Privacy Statement STMG

Omgang met persoonsgegevens

In de dienstverlening die STMG levert, staan mensen centraal. Voor STMG worden met 5000 cliënten en 1200 medewerkers persoonsgegevens verwerkt. STMG levert zorg bij klanten thuis en er wordt met vele externe partners samengewerkt ten behoeve van haar dienstverlening. Denk hierbij aan bijvoorbeeld huisartsen, ziekenhuizen en sociale wijkteams. Ter bescherming van alle medewerkers, het bedrijf en haar partners neemt STMG privacy zeer serieus. Ten aanzien van het onderwerp privacy en bescherming persoonsgegevens hanteert STMG in haar bedrijfsvoering een ‘risk-based approach’. Dat wil zeggen dat zij zich niet puur en alleen richt op de naleving van wetten en regels, maar zich focust op de meest omvangrijke en risicovolle verwerkingen en de beveiliging daarvan. STMG realiseert zich dat het beschermen van persoonsgegevens en het privacy-proof houden van haar organisatie een dynamisch proces is met vele uitdagingen. De verwerking van persoonsgegevens van onze cliënten en werknemers is het meest omvangrijk en risicovol. Daar ligt de focus van STMG. Tevens wordt er veel waarde gehecht aan het creëren van bewustzijn op de werkvloer ten aanzien van een zorgvuldige omgang met alle gegevens. STMG is constant op zoek en zal streven naar de juiste balans tussen compliance - het voldoen aan wet- en regelgeving - en het behouden van een werkbare situatie voor alle betrokkenen, met voldoende ruimte voor ondernemen en passie voor dienstverlening.

Doeleinden van verwerking

STMG verzamelt en verwerkt persoonsgegevens voor de volgende doeleinden: 

• Het vervullen van haar rol als zorgaanbieder voor de (particuliere) cliënten waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen behoren: het beheren en verwerken van gegevens van klanten in het elektronisch cliëntendossier. Het betreft hier het verwerken van gegevens betreffende de gezondheid van klanten. Deze verwerking is gerechtvaardigd door de uitzondering in de Algemene Verordening Gegevensbescherming (AVG) op het verbod deze gegevens te verwerken, wanneer dit gebeurt door instellingen in de gezondheidszorg. De verwerking geschiedt ter uitvoering van de overeenkomst inzake geneeskundige behandeling dan wel dan wel met een andere gerechtvaardigde grondslag;
  
  
• Het vervullen van haar rol als werkgever voor de werknemers, zowel vast als flexibel, waartoe in ieder geval maar niet uitsluitend de volgende verwerkingen behoren: het opbouwen en beheren van personeelsdossiers en verzuimdossiers, salarisadministratie, het voldoen aan verplichtingen in het kader van re-integratie, het beoordelen van geschiktheid van werknemers bij mogelijke indiensttreding;
  
  
• Het vervullen van haar rol als werkgever voor de sollicitant waartoe gegevens worden verwerkt met als doel om te beoordelen of de sollicitant geschikt is voor een functie die vacant is of kan komen, de afhandeling van de door de sollicitant gemaakte onkosten, interne controle of bedrijfsbeveiliging, de uitvoering of toepassing van een andere wet;
  
  
• Het vervullen van haar rol als opdrachtnemer voor zorgverzekeraars, zorgkantoor en gemeenten op het gebied van het leveren van verpleging, verzorging, thuisbegeleiding en hulp bij het huishouden. STMG en bovengenoemde partijen zijn tegenover elkaar gehouden tot het over en weer verstrekken van die informatie die voor de andere partij redelijkerwijs noodzakelijk is voor een correcte uitvoering van de overeenkomst;
  
  
• Het uitwisselen van gegevens binnen de organisatie Vebego B.V., waarvan STMG onderdeel uitmaakt, en de dochtermaatschappijen ten behoeve van de optimalisatie van de dienstverlening;
  
  
• Het verstrekken van gegevens van werknemers aan de Rijksoverheid, daar waar dit gevraagd wordt/vereist is, bijvoorbeeld voor het verkrijgen van een verklaring omtrent gedrag voor medewerkers;
  
  
• Het volgen of controleren van werknemers, bijvoorbeeld met een personeelsvolgsysteem. Dit gebeurt enkel wanneer er een concrete aanleiding voor bestaat en dit nodig is om incidenten te onderzoeken. Hierbij zal altijd een toets plaatsvinden en allereerst worden gekeken of het probleem/incident met minder ingrijpende middelen kan worden opgelost;
  
  
• Het verstrekken van gegevens aan verwerkers (zie pagina 3; inschakelen van verwerkers) van STMG, hetgeen noodzakelijk is voor de uitvoering van een overeenkomst tussen STMG en deze verwerker. Een verwerker van STMG dient altijd een verwerkersovereenkomst te ondertekenen waarin de rechten van de betrokkenen voldoende geborgd zijn en de verwerker verplicht wordt de gegevens passend te beveiligen. Wanneer persoonsgegevens worden verwerkt zonder dat het onder een van bovenstaande doeleinden valt, vindt te allen tijde een toets plaats om te beoordelen of één van de wettelijke doeleinden van toepassing is en of een rechtmatige grondslag bestaat voor verwerking.
  
