Home / Publicaties / Autoriteit Persoonsgegevens publiceert beleidsregels...

Autoriteit Persoonsgegevens publiceert beleidsregels voor het verwerken van gezondheidsgegevens van werknemers

05/07/2016

De Autoriteit Persoonsgegevens ("AP") heeft beleidsregels gepubliceerd voor de verwerking van persoonsgegevens betreffende de gezondheid van werknemers (de "Beleidsregels"). De Beleidsregels dienen als leidraad voor de AP bij het uitvoeren van handhavingsmaatregelen.

Sinds 1 januari 2016 gelden significant hogere bestuurlijke boetes voor overtredingen van de Wet bescherming persoonsgegevens in Nederland. Dit vooruitlopend op de Algemene verordening gegevensbescherming van de EU, die in werking treedt op 25 mei 2018. De Wet bescherming persoonsgegevens voorziet nu in een maximale bestuurlijke boete van 820.000 euro of, indien de AP van mening is dat dit maximale bedrag geen passende maatregel voor een juridische entiteit biedt, een maximum van 10% van de jaarlijkse omzet behaald in het vorige boekjaar. De AP heeft de onrechtmatige verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, gekwalificeerd als een ernstige overtreding die beboet kan worden met de maximale boete.

Om het risico op zulke overtredingen (en hoge boetes) te minimaliseren, doen werkgevers er goed aan de normen uit de beleidsregels te evalueren om ervoor te zorgen dat hun verzuimsystemen en -processen hiermee in lijn zijn. Dit e-Alert geeft een overzicht van de belangrijkste punten in de Beleidsregels en kan worden gebruikt als basis voor een high-level quick scan.

1. Bewustwording: gezondheidsgegevens verwerken is verboden, tenzij sprake is van (beperkte) uitzonderingen

Werkgevers (en hun werknemers) moeten zich bewust zijn van het feit dat gezondheidsgegevens van werknemers niet verwerkt mogen worden, tenzij dit noodzakelijk is voor:

  • Correcte naleving van wettelijke bepalingen (met inbegrip van het vaststellen of de werknemer recht heeft op doorbetaling van het loon), pensioenregelingen of collectieve arbeidsovereenkomsten die aanspraken regelen die afhankelijk zijn van de gezondheid van de werknemer; of
  • De re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.

Ziekmeldingen: enkel specifieke en beperkte informatie mag worden verzocht en verwerkt

Werkgevers mogen enkel de volgende informatie verzoeken en registreren in geval van ziekmeldingen:

  • telefoonnummer / verpleegadres;
  • vermoedelijke duur van het verzuim;
  • lopende afspraken en werkzaamheden;
  • toepasbaarheid van een vangnetbepaling uit de Ziektewet (werkgevers mogen echter niet vastleggen welke bepaling van toepassing is!);
  • of de ziekte gerelateerd is aan een arbeidsongeval;
  • of de ziekte gerelateerd is aan een verkeersongeluk (met regresmogelijkheid).

Overige gegevens, bijvoorbeeld betreffende de aard van de ziekte, mogen niet worden geregistreerd, zelfs niet met toestemming van de werknemer.

Om het risico van onrechtmatige gegevensverwerking te beperken, dienen verzuimformulieren geen meerkeuzemogelijkheden te bevatten die de werkgever in staat stellen om de redenen voor het ziekteverzuim, opgegeven door de werknemer, te kwalificeren. Een uitzondering hierop kan bestaan wanneer informatie zo verwerkt is dat deze niet meer herleidbaar is tot een bepaalde persoon.

Bij voorkeur bevatten afwezigheidsformulieren geen open vragen. Indien open vragen worden gebruikt, dient het formulier duidelijk aan te geven dat medische gegevens, zoals de aard en oorzaak van de ziekte, niet mogen worden opgenomen. De werkgever dient zich te weerhouden van het verwerken van medische gegevens, zelfs als de werknemer deze informatie vrijwillig opgeeft.

Indien de werknemer de werkgever verzoekt om bepaalde informatie te registreren, bijvoorbeeld omdat dit noodzakelijk is om te verzekeren dat collega's weten hoe zij moeten handelen in een medisch noodgeval, mag de werkgever deze informatie verwerken.

3. Re-integratieinspanningen: rapporteren is noodzakelijk voor de naleving van wettelijke voorschriften, maar er gelden beperkingen

De werkgever en de werknemer hebben een gedeelde (wettelijke) verantwoordelijkheid bij de re-integratie. De Nederlandse wet geeft regels omtrent de vastlegging van dit proces.

