Uw werknemer is ziek. Wist u dat u niet mag vragen wat hij heeft? En dat als de werknemer toch spontaan medische informatie deelt (“ik heb een griepje/mijn been gebroken tijdens het skiën”), u hier niets mee mag doen? U mag dit bijvoorbeeld niet noteren in het personeelsdossier of delen met anderen (algemene mailtjes met de tekst “Annie heeft zich ziek gemeld met een griepje, maar ze verwacht er morgen weer te zijn”, zijn dus uit den boze). Doet u dit wel, dan overtreedt u de privacywetgeving. Dit kan leiden tot een onderzoek van de Autoriteit Persoonsgegevens, een dwingende aanwijzing en eventueel zelfs tot (exorbitante) boetes.
Dat wilt u natuurlijk voorkomen.
Bij het lezen van deze blog zult u regelmatig uw wenkbrauwen fronzen en u afvragen hoe u in de praktijk aan de gestelde regels moet voldoen. Een letterlijke naleving van de wet levert volgens velen een praktisch onwerkbare situatie op.
Dit neemt niet weg dat u er goed aan doet u te verdiepen in de geldende wetgeving zodat u ernaar kunt streven hier in ieder geval zo veel als dat mogelijk is aan te voldoen. Privacy is immers een hot item, en wordt de komende tijd alleen maar actueler door het aanstaande inwerking treden van de AVG (Algemene verordening gegevensbescherming) per 25 mei 2018.
Type privacy-gegevens
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat de informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Als sprake is van persoonsgegevens moet een onderscheid worden gemaakt tussen “gewone” en “bijzondere” persoonsgegevens.
Gewone persoonsgegevens zijn gegevens zoals naam, geboortedatum en adres. Bijzondere persoonsgegevens zijn gegevens die meer privacygevoelig zijn. Doorgaans zullen deze minder snel door iemand worden gedeeld. Het gaat dan bijvoorbeeld om informatie inzake godsdienst, politieke voorkeur en medische gegevens.
Verwerkingsbevoegdheid privacy-gegevens
Voor alle persoonsgegevens geldt dat deze alleen mogen worden gevraagd, genoteerd, gedeeld, opgeslagen en bewaard mits dit noodzakelijk is voor een specifiek doel. De lat voor wat wel of niet is toegestaan ligt aanmerkelijk hoger als het gaat om bijzondere persoonsgegevens, zoals medische gegevens, dan wanneer het gaat om gewone persoonsgegevens.
Wat mag u wél als het om de privacy gaat?
Als een werknemer zich ziekmeldt mag u de volgende gegevens opvragen en registreren:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).
Ook wanneer de werknemer spontaan meer informatie deelt dan het bovenstaande lijstje, mag u niets met deze informatie doen. U mag dit dus niet noteren in het personeelsdossier of delen met collega’s, zelfs niet wanneer de werknemer hier expliciet toestemming voor geeft.
De enige uitzondering hierop is wanneer het delen van de informatie van belang is voor de gezondheid van de werknemer en anderen en/of de veiligheid op de werkvloer. Denk hierbij bijvoorbeeld aan een werknemer die epilepsie heeft. Hierover mag u (de directe) collega’s informeren maar enkel voor zover dit noodzakelijk is voor een veilige (werk) omgeving.
Welke privacy-informatie mag de bedrijfsarts/arbodienst met u delen?
Een bedrijfsarts/arbodienst mag bij ziekteverzuimbegeleiding alleen die informatie met u delen die u nodig heeft om een beslissing te nemen over de loondoorbetaling, de verzuimbegeleiding en de re-integratie. De bedrijfsarts/arbodienst mag in dit kader de volgende gegevens over de gezondheid van een zieke werknemer met u delen:
- de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
- de verwachte duur van het verzuim;
- de mate waarin de werknemer arbeidsongeschikt is;
- eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die u voor de re-integratie moet treffen.
Bewaartermijnen privacy-gegevens
Wanneer u volgens vorenstaande regels informatie heeft verzameld, mag u deze niet zonder meer opslaan en bewaren in bijvoorbeeld het personeelsdossier. Persoonsgegevens mogen namelijk niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Dit houdt in dat:
- u administratieve verzuimgegevens tot maximaal twee jaar na afloop van de arbeidsrelatie mag bewaren, tenzij u eigenrisicodrager Ziektewet bent. In dat geval moet u de gegevens over de ziekmelding vijf jaar bewaren en moet de bedrijfsarts deze tien jaar bewaren. Voor eigenrisicodragers WGA mogen de gegevens voor de duur van het WGA-traject bewaard blijven;
- de bedrijfsarts aanstellingskeuringsdossiers maximaal zes maanden mag bewaren;
- de bedrijfsarts medische dossiers maximaal vijftien jaar mag bewaren, tenzij sprake is van een beroepsziekte. In dat geval mag de arts de gegevens langer bewaren. Voor niet-medische dossiers geldt een bewaartermijn van maximaal twee jaar;
- re-integratie dossiers maximaal vijftien jaar bewaard mogen worden door de hulpverlener die rechtstreeks onder de WGBO valt en twee jaar door alle andere hulpverleners.
De vorenstaande opsommingen over wat wel en niet mag, zijn afkomstig uit de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers zoals die zijn opgesteld door de Autoriteit Persoonsgegevens.
Wilt u meer weten? Neem dan contact op met advocaat mr. Nienke Sprengers.
Comments are closed.