Bescherm privacy van zieken

Ook voor de privacy geldt: voorkomen is beter dan genezen.

De Algemene verordening gegevensbescherming (AVG) is onlangs ingegaan en dat heeft ook gevolgen voor uw organisatie. Onder de AVG heeft u te maken gekregen met strengere privacyregels bij het verwerken van persoonsgegevens. Dat geldt ook voor de gegevens van uw werknemers. Wat mag u doen met die informatie? En dan in het bijzonder: hoe moet u handelen bij het verwerken van gegevens van zieke werknemers?

Gegevens over ziekte en gezondheid zijn persoonlijk en privacygevoelig. Daarnaast zijn er bij ziekte en re-integratie verschillende partijen betrokken die (medische) gegevens van de zieke werknemer verwerken, zoals een bedrijfsarts of arbodienst. Het uitgangspunt van de AVG is dat uw organisatie geen gezondheidsgegevens van werknemers mag verwerken, tenzij hiervoor een uitzondering bestaat in de wet. Dit was overigens vóór de invoering van de AVG, onder de Wet bescherming persoonsgegevens (WBP), ook al het geval.

Noodzakelijk
Gezondheidsgegevens zijn over het algemeen privacygevoelig en vormen daarom een bijzondere categorie van persoonsgegevens die extra worden beschermd. Is een van de werknemers ziek, dan mag uw organisatie alleen gezondheidsgegevens verwerken voor zover die noodzakelijk zijn voor het doel van de verwerking. In uw geval zal dat zijn: het uitvoeren van wettelijke voorschriften. Een voorbeeld van een wettelijk voorschrift is de verplichting om het loon door te betalen bij ziekte of de verplichtingen die in het kader van de re-integratie op uw organisatie rusten.

Ziek
Meldt een werknemer zich ziek, dan mag u in ieder geval niet vragen naar de oorzaak of de aard van de ziekte.

Dit zijn gegevens die uitsluitend door iemand mogen worden verwerkt met een beroepsgeheim of verplicht is tot geheimhouding, zoals een bedrijfsarts. U mag wel vragen naar één van de volgende gegevens over de gezondheid van de zieke werknemers en deze vervolgens verwerken (dus noteren en opslaan):

  • de datum van de ziekmelding;
  • het telefoonnummer en het verblijf- of verpleegadres;
  • de vermoedelijke duur van het verzuim;
  • de lopende (werk)afspraken en werkzaamheden;
  • of de werknemer onder een van de zogenaamde ‘vangnetbepalingen’ van de Ziektewet valt;
  • als de werknemer twee maanden of langer in dienst is: of de werknemer eventueel onder een no-riskpolis valt;
  • of de ziekte verband houdt met een arbeidsongeval of een verkeersongeval.

Als uw werknemer bij de ziekmelding vertelt wat hem mankeert, is het advies om deze informatie niet te noteren. Zelfs als hij het uit zichzelf vertelt. Dit wordt namelijk gezien als het (onrechtmatig) verwerken van gegevens.

Grondslag
Uw organisatie mag geen andere gegevens verwerken dan nodig zijn voor het uitvoeren van wettelijke voorschriften. Dit is ook het geval wanneer de werknemer hiervoor toestemming geeft of uit zichzelf meer gegevens over zijn gezondheid meldt! Hoewel onder de AVG toestemming van de betrokkene een rechtmatige grondslag is voor het verwerken van gegevens, moet u hier in het geval van ziekte terughoudend mee omgaan. De werknemer kan immers op elk moment de eerder verleende toestemming weer intrekken, waardoor de grondslag voor de gegevensverwerking komt te vervallen. Bovendien wordt over het algemeen aangenomen dat, vanwege de gezagsverhouding in de arbeidsrelatie, een werknemer niet uit vrije wil toestemming heeft gegeven voor het verwerken van zijn gegevens.

Bedrijfsarts
Als het ziekteverzuim van de werknemer van korte duur is, hoeft u niet meer gegevens te verwerken dan die hiervoor zijn opgesomd. Is het ziekteverzuim echter van langere duur, dan moet u een bedrijfsarts of arbodienst inschakelen voor de ziekteverzuimbegeleiding en re-integratie. Ook dan moet u zorgvuldig omgaan met de gegevens van de zieke werknemer. U mag dan alleen de noodzakelijke gegevens van de werknemer doorsturen aan de bedrijfsarts of arbodienst. Dit blijft beperkt tot de naam, het adres en het telefoonnummer van de werknemer.

