Wat u moet weten over privacy van de zieke werknemer
Werkgevers zijn zich vaak wel bewust van de privacyregels, maar een juiste toepassing daarvan of het opstellen van privacybeleid blijft in de praktijk vaak achter. Dit kan uiteindelijk leiden tot een boete van de Autoriteit Persoonsgegevens (AP). Dit bleek ook recent. De AP heeft een onderhoudsbedrijf onlangs een boete opgelegd van € 15.000,- wegens het overtreden van de AVG door het verwerken van gezondheidsgegevens van haar werknemers.
Wat was er aan de hand?
De werkgever hield een overzicht van haar zieke werknemers bij in een Google Drive-bestand. In dit bestand werden de verzuimredenen van 25 werknemers opgenomen met daarin namen van fysieke en mentale ziektes, speciale klachten en pijnaanduidingen. Ter bescherming van de privacy was het bestand alleen toegankelijk gemaakt via een bepaalde link. Deze link werd binnen de organisatie alleen verstrekt aan personen die zich bezighielden met verzuim(begeleiding) binnen die organisatie.
De AP straft dit af
De AP stelt dat de verzuimregistratie gegevens over de gezondheid bevatte die niet noodzakelijk zijn voor de re-integratie of begeleiding van de zieke werknemers en daarom niet verwerkt mogen worden. Daarnaast zijn de gegevens onvoldoende beveiligd. De link was zonder enige extra beveiliging toegankelijk en daarmee van een onvoldoende beveiligingsniveau.
Wat mag wel?
In de beleidsregels van de AP ‘De zieke werknemer’ is opgenomen welke medische persoonsgegevens je als werkgever wel mag verwerken en welke noodzakelijk zijn voor de re-integratie en verzuimbegeleiding.
De gegevens die wél mogen worden verwerkt zijn:
- de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
- de verwachte duur van het verzuim;
- de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
- eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
Wat mag niet?
De gegevens die volgens deze beleidsregels niet mogen worden verwerkt, zijn onder meer:
- diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen;
- eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand;
- gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
- overige situationele problemen, zoals scheiding, verhuizing, overlijden partner e.d.
Wat kunt ú doen?
Heeft u binnen uw organisatie te maken met verwerking van gegevens van zieke werknemers? Lees dan eerst de beleidsregels. Daarin is op een rij gezet waar u aan moet denken wat betreft privacy.
Daarna is het goed uw privacy beleid en beschermingsniveau van persoonsgegevens in beeld te brengen en te toetsen aan de beleidsregels. Om het in de praktijk werkbaar(der) te maken kunnen duidelijke richtlijnen worden opgesteld zodat HR- en verzuimmedewerkers en ook leidinggevenden weten hoe zij mogen en moeten handelen bij een ziekmelding van een medewerker.
Heeft u nog geen privacyregeling vergeet dan niet de rol van de OR hierin. De AP heeft haar visie op bescherming van privacy op de werkvloer en de rol van OR in een handig boekje verwerkt.
Vragen over de juiste toepassing van privacyregels in de praktijk?
Bel ons gerust.