Monitor @Work Reglement bescherming persoonsgegevens SKB Amsterdam, maart 2007
Inhoudsopgave 1 Inleiding...2 2 De gouden regels... 2 3 Begripsbepalingen... 3 4 Toepassingsbeleid... 4 5 Verwerking van persoonsgegevens... 4 6 Verwerking van Medische gegevens... 5 7 Rechten Respondenten... 6 8 Verstrekking van Persoonsgegevens... 6 9 Bewaren en vernietigen van Persoonsgegevens... 7 10 Beveiliging... 7 11 Beroepscommissie... 8
pagina 2 van 8 1. Inleiding In dit reglement staat beschreven hoe binnen SKB Vragenlijst Services (SKB) wordt omgegaan met Persoonsgegevens die zij ten behoeve van, dan wel gedurende de verwerking van onderzoeken verzamelt dan wel verkrijgt. Dit reglement heeft als doel de (nieuwe) medewerkers en cliënten van SKB hierover te informeren. Op verzoek is dit reglement beschikbaar voor Respondenten in de onderzoeken van SKB. SKB is lid van de brancheorganisatie MarktOnderzoekAssociatie (MOA). De MOA heeft gezamenlijk met de Vereniging voor Beleidsonderzoek en de Vereniging voor Statistiek en Onderzoek de Gedragscode Onderzoek en Statistiek vastgesteld. Deze code richt zich op kwantitatief en/of kwalitatief Onderzoek waarmee wordt beoogd over doelgroepen of populaties uitspraken te doen op niet-individueel identificeerbaar niveau. Bij hantering van deze code wordt door de onderzoeksbranche voldaan aan de eisen van de Wet Bescherming Persoonsgegevens. Het College Bescherming Persoonsgegevens heeft de Gedragscode Onderzoek en Statistiek officieel van een goedkeurende verklaring voorzien (gepubliceerd in de Staatscourant 2004, nr. 36). Waar mogelijk deze code toegepast kan worden op de activiteiten van SKB, nl. Onderzoek met rapportages op niet-individueel identificeerbaar niveau, conformeert SKB zich volledig aan deze code. Dit reglement bescherming Persoonsgegevens beschrijft de toepassing van de Gedragscode Onderzoek en Statistiek binnen SKB. Daarnaast vult het reglement de code aan voor de activiteiten van SKB die niet door de code gedekt worden, bijvoorbeeld voor de verwerking van onderzoeken waarbij gerapporteerd wordt over identificeerbare individuen aan bijvoorbeeld (bedrijfs)artsen. Dit reglement treedt in werking per 5 maart 2007 en vervangt alle eerdere afspraken omtrent de bescherming van Persoonsgegevens binnen SKB. 2. De gouden regels De volgende bepalingen worden binnen SKB ten alle tijde nageleefd. Informeer de Respondent over het doel van het Onderzoek. Bejegen de Respondent die aan het Onderzoek deelneemt met respect, ook wanneer hij niet wenst deel te nemen, een weigering is een weigering. Verzamel niet meer gegevens dan noodzakelijk voor de uitvoering van het Onderzoek. Extra zorgvuldigheid is geboden bij het verzamelen en verwerken van gegevens omtrent iemands gezondheid. Verzamel en verwerk geen Persoonsgegevens omtrent iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede Persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke Persoonsgegevens en Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
pagina 3 van 8 Verwerk gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de uitvoering van het Onderzoek, anonimiseer zo snel mogelijk. Rapporteer niet over individuele Respondenten met identificeerbare gegevens tenzij (1) de Respondent daarvoor ondubbelzinnige toestemming heeft gegeven; of (2) deze rapportage noodzakelijk is vanwege een wettelijke verplichting of een overeenkomst met de Respondent; of (3) er sprake is van een geval waarin de wet voorziet (zie 5.7). Neem technische en organisatorische maatregelen ter beveiliging van de verzamelde gegevens tegen onrechtmatig gebruik. Houd alle Persoonsgegevens die worden verzameld en bewerkt geheim en verstrek Persoonsgegevens alleen aan geautoriseerde functionarissen. Deze bepalingen zijn gebaseerd op De gouden regels uit de Gedragscode voor Onderzoek en Statistiek en aangepast aan de activiteiten van SKB. 3. Begripsbepalingen Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Verwerking van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens. Bestand: elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. Bewerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Opdrachtgever: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat zelf Onderzoek uitvoert of opdracht verleent aan SKB om Onderzoek uit te voeren. Respondent: degene op wie een Persoonsgegeven betrekking heeft. Toestemming van de Respondent: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Respondent aanvaardt dat hem betreffende Persoonsgegevens worden verwerkt. Verzamelen van Persoonsgegevens: het verkrijgen van Persoonsgegevens.
