven. Deze verstrekking geschiedt met het doel om zorg te kunnen leveren, ten behoeve van de gezondheid van onze medewerkers en het terugdringen van verzuim en het verbeteren van arbeidsomstandigheden. STMG verstrekt in geen enkel geval persoonsgegevens aan derden ten behoeve van commercieel gewin. Als de wet dit vereist zal STMG gegevens verstrekken aan de Rijksoverheid of handhavingsinstanties.

Inschakelen van verwerkers

Voor het uitvoeren van haar werkgeversrol kan STMG gebruik maken van of diensten uitbesteden aan derden. Voorbeeld hiervan is het uitbesteden van ICT-beheer. Deze derden kunnen persoonsgegevens verwerken, waardoor zij als verwerker worden aangemerkt volgens de AVG. STMG eist van haar verwerkers een hoog niveau van bescherming van persoonsgegevens. De lat ligt voor verwerkers hoger dan voor STMG zelf, aangezien de gegevens buiten de STMG omgeving worden gebracht en verwerkingen dus minder in het zicht van STMG plaatsvinden. Verwerkers worden mede geselecteerd op hun privacy beleid, afspraken worden contractueel vastgelegd en indien daartoe aanleiding is wordt de nakoming ervan gecontroleerd.

Informatiebeveiliging

De meeste gegevens die worden verwerkt binnen STMG zijn gegevens van klanten en medewerkers. Dat betekent dat de risico’s ten aanzien van die gegevens het grootst zijn. STMG focust daarom op beveiliging van de ICT-processen en -systemen en het beschermen van de privacy van haar klanten en werknemers. Deze focus uit zich in beveiliging, die met name gericht is op de centrale technische infrastructuur, waar het ICT Platform, het automatiseringssysteem en de toegang tot de centrale omgeving vanaf decentrale locaties onder vallen. De beveiliging is gericht op de bescherming van informatie zelf en de middelen waarop het wordt opgeslagen zoals verschillende informatiesystemen, hardware, operating systems, databases, bedrijfsnetwerken en de fysieke locaties.

Cookies

STMG maakt op haar bedrijfswebsites geen gebruik van functionele cookies en/of web statistieken cookies. Op de intranetwebsite waar medewerkers toegang toe hebben, wordt slechts gebruik gemaakt van functionele cookies met als doel informatie te krijgen over het technisch functioneren van het intranet. Het gebruik van deze cookies heeft geen gevolgen voor de bezoekers van het intranet, omdat met deze cookies geen persoonsgegevens worden verwerkt.

Bewaarbeleid

Gegevens worden niet langer bewaard dan de bewaartermijnen die in de wet dan wel in het Vrijstellingsbesluit van de Autoriteit Persoonsgegevens zijn bepaald. STMG hanteert een bewaarbeleid waarin alle termijnen die voor gegevenswerkingen gelden zijn vastgelegd.

Inzage, wijzigen, wissen persoonsgegevens klanten en medewerkers (recht van betrokkene)

Cliënten van STMG hebben het recht op inzage, rectificatie, gegevenswisseling, beperking, overdraagbaarheid, bezwaar en recht op niet geautomatiseerde besluitvorming. Verzoeken tot wijziging, verwijdering of het verkrijgen van een kopie van de gegevens kunnen bij de centrale klantenservice worden aangevraagd. Bereikbaar via 0800-4560900.

Medewerkers van STMG hebben tevens het recht op inzage, rectificatie, gegevenswissing, beperking, overdraagbaarheid, bezwaar en recht op niet geautomatiseerde besluitvorming. Medewerkers hebben toegang tot hun eigen personeelsdossier. Verzoeken tot wijziging, verwijdering of het verkrijgen van een kopie van de gegevens kunnen bij de HR afdeling worden ingediend.

Klachten

Klachten van medewerkers of vermoedelijke misstanden ten aanzien van het verwerken van persoonsgegevens binnen STMG kunnen worden gemeld bij de privacy officer, bereikbaar via 088 - 4560900. Als de bemiddeling niet het gewenste resultaat heeft, kan de klacht worden voorgelegd aan de Autoriteit Persoonsgegevens te Den Haag. Voor meer informatie zie de klachtenregeling van STMG op www.stmg.nl.

Tot slot

STMG behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy statement. Deze versie is vastgesteld op 9 april 2020.