De Autoriteit Persoonsgegevens heeft recent een boete opgelegd aan een onderhoudsbedrijf dat gezondheidsgegevens van zieke werknemers registreerde. Volgens de Autoriteit Persoonsgegevens is het verwerken van deze gegevens niet toegestaan. Dit wil echter niet zeggen dat een werkgever helemaal geen verzuimgegevens mag noteren. We leggen het voor je uit.
Verzuimregistratie bevatte gevoelige informatie
Het onderhoudsbedrijf voerde een verzuimregistratie. Het bijhouden van verzuimgegevens is toegestaan en kan bijvoorbeeld wenselijk zijn in het kader van de re-integratie of het vervangen van werknemers. Het onderhoudsbedrijf ging echter wel heel ver en hield onder meer bij wat de oorzaak van het ziekteverzuim was. En dat mag volgens de Autoriteit Persoonsgegevens niet.
De verzuimregistratie van het bedrijf bevatte heel wat gevoelige informatie, zoals namen van ziektes, pijnaanduidingen en specifieke klachten. Dit zijn zogenaamde bijzondere persoonsgegevens, wat wil zeggen dat deze persoonsgegevens extra beschermd worden. Het verwerken van bijzondere persoonsgegevens is meestal verboden en levert wel vaker ellende op. Bijzondere persoonsgegevens verwerken kan enkel als men zich kan beroepen op een wettelijke uitzondering en op een van de klassieke verwerkingsgronden.
Strenge regels bij het verwerken van bijzondere persoonsgegevens
Hier kon men zich niet op een uitzonderingsgrond beroepen. Meer nog: de privacywetgeving verbiedt dat werkgevers informatie over de aard en de oorzaak van de ziektemelding registreren. Ze mogen er zelfs niet eens naar vragen. Enkel de arbodienst of de bedrijfsarts mag dat doen. Hier kan enkel in heel uitzonderlijke situaties van worden afgeweken. Zo kan het bijvoorbeeld nuttig zijn om te weten dat iemand epilepsie heeft. Dan kunnen collega’s daarvan op de hoogte worden gebracht en weten zij wat ze moeten doen als de werknemer een epileptische aanval krijgt. In dit geval is het nuttig om het in het personeelsdossier te noteren.
In deze zaak is het nog frappanter dat de verzuimregistratie van het onderhoudsbedrijf online toegankelijk was en dit zonder enige vorm van authenticatie. Nochtans is het zo dat wanneer men bijzondere persoonsgegevens mag verwerken, deze persoonsgegevens extra goed beveiligd moeten zijn. De Autoriteit Persoonsgegevens oordeelt dat een beveiliging met een gebruikersnaam en een wachtwoord niet volstaat, maar dat medewerkers ook op een andere manier hun identiteit moeten aantonen. De werkgever zou dus meerfactorauthenticatie moeten voorzien. Op basis van dit alles besloot de Autoriteit Persoonsgegevens het bedrijf een boete op te leggen van 15.000 euro.
Enkel noodzakelijke informatie registreren
Dit alles wil uiteraard niet zeggen dat je helemaal niks mag vragen of registreren bij zieke werknemers. De AVG biedt de nodige ruimte om een aantal zaken te vragen en te registreren. Je moet je daarbij wel beperken tot noodzakelijke informatie. Dit is de informatie die nodig is om te weten hoe het verder moet met de werkzaamheden. Deze informatie mag ook worden vastgelegd.
Voorbeelden van noodzakelijke informatie zijn de geschatte afwezigheidsduur, het verpleegadres, een telefoonnummer waarop men bereikbaar is enzovoort. Het is daarentegen niet noodzakelijk om te weten welke ziekte iemand heeft, welke medicijnen men neemt of hoe het ongeval kon plaatsvinden. Dit mag een werkgever dan ook niet vragen. Een werknemer mag wel transparant zijn en deze informatie vrijwillig delen. En een werkgever mag dan een luisterend oor zijn, maar de informatie mag niet worden geregistreerd.
Zoals eerder gezegd zijn er soms uitzonderlijke gevallen waarbij kennis over de diagnose of het medicijnengebruik wel noodzakelijk kan zijn. In zo’n geval is het ook toegestaan om dit in het personeelsdossier te registreren, maar een goede beveiliging is in ieder geval noodzakelijk. Als je hier nog vragen over hebt, voorzien wij je graag van passend advies.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliƫnten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44