  
• Het versturen van nieuwsbrieven om bestaande klanten en andere betrokkenen - die hebben aangegeven om de nieuwsbrief te willen ontvangen - op de hoogte te houden van ontwikkelingen en aanbiedingen. De mogelijkheid om af te melden voor de nieuwsbrief is aanwezig. De emailadressen worden uitsluitend gebruikt voor de dienstverlening van STMG en worden niet, zonder toestemming, verstrekt aan derden.

Deze verwerkingen hebben ten alle tijden een wettelijke grondslag, zoals uw toestemming, noodzakelijk in het kader van de uitvoering van een overeenkomst (of precontractuele maatregelen) waarbij u partij bent, noodzakelijk om te voldoen aan onze wettelijke (bewaar)plicht, dan wel noodzakelijk ter behartiging van ons gerechtvaardigde bedrijfsbelang, welke wij altijd zullen afwegen tegen uw recht op privacy.

Wanneer persoonsgegevens worden verwerkt zonder dat het onder een van bovenstaande doeleinden valt, vindt ten allen tijde een toets plaats om te beoordelen of een van de wettelijke doeleinden van toepassing is en of een rechtmatige grondslag bestaat voor verwerking.

Verwerking van persoonsgegevens: klanten

STMG verwerkt, afhankelijk van de noodzaak, onder andere de volgende persoonsgegevens:

• Voornaam
• Achternaam
• BSN
• Geboortedatum
• E-mailadres
• Telefoonnummer
• Geslacht
• (Woon)adres
• IP-adres

De verwerking van persoonsgegevens binnen STMG vindt voornamelijk plaats op het gebied van het primaire proces, het leveren van zorg voor de klant. STMG verwerkt van haar klanten uitsluitend gegevens die nodig zijn voor het leveren van zorg. Gedurende het leveren van zorg (tijdens het uitvoeren van de zorg- en dienstverleningsovereenkomst tussen klant en STMG) en de wettelijke bewaartermijnen na het eindigen van de zorg bewaart STMG het cliëntdossier.

Verwerking van persoonsgegevens: medewerkers en zakelijke relaties

De verwerking van persoonsgegevens binnen STMG vindt ook plaats op het gebied van HR processen. STMG verwerkt van haar werknemers uitsluitend gegevens die nodig voor het aanleggen en onderhouden van het personeels- en eventueel verzuimdossier. Gedurende het dienstverband en de wettelijke bewaartermijnen na het eindigen van het dienstverband bewaart STMG, naast de noodzakelijke basisgegevens van werknemers, in het dossier een kopie van het ID-bewijs, referenties en getuigschriften en indien nodig/van toepassing pre-screening documentatie, A1-verklaringen, verblijfsvergunningen, tewerkstellingsvergunningen, notificaties of VAR-verklaringen. Daarnaast worden er gegevens van zakelijke relaties verwerkt, namelijk van samenwerkingspartners en leveranciers. De gegevens die STMG verwerkt van haar zakelijke relaties zijn veelal bedrijfsgegevens en vallen niet onder de AVG. De gegevens van contactpersonen (naam, contactgegevens, functie) van alle zakelijke relaties vallen wel onder de AVG. STMG gaat met alle gegevens zeer zorgvuldig om. Ook de bedrijfsgegevens worden vertrouwelijk behandeld.

Verstrekken van gegevens aan derden

Het verstrekken van persoonsgegevens aan derden kan noodzakelijk zijn om uitvoering te geven aan een overeenkomst, dan wel om wet- en regelgeving na te leven. Deze verstrekking geschiedt met het doel om zorg te kunnen leveren, ten behoeve van de gezondheid van onze medewerkers en het terugdringen van verzuim en het verbeteren van arbeidsomstandigheden. STMG verstrekt in geen enkel geval persoonsgegevens aan derden ten behoeve van commercieel gewin. Als de wet dit vereist zal STMG gegevens verstrekken aan de Rijksoverheid of handhavingsinstanties.

Inschakelen van (sub-)verwerkers

STMG maakt gebruik van sub-verwerkers om de dienstverlening uit te voeren. Voor het uitvoeren van haar werkgeversrol kan STMG gebruik maken van of diensten uitbesteden aan derden. Voorbeelden hiervan zijn het uitbesteden van: loonadministratie, ICT-beheer en strategische personeelsplanning Deze derden kunnen persoonsgegevens verwerken, waardoor zij als verwerker worden aangemerkt volgens de AVG. STMG eist van haar verwerkers een hoog niveau van bescherming van persoonsgegevens. De lat ligt voor verwerkers hoger dan voor STMG zelf, aangezien de gegevens buiten de STMG omgeving worden gebracht en verwerkingen dus minder in het zicht van STMG plaatsvinden. Verwerkers worden mede geselecteerd op hun privacy beleid, afspraken worden contractueel vastgelegd en indien daartoe aanleiding is wordt de nakoming ervan gecontroleerd.