pagina 4 van 8 Medische gegevens: Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van de Respondent. Onderzoek: iedere vorm van kwantitatief en/of kwalitatief Onderzoek met gebruikmaking van statistische of andere wetenschappelijke methodes waarmee wordt beoogd om over doelgroepen, populaties en/of individuen uitspraken te doen. de Wet: de Wet bescherming persoonsgegevens, Staatsblad 2000, nr 302. Vrijstellingsbesluit: het Vrijstellingsbesluit Wbp, Staatsblad 2001, nr. 250. Beroepscommissie: de instantie die belast is met de behandeling van klachten tussen een Respondent en SKB inzake de naleving van de Gedragscode voor Onderzoek en Statistiek. SKB: SKB Vragenlijst Services B.V., gevestigd te Amsterdam. 4. Toepassingsbeleid Dit reglement is van toepassing op elke verwerking van Persoonsgegevens binnen SKB. 5. Verwerking van persoonsgegevens 1. SKB verricht Onderzoek in opdracht van een Opdrachtgever met een Bestand van de Opdrachtgever en wordt aangemerkt als Bewerker tenzij uit de aard van de dienstverlening of de inhoud van de uitbestedingsovereenkomst anders blijkt. 2. De Verantwoordelijke zorgt voor melding bij het College bescherming Persoonsgegevens van de gegevensbewerking, tenzij deze is vrijgesteld op basis van het Vrijstellingsbesluit. 3. Verantwoordelijke en Bewerker dragen er zorg voor dat Persoonsgegevens in overeenstemming met de Wet, de Gedragscode voor Onderzoek en Statistiek en dit reglement worden verwerkt. 4. Er worden niet meer Persoonsgegevens verzameld bij het uitvoeren van Onderzoek dan noodzakelijk voor het Onderzoek. 5. Persoonsgegevens worden niet langer dan noodzakelijk is in identificeerbare vorm verwerkt voor het Onderzoek. 6. Persoonsgegevens worden niet voor andere doelen verwerkt dan de doelstellingen van het Onderzoek waarvoor deze zijn verzameld. 7. De rapportage van Onderzoek zal nimmer gegevens bevatten die een natuurlijke persoon kunnen identificeren, tenzij om redenen genoemd in de Wet: a. de Respondent voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, of; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Respondent partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of; c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de Verantwoordelijke onderworpen is, of;
pagina 5 van 8 d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de Respondent, of; e. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de Verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Respondent, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. 8. Indien gegevens rechtstreeks worden verzameld bij de Respondent zal worden medegedeeld: a) wat de doelen van het Onderzoek zijn; b) dat SKB uitvoerder is van het Onderzoek; c) de naam van de Opdrachtgever. 9. Indien de Respondent daarom verzoekt wordt medegedeeld waar nadere informatie over het Onderzoek kan worden verkregen. 10. Persoonsgegevens die door SKB worden verwerkt zijn verzameld door de Opdrachtgever en/of verstrekt door de Respondent middels beantwoording van een vragenlijst op papier of in digitale vorm. 11. De navolgende Persoonsgegevens kunnen door de Bewerker worden verwerkt met inachtneming van het bepaalde in dit reglement: a) naam en geboortedatum; b) adres, plaats, telefoonnummer, emailadres; c) geslacht, burgerlijke staat, geboorteland, nationaliteit, (moeder)taal; d) bedrijf / instelling, afdeling, functie, aard dienstverband, datum indiensttreding; e) personeelsnummer, sofi-nummer; f) naam, adres, woonplaats en telefoonnummer van bedrijfsarts en/of arbodienst; g) werkbeleving, gezondheidsbeleving, arbeidsomstandigheden; h) resultaten van gezondheidsonderzoeken: i) overige gegevens relevant voor de doelen van het Onderzoek. 