In januari 2017 heeft de Autoriteit Persoonsgegevens (AP) de agenda opgesteld voor het jaar 2017. Één van de agendapunten betreft het verbod op het verwerken van bijzondere persoonsgegevens. Gegevens over de gezondheid van natuurlijke personen is een persoonsgegeven van een bijzondere categorie. Het is voor werkgevers verboden gegevens over de gezondheid van de eigen werknemers te verwerken. Alleen bij specifieke uitzonderingsgrond mogen deze gegevens verwerkt worden. De vraag is dan ook hoe privacy proof is je ziekteverzuimbeleid?
Casus
Medio januari 2017 heeft de AP een dwangsom van max. € 50.000 opgelegd aan Stichting Abrona (Abrona). De reden: Abrona verwerkt gegevens over de gezondheid van haar medewerkers zonder geldige grondslag. De AP heeft de volgende overtredingen geconstateerd:
- Abrona heeft zelf in het ziekteverzuimsysteem gegevens als aard en oorzaak van de ziekte van de zieke werknemer vastgelegd, alsmede zwangerschap.
- De zieke werknemer heeft zelf in overleg met Abrona het ziektepercentage bepaalt en dit is door St. Abrona als zodanig verwerkt in het verzuimsysteem.
Vanuit het AP is aangeven dat dit niet mag. De wet schrijft voor welke gegevens de bedrijfsarts of arbodienst aan de werkgever mag verstrekken over het ziektebeeld van de werknemer:
- Werkzaamheden waartoe werknemer niet of wel in staat is (functionele beperkingen)
- Verwachte duur van het verzuim
- Mate van arbeidsongeschiktheid
- Eventuele aanpassingen of werkvoorzieningen die de werkgever moet treffen in het kader van re-integratie
Meer gegevens zijn voor de werkgever niet noodzakelijk voor de loondoorbetalingsverplichting, noch voor re-integratie/verzuimbegeleiding. Alle overige gegevens over de gezondheid van de werknemer vallen onder het medisch beroepsgeheim van de bedrijfsarts en mag niet aan de werkgever verstrekt worden.
Wat mag een werkgever wel?
Als werkgever mag je dus niet vragen naar aard en/of oorzaak van de ziekte van je werknemer en deze vervolgens registreren in het ziekteverzuimsysteem. Je mag alleen de volgende gegevens aan je werknemer vragen en verwerken:
- Vermoedelijke duur van het verzuim
- Lopende afspraken en werkzaamheden
- Telefoonnummer en verpleegadres
- Of de werknemer onder een vangnetbepaling van de ziektewet valt (niet welke!)
- Houdt de ziekte verband met een arbeidsongeval
- Is er sprake van een verkeersongeval, waarbij eventueel een aansprakelijke derde betrokken is
In het geval van zwangerschap mag verwerking in het ziekteverzuimsysteem alleen plaatsvinden, wanneer de werkneemster zelf de werkgever hiervan op de hoogte heeft gesteld. In bijzondere situaties als een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat collega’s weten hoe te handelen in geval van nood (bijv. epilepsie of suikerziekte), mag de werkgever de door de werknemer vrijwillig (!) verstrekte gegevens over diens ziekte registreren.
Verzuimsystemen
Veelal worden gegevens over de gezondheid van de werknemers vastgelegd in digitale verzuimsystemen. Een digitaal verzuimsysteem bevat een afgeschermd deel voor de Arboarts en een apart gedeelte voor de werkgever waarin géén gegevens over de gezondheid van een werknemer opvraagbaar zijn. Een verzuimsysteem dient minstens te voldoen aan de volgende beveiligingseisen:
- Als het systeem via internet wordt ontsloten, dan moet toegang tot het systeem met ten minste (!) tweefactor-authenticatie worden verkregen (naast een vaste pincode of wachtwoord ook nog een variabele code).
- Beveiligingsrisico’s dienen periodiek in kaart te worden gebracht (penetratietesten en/of securityscans).
Daarnaast gelden de volgende passende technische en organisatorische maatregelen:
- Autorisatie van gebruikers moet zodanig worden ingesteld, dat het onmogelijk is, dat personen die bepaalde medische gegevens niet mogen verwerken, daar ook geen toegang tot hebben.
- Een beheerder mag de persoonsgegevens niet gebruiken voor ontwikkeling en testen. Voor testen/ ontwikkeling mag beheerder alleen geanonimiseerde of dummy gegevens gebruiken.
- De werkgever mag bij ziekmelding alleen die gegevens verwerken die noodzakelijk zijn voor de begeleiding van de zieke werknemer.
- Het is voor de werkgever onmogelijk om rapportages uit te draaien waarin medische gegevens van personen staan die hij niet mag verwerken.
- De module waarin de bedrijfsarts werkt, mag onder geen beding toegankelijk zijn voor de werkgever.
- Alleen de beheerder van het systeem of de arbodienst mag inlogcodes uitgeven voor toegang tot het systeem.
Bewaartermijnen
Een hot item in de privacywetgeving is de bewaartermijn van persoonsgegevens. Die mogen namelijk niet langer bewaard worden dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:
Indien er sprake is van een arbeidsconflict of een geschil, dan mag de werkgever de administratieve gegevens m.b.t. verzuim langer bewaren dan 2 jaar.
Bent u al privacy proof?
De AP heeft aangekondigd dat het verbod op verwerken van bijzondere persoonsgegevens op de agenda van 2017 staat. U bent bij deze gewaarschuwd! Op 25 mei 2018 gaat ook de nieuwe Europese Privacywetgeving in: de Algemene Verordening Gegevensbescherming. Daarin gelden aangescherpte regels met betrekking tot verwerken persoonsgegevens en de daarbij horende risico’s op hogere boetes.
Uw privacy adviseur on demand!
Ik kan uw organisatie op de door u gewenste manier helpen de privacywetgeving in uw organisatie in te bedden. De privacy wetgeving wordt voor u vertaald naar een duidelijk en praktisch verhaal. U kunt kiezen om de te nemen stappen zelf uit te voeren of u hierin uitgebreid te laten begeleiden. Wilt u meer weten, neemt u dan contact met mij op.
