Eisen voor verwerking persoonsgegevens zieke werknemers

Privacy is hot. Maar privacy voor de zieke werknemer is misschien nog wel hotter. En met de komst van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei a.s. krijgen werkgevers meer verplichtingen en werknemers meer rechten.

De Autoriteit Persoonsgegevens (AP) hanteert op dit moment een strikt criterium voor de verwerking van persoonsgegevens van zieke werknemers. De verwachting is dat dit onder de AVG hetzelfde blijft, omdat daarvoor dezelfde regels gelden met betrekking tot het verwerken van gezondheidsgegevens. Onder die noemer vallen sommige gegevens van zieke werknemers.

wat mag een werkgever wel verwerken?

  1. Datum van ziekmelding
  2. Aard van de ziekte indien het noodzakelijk is dat collega’s hiervan op de hoogte zijn, bijvoorbeeld bij epilepsie en hoe te handelen bij een aanval
  3. Hoe vaak een werknemer ziek is
  4. Verblijf- of verpleegadres
  5. Of er iets moet gebeuren met lopende werkzaamheden/afspraken
  6. Of een werknemer onder de vangnetbepalingen van de Ziektewet valt, maar de werkgever mag niet vragen welke vangnetbepaling
  7. Als een werknemer langer dan twee maanden in dienst is: of hij/zij onder een no-riskpolis (in dat geval betaalt het UWV het salaris van de werknemer door) valt
  8. Of de ziekte het gevolg is van een arbeidsongeval of verkeersongeval

wat mag een werkgever niet verwerken?

  1. De aard van de ziekte (lees: wat heeft een werknemer en wat is de oorzaak daarvan, met uitzondering van een arbeids- of verkeersongeval)
  2. Het ziektepercentage, tenzij een werknemer door een bedrijfsarts is gezien. De bedrijfsarts stelt in dat geval namelijk de beperkingen vast, waaruit het ziektepercentage kan worden afgeleid. Het zelf invullen van het ziektepercentage op basis van informatie van de werknemer is dus niet toegestaan

In praktijk zien we toch vaak dat een werknemer aan de telefoon informatie over de aard van de ziekte aan zijn leidinggevende of een andere collega verstrekt. In dat geval mag u vanuit goed werkgeverschap hiernaar luisteren, maar u mag de details niet in uw systemen registreren. Wel mag u bijvoorbeeld vragen of u iets voor de werknemer kunt betekenen.

informatieverplichting

Naast de beperkingen op het gebied van welke persoonsgegevens u van zieke werknemers mag verwerken, stelt de AVG strenge eisen aan de informatieverplichting aan de natuurlijke personen (lees: werknemers in het algemeen).

U moet aan kunnen tonen dat u uw werknemers vóór de verwerking van hun persoonsgegevens (dus voor aanvang dienstverband) heeft geïnformeerd over welke persoonsgegevens u van uw werknemers verwerkt, met welk doel, aan wie u ze doorgeeft, wat de grondslag is, hoelang u de gegevens bewaart, welke beveiligingsmaatregelen bestaan, welke rechten de werknemers hebben onder de AVG en dat zij een klacht in kunnen dienen bij de Autoriteit Persoonsgegevens.

Dit geldt ook voor zieke werknemers, waarbij u het voorgaande kunt regelen met een privacystatement in uw personeelshandboek of in een ziektereglement.

De informatie over de verwerking van persoonsgegevens moet eenvoudig toegankelijk zijn en in duidelijke en eenvoudige taal zijn opgeschreven. De persoonsgegevens moet u op een transparante wijze verwerken.

register van verwerkingsactiviteiten

Een belangrijk nieuw beginsel van de AVG is het ‘accountability principe’. Dit houdt in dat iedere onderneming op ieder moment moet kunnen aantonen dat zij de verplichtingen uit de AVG naleeft.

Zo is het straks verplicht voor iedere onderneming met 250 of meer personen in dienst, om een register van verwerkingsactiviteiten bij te houden. Kleine ondernemingen (met minder dan 250 personen in dienst) moeten zo’n register alleen bijhouden als de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van diegene waarvan de persoonsgegevens worden verwerkt, de verwerking niet incidenteel is, of als bijzondere categorieën van persoonsgegevens (zoals ras, gezondheid of politieke opvattingen) worden verwerkt.

Een onderneming met personeel valt (bijna) altijd onder een niet-incidentele verwerking van persoonsgegevens. Dat betekent dat u – ook als u een (zieke) werknemer in dienst heeft – een register van verwerkingsactiviteiten moet aanleggen. Zo’n register moet bepaalde informatie (ook over de zieke werknemer) bevatten, zoals categorieën van persoonsgegevens, categorieën van betrokkenen (waaronder werknemers), verwerkingsdoeleinden, naam en contactgegevens, categorieën van ontvangers, bewaartermijnen en een beschrijving van beveiligingsmaatregelen.

Met dit register maakt u overigens ook inzichtelijk wat u over een zieke werknemer verwerkt en of u wellicht niet teveel gegevens aan het verwerken bent.

begin zo snel mogelijk!

De AVG komt eraan en de praktijk leert dat het in kaart brengen van uw systemen meer tijd vergt dan vooraf ingeschat. Ons advies is dan ook om zo snel mogelijk te beginnen, waarbij extra aandacht uit moet gaan naar gegevens in uw systeem over zieke werknemers. Want ook daar leert de ervaring dat je meer verwerkt dan je vooraf bedenkt!

(Bron: DVAN)