12. SKB verwerkt geen Persoonsgegevens omtrent iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede Persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke Persoonsgegevens en Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. 13. Een kind beneden de leeftijd van vijftien jaar, tenzij een kind werknemer is van een bedrijf of instelling, zal nimmer een Respondent zijn bij een Onderzoek. 6. Verwerking van Medische gegevens Het verwerken van Medische gegevens voor Onderzoek is toegestaan indien zich een van de onderstaande situaties voordoet: 1. Het uitvoeren van een Onderzoek waarbij Medische gegevens worden verwerkt is toegestaan als de Respondenten hun uitdrukkelijke toestemming daarvoor hebben gegeven. 2. Het uitvoeren van een Onderzoek zonder uitdrukkelijke toestemming van de Respondent waarbij Medische gegevens worden verwerkt is toegestaan om redenen genoemd in de Wet, namelijk indien de Verantwoordelijke een bestuursorgaan, pensioenfonds, werkgever of instelling is, en de verwerking van de Medische gegevens noodzakelijk is voor:
pagina 6 van 8 a) een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de Respondent, of; b) de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. 3. Het uitvoeren van een Onderzoek zonder uitdrukkelijke toestemming van de Respondent waarbij Medische gegevens worden verwerkt is toegestaan indien deze gegevens op een zodanige wijze worden aangeleverd aan SKB dat de gegevens een individueel natuurlijke persoon niet kunnen identificeren. 4. De rapportage van Medische gegevens dient te geschieden aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. 7. Rechten Respondenten 1. Indien SKB als Bewerker een verzoek ontvangt om inzage, correctie of afscherming van Persoonsgegevens zal zij de Respondent doorverwijzen naar de Verantwoordelijke in casu de Opdrachtgever. 2. Indien SKB zelf als Verantwoordelijke wordt aangemerkt van het gebruikte Bestand dan zal zij zelf zorgdragen voor de afhandeling van het verzoek van de Respondent. 3. De Verantwoordelijke zal voor zover naar redelijkheid en billijkheid kan worden gevergd voldoen aan het verzoek van de Respondent. 4. Een Respondent kan met een beroep op bijzondere persoonlijke omstandigheden zijn Persoonsgegevens afschermen tegen verdere verwerking voor Onderzoeksdoeleinden. Indien deze bijzondere persoonlijke omstandigheden van een hoger belang zijn dan de belangen van de Verantwoordelijke zal een dergelijk verzoek worden gehonoreerd door de Verantwoordelijke. 8. Verstrekking van Persoonsgegevens 1. Met toestemming van de Verantwoordelijke kan SKB beslissen dat Persoonsgegevens worden verstrekt ten behoeve van statistiek en wetenschappelijk Onderzoek indien deze Persoonsgegevens zodanig zijn bewerkt dat deze niet tot individuele personen herleidbaar zijn. 2. Ten behoeve van statistiek en wetenschappelijk Onderzoek worden geen andere Persoonsgegevens verstrekt dan volgens het Vrijstellingsbesluit is bepaald ten aanzien van Wetenschappelijk Onderzoek en statistiek, namelijk: a) geslacht, geboortejaar, woonplaats; b) een informatieloos administratienummer; c) andere dan de onder a en b bedoelde gegevens, die ten behoeve van een bepaald Onderzoek of een bepaalde statistiek zijn verkregen. 3. Persoonsgegevens ten behoeve van statistiek en wetenschappelijk Onderzoek kunnen zonder toestemming van de Respondent worden verstrekt, indien aan de volgende voorwaarden is voldaan: a) het Onderzoek een algemeen belang dient, en; b) het Onderzoek niet zonder de gegevens kan worden uitgevoerd, en; c) het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en;