Re-integratie
De bedrijfsarts of arbodienst verwerkt gegevens over de aard en de oorzaak van de ziekte, de behandeling van de ziekte en omstandigheden die van invloed zijn op de re-integratie van de werknemer. Deze gegevens mogen niet zomaar worden doorgezonden aan uw organisatie. De bedrijfsarts mag de werkgever alleen informeren over:

  • de werkzaamheden die een werknemer wél of niet kan uitvoeren;
  • de vermoedelijke duur van het verzuim;
  • eventuele aanpassingen of voorzieningen die uw organisatie moet treffen;
  • de mate van arbeidsongeschiktheid.

Met de komst van de nieuwe privacyregels heeft uw organisatie te maken met een aantal nieuwe rechten en verplichtingen. Eén van deze verplichtingen betreft de informatieverplichting van de zogenoemde verwerker van persoonsgegevens, oftewel de werkgever, aan de betrokken werknemers.

Informatieplicht
Zo moet uw organisatie aantonen dat werknemers vóór het verwerken van gegevens voldoende geïnformeerd zijn over:

  • welke gegevens worden verwerkt;
  • het doel van de verwerking;
  • aan wie de gegevens worden verstrekt;
  • de bewaartermijn van de gegevens;
  • het recht van de werknemer om toestemming tot verwerking in te trekken;
  • welke maatregelen er zijn genomen om de gegevens te beschermen; en
  • waar de werknemer eventueel een klacht in kan dienen.

U kunt uw werknemers informeren via bijvoorbeeld het personeelsreglement.

Registratieplicht
Een ander nieuw begrip onder de AVG is de registratieplicht. Organisaties moeten op ieder moment door middel van documenten kunnen aantonen dat de verplichtingen onder de AVG correct worden nageleefd. Voor organisaties met meer dan 250 werknemers, is het in ieder geval verplicht om een register van verwerkingsactiviteiten bij te houden. Zijn er bij uw organisatie minder dan 250 werknemers in dienst, dan geldt de verplichting om een dergelijk register bij te houden alleen als:

  • het verwerken van persoonsgegevens niet incidenteel is;
  • het gaat om een bijzondere categorie van persoonsgegevens, zoals gezondheidsgegevens;
  • het verwerken van de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van diegene van wie de persoonsgegevens worden verwerkt.

Ook voor de kleinere organisatie zal er daarom al snel sprake zijn van een registratieplicht. De personeelsadministratie is bijvoorbeeld een niet-incidentele verwerking van persoonsgegevens.

Inhoud van het register
Om te voldoen aan de registratieplicht, moet in het register bepaalde informatie worden opgenomen. Ook over zieke werknemers. Het register moet een beschrijving bevatten van het volgende:

  • categorieën van betrokkenen (degene van wie uw organisatie persoonsgegevens heeft verwerkt);
  • categorieën van persoonsgegevens;
  • het doel van de verwerking;
  • de bewaartermijnen en de technische en organisatorische beveiligingsmaatregelen.

Redelijke bewaartermijn gegevens verschilt per situatie
In de AVG is bepaald dat uw organisatie persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor de gegevens zijn verwerkt. Een concrete bewaartermijn wordt niet gegeven. In sommige wetten worden wel specifieke maximum- of minimumbewaartermijnen voorgeschreven.
In de wet wordt bijvoorbeeld geen specifieke bewaartermijn genoemd voor de administratie van verzuimgegevens. Daarom wordt er met een redelijke bewaartermijn gewerkt. Als redelijke bewaartermijn wordt dan meestal aangehouden: niet langer dan twee jaar nadat de werknemer uit dienst is getreden. Als uw organisatie eigenrisicodrager is voor de Ziektewet, mag u de verzuimgegevens langer bewaren. Uw organisatie heeft dan belang bij een langere bewaartermijn.

Zorgvuldig
Uw organisatie moet dus zorgvuldig te werk te gaan bij het verwerken van gegevens van een zieke werknemer. Als wordt bewezen dat er sprake is van het schenden van de verplichtingen uit de AVG, kan uw organisatie een boete krijgen van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet. Het is daarom belangrijk dat u zich bij een zieke werknemer beperkt tot het verwerken van noodzakelijke gegevens. Daarnaast is het van belang dat u een gegevensregister aanlegt. Met dit register maakt u inzichtelijk welke gegevens u van een zieke werknemer verwerkt.

Als u naar aanleiding van dit artikel vragen hebt, kunt u contact opnemen met Mr M.H. (Martijn) Janssen of Mr L.M. (Laura) in ’t Veen.

Dit artikel is tevens verschenen in het tijdschrift voor non-profitorganisaties Bestuur Rendement 8-2018.