Nu de datum 25 mei 2018 steeds dichterbij komt, krijgen we meer vragen over de gevolgen van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (hierna: AVG) voor werkgevers. In dit blog staan we stil bij de verwerking van gezondheidsgegevens. Een kort overzicht.
Uitgangspunt is dat het wettelijk is verboden om persoonsgegevens over iemands gezondheid te verwerken. Gezondheidsgegevens zijn bijzondere persoonsgegevens die extra bescherming genieten.
Er zijn echter situaties denkbaar waarin verwerking van gezondheidsgegevens noodzakelijk is en het verbod niet zou moeten gelden. De AVG kent – net als de Wet bescherming persoonsgegevens – dan ook uitzonderingen op het verbod om gezondheidsgegevens te verwerken. Binnen de arbeidsrechtelijke context gaat het om de volgende uitzonderingen.
Gezondheidsgegevens mogen worden verwerkt indien:
Bij deze laatste kun je denken aan het verwerken van gezondheidsgegevens als dat noodzakelijk is voor het stellen van een medische diagnose.
Verder geldt nog een aanvullende eis namelijk dat deze gezondheidsgegevens alleen mogen worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die gebonden is aan beroepsgeheim of verplicht is tot geheimhouding.
Werkgever versus arbodienst
Als een werknemer ziek is, moet u als werkgever kunnen vaststellen of de werknemer recht heeft op loondoorbetaling. Als werkgever mag u bijvoorbeeld vragen wat de verwachte duur is van het verzuim en of er lopende afspraken of werkzaamheden zijn die moeten worden verzet of overgenomen door een collega. Het gaat erom dat niet meer gevraagd wordt dan nodig is om – in dit voorbeeld – te voldoen aan de verplichtingen in het kader van de Wet Verbetering Poortwachter. Naar de aard en oorzaak van de ziekte bijvoorbeeld mag niet worden gevraagd.
De arbodienst/bedrijfsarts is degene die de arbeidsgeschiktheid vervolgens mag beoordelen en de controle uitoefent. De arbodienst/bedrijfsarts heeft een medisch beroepsgeheim en mag de werkgever maar beperkt informeren over de mate van arbeids(on)geschiktheid van de werknemer.
Verzuimregistratie
Het verzuim dient correct te worden geregistreerd (verwerkt) in een verzuimsysteem. Dit systeem dient eveneens te zijn ingericht conform de AVG.
Aandachtspunten voor de werkgever:
Maar de werknemer gaf toch toestemming?
Ook buiten de situatie van ziekte worden er gezondheidsgegevens van werknemers verwerkt. Denk aan het volgen van gezondheidsprogramma’s of het dragen van wereables (met als doel inzicht te krijgen in de gezondheid van de werknemers). Werkgevers vragen hun werknemers dan meestal om toestemming voor het verwerken van (bijzondere) persoonsgegevens. Toestemming als zodanig is een juridische grondslag voor verwerking. Maar kan een werknemer eigenlijk wel in vrijheid zijn wil bepalen?
Volgens de Autoriteit Persoonsgegevens kan dit doorgaans niet omdat sprake is van een gezagsrelatie op basis waarvan een werknemer per definitie niet in staat is om vrij zijn wil te bepalen. Door verwerking van (bijzondere) persoonsgegevens dus slechts te baseren op toestemming van de werknemer verwerk je als werkgever gezondheidsgegevens zonder dat daarvoor een juridische grondslag bestaat. Als werkgever loop je daarmee het risico op een sanctie van de Autoriteit Persoonsgegevens.
Het is daarom aan te raden om binnen de organisatie in kaart te brengen of er gezondheidsgegevens worden verwerkt en zo ja, op welke grondslag die verwerking is gebaseerd en hoe dit is gedocumenteerd. Door de verwerking langs de lat van de AVG te leggen, kan duidelijk worden of aanpassing nodig is.
Meer informatie
Wilt u meer weten over dit onderwerp? Neem dan gerust contact op met Sabine van Loon.