pagina 7 van 8 d) bij de uitvoering is voorzien van zodanig waarborgen dat de persoonlijke levenssfeer van de Respondent niet onevenredig wordt geschaad, en; e) de Respondent niet uitdrukkelijk bezwaar heeft gemaakt tegen de verstrekking van de Persoonsgegevens. 4. Bij verstrekking van gegevens ten behoeve van statistiek en wetenschappelijk Onderzoek zal SKB deugdelijke afspraken maken met de ontvanger teneinde te verzekeren dat de verdere verwerking van de verstrekte Persoonsgegevens uitsluitend geschiedt ten behoeve van de specifieke doeleinden. 5. In andere gevallen dan de in artikel 8.1 tot en met 8.3 genoemde gevallen en de in artikel 5.7 genoemde individuele rapportage is voor verstrekking van Persoonsgegevens aan derden de toestemming van de Respondent vereist, of dienen de Persoonsgegevens zodanig geanonimiseerd te zijn dat herleiding redelijkerwijs onmogelijk is. 9. Bewaren en vernietigen van Persoonsgegevens 1. Met inachtneming van wettelijke voorschriften stelt de Verantwoordelijke vast hoe lang de Persoonsgegevens van een Onderzoek bewaard blijven. Tenzij anders bepaald eindigt de bewaartermijn zes maanden na rapportage van een Onderzoek aan de Opdrachtgever. 2. Indien de bewaartermijn is verstreken worden de Persoonsgegevens binnen zes maanden uit het Bestand verwijderd en vernietigd. 3. De Verantwoordelijke heeft het recht om SKB te verzoeken om vernietiging van bepaalde of alle Persoonsgegevens uit een Onderzoek. SKB kan het verzoek slechts weigeren indien bewaring van de gegevens op grond van een wettelijk voorschrift vereist is, dan wel indien terzake van de dienstverlening een geschil is gemaakt of dreigt te worden gemaakt. 4. Indien het verzoek van een Verantwoordelijke of Respondent wordt ingewilligd, worden de Persoonsgegevens, hetzij vernietigd, hetzij zodanig geanonimiseerd, dat herleiding redelijkerwijs onmogelijk is. 10. Beveiliging SKB draagt in de hoedanigheid van Bewerker of Verantwoordelijke zorg voor het nemen van organisatorische en technische maatregelen ter beveiliging van de verwerking, daarbij rekening houdend met de stand der techniek, de kosten en de aard van de te beschermen Persoonsgegevens. 1. Een ieder die betrokken is bij het verwerken van Persoonsgegevens voor Onderzoek zal een geheimhoudingsverklaring ten aanzien van de betrokken Persoonsgegevens ondertekenen. 2. De beveiligingsmaatregelen van SKB hebben tot doel deze maatregelen dat personen die niet betrokken zijn bij de verwerking van Persoonsgegevens geen toegang hebben tot deze gegevens. 3. Hoewel SKB ten aanzien van de verwerking van Persoonsgegevens via internet alle mogelijke beveiligingsmaatregelen heeft genomen en zal nemen, zijn aan de verwerking van Persoonsgegevens via internet risico s verbonden die inherent zijn aan het internetgebruik in het maatschappelijk verkeer. 4. Indien SKB de Persoonsgegevens laat verwerken door een Bewerker, zal zij er voor zorgdragen dat deze Bewerker voldoende waarborgen biedt ten aanzien van de technische
pagina 8 van 8 en organisatorische beveiligingsmaatregelen met betrekking tot de verrichten verwerkingen. 11. Beroepscommissie Indien SKB in strijd handelt met de bepalingen uit de Gedragscode voor Onderzoek en Statistiek kan de Respondent over dit handelen of nalaten een geschil aanhangig maken bij de Beroepscommissie, ingesteld door de MarktOnderzoekAssociatie (MOA), de Vereniging voor Beleidsonderzoek (VBO) en de Vereniging voor Statistiek en Onderzoek (VSO). De werkwijze van de Beroepscommissie wordt geregeld in de Regeling Beroepscommissie uit de Gedragscode Onderzoek & Statistiek. Meer informatie is te verkrijgen via de website www.moaweb.nl