De Autoriteit Persoonsgegevens stelt in haar beleidsregel “Zieke werknemers” strikte eisen aan de registratie van het verzuim. In dit weblog gaat Jikke Blokker, AWVN-advocaten nader in op de achtergrond en gevolgen van deze problematiek.
De werkgever is verplicht zich gedurende het dienstverband in te spannen voor de re-integratie van zijn zieke werknemers. Ten behoeve van deze re-integratie heeft een werkgever informatie over de zieke werknemer nodig. De werkgever mag echter niet vragen naar de aard en/ of oorzaak van de ziekte. Daarnaast mag de werkgever niet vragen naar de mogelijkheden en beperkingen van de werknemer. In de praktijk blijkt dat veel werkgevers een spagaat ervaren tussen de verplichting hun zieke werknemers te re-integreren en het recht op privacy van hun werknemers.
De verwerking (waaronder valt verzamelen, vastleggen, ordenen, bewaren, opvragen, wijzigen, bewerken, gebruiken, raadplegen en verstrekken) van persoonsgegevens van zieke werknemers in sterk begrensd door de Wet bescherming Persoonsgegevens (Wbp). Naam, foto, e-mailadres maar ook medische gegevens vallen onder de definitie van persoonsgegevens. Gegevens over de gezondheid van de werknemer worden door de Wbp nog beter beschermd dan ‘gewone’ persoonsgegevens. De huidige Autoriteit Persoonsgegevens (vroeger College Bescherming Persoonsgegevens) heeft op 21 april 2016 nieuwe beleidsregels uitgebracht voor het verwerken van persoonsgegevens van zieke werknemers. De boetebevoegdheid van de Autoriteit Persoonsgegevens (AP) is per januari 2016 verhoogd tot € 810.000 of 10% van de jaaromzet - (mede) hierdoor zijn werkgevers inmiddels meer dan voorheen bezig met het onderwerp privacy. Hieronder zal worden ingegaan op enkele verplichtingen voor werkgevers in het kader van de privacy van de zieke werknemer waarbij ook aandacht wordt besteed aan de wettelijke bewaartermijnen, de beveiliging van persoonsgegevens en de regels rondom datalekken.
Sollicitatieprocedure
De privacy speelt al een rol voordat een sollicitant werknemer wordt. Een werkgever mag namelijk in een sollicitatieprocedure geen vragen stellen over de gezondheid van een kandidaat. Doet de werkgever dat toch dan mag de sollicitant hierover onjuiste mededelingen verstrekken. Dit is slechts anders – en doet zich zelden voor - indien de sollicitant wist of had moeten begrijpen dat de gezondheidsklachten hem of haar ongeschikt maakt voor de functie waarop wordt gesolliciteerd. Een dergelijke ongeschiktheid zal dan al snel bij aanvang van het dienstverband moeten blijken en de werkgever kan dan het loon stopzetten. In uiterste gevallen kan het zelfs leiden tot een ontslag (op staande voet).
Tijdens dienstverband
Ook gedurende het dienstverband hoeft een werknemer zijn werkgever niet, althans zeer beperkt, te informeren over zijn gezondheidstoestand. Naar aanleiding van een ziekmelding van een werknemer mag een werkgever bij een werknemer slechts de volgende informatie vragen en verwerken:
• het telefoonnummer en (verpleeg)adres;
• de vermoedelijke duur van het verzuim;
• de lopende afspraken en werkzaamheden;
• of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
• of de ziekte verband houdt met een arbeidsongeval;
• of sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde is betrokken.
De werkgever mag niet meer dan deze gegevens verwerken van de zieke werknemer. Ook niet indien de werknemer uit zichzelf openheid van zaken over zijn gezondheid heeft gegeven. De redenen van het verzuim mogen dan ook niet ergens schriftelijk worden vastgelegd. Dit is alleen anders indien het noodzakelijk is dat bepaalde gegevens worden verwerkt in verband met de veiligheid van de zieke werknemer, zoals in het geval van epilepsie en suikerziekte. Daarnaast kan een werknemer toestemming voor de verwerking van een specifiek bepaald persoonsgegeven geven. Aan deze toestemming worden door de Wbp zware eisen gesteld omdat ervan wordt uitgegaan dat de werknemer niet snel bestand zal zijn tegen de druk van een werkgever bepaalde informatie te verstrekken.