Informatiebeveiliging

De meeste gegevens die worden verwerkt binnen STMG zijn gegevens van klanten en medewerkers. Dat betekent dat de risico’s ten aanzien van die gegevens het grootst zijn. STMG focust daarom op beveiliging van de ICT-processen en -systemen en het beschermen van de privacy van haar klanten en werknemers. Deze focus uit zich in beveiliging, die met name gericht is op de centrale technische infrastructuur, waar het ICT Platform, het automatiseringssysteem en de toegang tot de centrale omgeving vanaf decentrale locaties onder vallen. De beveiliging is gericht op de bescherming van informatie zelf en de middelen waarop het wordt opgeslagen zoals verschillende informatiesystemen, hardware, operating systems, databases, bedrijfsnetwerken en de fysieke locaties. STMG neemt ten alle tijden technische en organisatorische maatregelen om misbruik, verlies en onbevoegde toegang, met alle gevolgen van dien, met persoonsgegevens te voorkomen.

Cookies

STMG maakt op haar bedrijfswebsite(s) gebruik van functionele cookies en/of web statistieken cookies. We gebruiken cookies om content en advertenties te personaliseren, om functies voor social-media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social-media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Cookies zijn kleine tekstbestanden die door websites kunnen worden gebruikt om gebruikerservaringen efficiënter te maken.

Volgens de wet mogen wij cookies op uw apparaat opslaan als ze strikt noodzakelijk zijn voor het gebruik van de site. Voor alle andere soorten cookies hebben we uw toestemming nodig. Deze website maakt gebruik van verschillende soorten cookies. Sommige cookies worden geplaatst door diensten van derden die op onze pagina's worden weergegeven. Via de cookiebanner op onze website kunt u uw toestemming op elk moment wijzigen of intrekken. Zie onderaan deze pagina ‘Reset cookies’.

Uw toestemming geldt voor de volgende domeinen: www.stmg.nl en www.werkenbijstmg.nl

Op de intranetwebsites waar medewerkers toegang toe hebben, wordt slechts gebruik gemaakt van functionele cookies met als doel informatie te krijgen over het technisch functioneren van het intranet. Het gebruik van deze cookies heeft geen gevolgen voor de persoonlijke levenssfeer van de bezoekers van intranet, omdat met deze cookies geen persoonsgegevens worden verwerkt.

Bewaarbeleid

Gegevens worden niet langer bewaard dan de bewaartermijnen die in de wet dan wel in het Vrijstellingsbesluit van de Autoriteit Persoonsgegevens zijn bepaald. STMG hanteert een bewaarbeleid waarin alle termijnen die voor gegevenswerkingen gelden zijn vastgelegd.

Inzage, wijzigen, wissen persoonsgegevens (recht van betrokkene)

Betrokkenen hebben het recht om:

• Een verzoek tot inzage in de verwerkte persoonsgegevens te doen.
• Een verzoek te doen tot rectificatie of verwijdering van persoonsgegevens te doen.
• Het recht op beperking van de u betreffende verwerking.
• Het recht om bezwaar te maken tegen de verwerking en het recht op  gegevensoverdraagbaarheid.

Verzoeken zoals hierboven genoemd met betrekking tot cliëntgegevens kunnen bij de centrale klantenservice worden aangevraagd. Bereikbaar via 0800-4560900.

Verzoeken zoals hierboven genoemd met betrekking tot medewerkersgegevens kunnen worden ingediend door een mail te sturen naar de HR afdeling. Tevens hebben medewerkers toegang tot hun eigen personeelsdossier.

Zakelijke relaties kunnen bij hun contactpersoon binnen STMG een verzoek indienen omtrent de bovengenoemde rechten. De contactpersoon zal dit verzoek delen met de Privacy Officer van STMG, die binnen uiterlijk één maand een reactie geeft op het verzoek. Het kan mogelijk zo zijn dat er aanvullende informatie en/of documentatie (onder andere ten behoeve van het controleren van de identiteit van de indiener) nodig is om het verzoek in behandeling te nemen.  

Klachten of vermoedelijke misstanden ten aanzien van het verwerken van persoonsgegevens binnen STMG kunnen worden gemeld bij de contactpersoon binnen STMG, dan wel bij de Autoriteit Persoonsgegevens te Den Haag, dan wel bij de Privacy Officer van STMG.

Contactgegevens

Klachten van medewerkers of vermoedelijke misstanden ten aanzien van het verwerken van persoonsgegevens binnen STMG kunnen worden gemeld bij de Functionaris Gegevensbescherming via privacy@stmg.nl. Als de bemiddeling niet het gewenste resultaat heeft, kan de klacht worden voorgelegd aan de Autoriteit Persoonsgegevens te Den Haag. Voor meer informatie zie de klachtenregeling van STMG op www.stmg.nl.

Tot slot

STMG behoudt zich het recht voor om wijzigingen aan te brengen in dit Privacy Statement. De wijzigingen worden bekend gemaakt via de website en vervangen daarmee de voorgaande versie.

Laatst gewijzigd: 10-07-2025.