Plan van aanpak
Partijen dienen gezamenlijk een plan van aanpak op te stellen voor de re-integratie. Gebaseerd op de Beleidsregels dient dit plan enkel gezondheidsgegevens van de werknemer te bevatten voor zover dit noodzakelijk is, zoals informatie over passende taken die de werknemer kan uitvoeren als onderdeel van zijn rehabilitatie. Het plan van aanpak mag geen informatie over de aard of oorzaak van de ziekte van de werknemer bevatten.

Re-integratiedossier
De werkgever registreert de afwezigheid van de werknemer en de re-integratieinspanningen in het zogenoemde re-integratiedossier. Dit dossier omvat: de adviezen van de bedrijfsarts, het plan van aanpak (inclusief herzieningen) en overige re-integratieinspanningen en rapportages van betrokken derde partijen, zoals de casemanager of een re-integratieatiebureau. De werkgever dient ervoor te zorgen dat het re-integratiedossier geen medische gegevens bevat die niet door hem verwerkt mogen worden.

Werknemers die verantwoordelijk zijn voor het herstelproces, dienen te worden gewezen op de toepasselijke gegevensbeschermingsregels om onrechtmatige verwerking van persoonsgegevens te voorkomen.

4. Beveiligingsmaatregelen: digitale verzuimregistratiesystemen

De Wet bescherming persoonsgegevens vereist dat de verantwoordelijke passende technische en organisatorische maatregelen neemt om gezondheidsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen dienen een passend veiligheidsniveau te garanderen gelet op de risico's die de gevoelige aard van de gegevens meebrengt. Ook moet worden gestreefd naar het voorkomen van onnodige registratie en verwerking van persoonsgegevens.

De Beleidsregels eisen dat digitale verzuimsystemen, die gebruikt worden door werkgevers en arbodiensten, minstens voldoen aan de volgende criteria:

  • wanneer het systeem online toegankelijk is, moet toegang tot de gegevens minstens worden verkregen door twee-factorauthenticatie; en
  • beveiligingsrisico's dienen periodiek in kaart te worden gebracht, bijvoorbeeld door middel van securityscans.

Andere passende technische en organisatorische maatregelen genoemd in de Beleidsregels omvatten:

  • de instellingen van de gebruikersautorisaties dienen te voorkomen dat personen die de gegevens niet mogen verwerken, hier geen toegang tot hebben;
  • de systeembeheerder mag persoonsgegevens in het verzuimsysteem niet gebruiken om het verzuimregistratiesysteem te ontwikkelen en te testen;
  • de werkgever kan geen verslagen printen die gezondheidsgegevens bevatten die de werkgever niet mag verwerken;
  • (medische) gegevens, geregistreerd door de bedrijfsarts, mogen op geen enkele manier toegankelijk zijn voor de werkgever of zijn systeembeheerder;
  • de werkgever mag geen login-codes uitgeven voor gegevens die hij niet mag verwerken.

5. Bewaartermijn: wanneer moeten de gegevens worden verwijderd?

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of verder verwerkt. Volgens de AP gelden de volgende redelijke bewaartermijnen:

1.

Administratieve verzuimgegevens

Maximaal twee jaar na afloop van de arbeidsrelatie.

Langer in het geval van een arbeidsconflict of een geschil over de toekenning van een arbeidsongeschiktheidsuitkering.

2.

Re-integratiedossier

Maximaal twee jaar na voltooiing van de re-integratie.

Lange termijn afspraken – bijvoorbeeld betreffende de arbeidsfunctie van de werknemer – mogen in het personeelsdossier van de werknemer worden opgenomen.

3.

Eigenrisicodrager Ziektewet

Medisch dossier: tien jaar (bewaring door de bedrijfsarts op instructie van de werkgever).

Overige gegevens: vijf jaar.

Deze bewaartermijnen vangen aan op 1 januari van het jaar volgend op het jaar waarin de laatste handeling aan het dossier heeft plaatsgevonden.

4.

Eigenrisicodrager Werkhervatting Gedeeltelijk Arbeidsgeschikten (WGA)

Medische keuringsgegevens dienen te worden bewaard gedurende het WGA-traject (tien jaar).

Voor meer informatie over gegevensverwerking in Nederland kunt u contact opnemen met ons Data Protection & Privacy team.

Auteurs

Stephanie Dekker