Het is de bedoeling van de wetgever dat de relevante informatie over de gezondheidssituatie van een werknemer terecht komt bij een geregistreerde bedrijfsarts of een gecertificeerde arbodienst. Veel van die informatie mag niet worden gedeeld met de werkgever. De bedrijfsarts of arbodienst mag aan de werkgever alleen die gegevens verstrekken die de werkgever nodig heeft voor het vaststellen van de loondoorbetalingsverplichting en de re-integratieverplichtingen. Alleen deze gegevens mag de werkgever verwerken. Dit zijn:
• de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
• de verwachte duur van het verzuim;
• de mate waarin de werknemer arbeidsongeschikt is;
• eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie van de werknemer moet treffen.
De gegevens die de bedrijfsarts en arbodienst niet aan de werkgever mogen verstrekken en die de werkgever niet mag verwerken zijn:
• diagnose, naam ziekte, specifieke klachten of pijnaanduidingen;
• eigen subjectieve waarnemingen, zowel over de geestelijke als de lichamelijke gezondheidstoestand;
• gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
• overige situationele problemen, zoals relatieproblemen en overige privé problemen.
Bewaartermijn
De Wbp verbiedt de werkgever om persoonsgegevens langer te bewaren dan noodzakelijk voor het doel waarvoor ze zijn verwerkt. Bij kortdurend verzuim zullen vooral administratieve gegevens, zoals de datum van de ziekmelding, de duur van het verzuim en de datum van herstel zijn verwerkt. De hoofdregel is dat deze gegevens tot twee jaar na het einde van het dienstverband mogen worden bewaard. In bijzondere gevallen, wanneer bijvoorbeeld sprake is van een arbeidsconflict of een geschil over toekenning van een arbeidsongeschiktheidsuitkering, kan het noodzakelijk zijn deze gegevens langer te bewaren.
Bij langdurige arbeidsongeschiktheid worden in de regel meer gegevens verwerkt dan alleen administratieve gegevens. Meestal zal de werkgever dan een re-integratiedossier hebben opgebouwd. Voor het bewaren van een re-integratiedossier bestaat geen wettelijke termijn. De AP stelt dat het redelijk is om een re-integratiedossier in beginsel niet langer dan twee jaar na afronding van de re-integratie te bewaren. De bedrijfsarts moet het medisch dossier van de werknemer tien jaar bewaren, maar de werkgever mag dit dossier niet inzien.
Voor eigenrisicodragers voor de Ziektewet geldt een langere bewaartermijn van vijf jaar. Voor werkgevers die het eigen risico dragen voor een WGA-uitkering geldt dat deze de gegevens ook langer mogen bewaren. De uitslag van de medische keuring dient de werkgever in dat geval gedurende tien jaar te bewaren.
Beveiliging
De Wbp verplicht de werkgever om de persoonsgegevens van werknemers te beveiligen tegen verlies en onrechtmatige verwerking door middel van ‘passende technische en organisatorische maatregelen’. De te nemen beveiligingsmaatregelen zijn afhankelijk van de aard van de verwerkte gegevens. Gegevens over de gezondheid van werknemers zijn zeer privacy gevoelig en vragen om een betere bescherming dan ‘gewone’ gegevens. De technische maatregelen zien op de beveiliging van apparatuur, gebouw en opslag.
Het systeem waarmee de gegevens worden opgeslagen moet goed zijn beveiligd en niet voor iedereen toegankelijk. Toegang tot het systeem kan alleen worden verkregen door het invoeren van in ieder geval een gebruikersnaam en wachtwoord. Indien de werkgever gebruik maakt van een systeem in de ‘cloud’ of via internet moet er een tweede authenticatie zijn, zoals het inloggen met een token.
De werkgever is verplicht de beveiligingsrisico’s in beeld te brengen. Daarnaast moet het systeem zo zijn ingericht dat daarin geen gegevens kunnen worden verwerkt die niet mogen worden verwerkt. Systemen waar de reden van het verzuim worden genoteerd zijn dus tegenwoordig uit den boze.
Datalek
Als er sprake is van een datalek moet een werkgever dat sinds 1 januari 2016 op grond van de Wet Meldplicht Datalekken binnen 72 uur melden aan de AP. Van een datalek is sprake bij een inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Iedere schending van de technische beveiliging (bijvoorbeeld een virus) of het organisatorische beveiligingsbeleid (personeel dat ten onrecht inzage heeft gekregen in het systeem) waarbij persoonsgegevens zijn betrokken is een datalek. Meldt de werkgever de datalek niet tijdig, dan loopt hij het risico op een boete van maximaal € 810.000.
Tot slot
Nu de boete op overtreding van de Wbp aanzienlijk is verhoogd, moeten werkgevers zeer zorgvuldig omgaan met het verwerken van persoonsgegevens en hun verzuimsystemen goed beveiligen. De beleidsregels ‘de zieke werknemer’ van de AP geven de werkgever duidelijke handvatten.
