Geen onderdeel van een categorie Nieuwe beleidsregels ‘de zieke werknemer’
De privacy van een (zieke) werknemer wordt volgens de Autoriteit Persoonsgegevens geschonden als een werkgever medische gegevens van de werknemer registreert. Werkgevers mogen gezondheidsgegevens namelijk niet zomaar verwerken. Dit bleek al eerder uit een in maart jl. gepubliceerd rapport van de Autoriteit Persoonsgegevens naar aanleiding van een onderzoek. De privacy waakhond heeft nu ook nieuwe beleidsregels over dit onderwerp gepubliceerd.
Deze beleidsregels die op 21 april jl. gepubliceerd zijn, vervangen de oudere publicatie ‘De zieke werknemer en privacy’ uit 2008. De beleidsregels gaan in op de verschillende fases in de arbeidsrelatie. Ze bieden informatie en houvast aan werkgevers en andere partijen die bij het verwerken van gezondheidsgegevens van werknemers betrokken zijn.
Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) bevat normen die onze persoonlijke levenssfeer beschermen. Zo ook die van (zieke) werknemers. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van deze normen. De Wbp bepaalt dat verwerking van bijzondere gegevens, waar gezondheidsgegevens deel van uitmaken, niet is toegestaan, tenzij sprake is van een uitzonderingsgrond. De uitzonderingsgrond houdt in dat gezondheidsgegevens alleen verwerkt mogen worden indien dit noodzakelijk is voor de goede uitvoering van een wettelijk voorschrift.
Noodzakelijke (gezondheids)gegevens
Het is werkgever verboden om gegevens over de gezondheidstoestand aan de (zieke) werknemer te vragen en te registreren. Dit verbod ziet niet alleen op gegevens waarop het medisch beroepsgeheim rust, maar op alle gegevens die de geestelijke en/of lichamelijke gezondheid van een persoon betreffen, zoals diagnoses of de naam van de ziekte, specifieke klachten en of de werknemer zwanger is. Ook afspraken met artsen, fysiotherapeuten of psychologen vallen onder dit verbod. Alleen de arbodienst of bedrijfsarts mag deze gegevens van de zieke werknemer verwerken.
Welke gegevens mogen dan wel geregistreerd worden door een werkgever? De werkgever mag alleen gegevens vragen en registreren die noodzakelijk zijn voor de vaststelling van de loondoorbetalingsverplichting en/of in het kader van re-integratie van de zieke werknemer. Naast de ziekmelding an sich mag het (verpleeg)adres en telefoonnummer worden gevraagd en geregistreerd, als ook de vermoedelijke duur van het ziekteverzuim en of er mogelijk passende werkzaamheden verricht kunnen worden. Verder mag bijvoorbeeld gevraagd worden of er nog lopende afspraken gepland staan en of dat de ziekte verband houdt met een arbeidsongeval of een verkeersongeval.
Het zal in de praktijk vaak voorkomen dat een werkgever toch op de hoogte is van bepaalde medische gegevens van een werknemer, al dan niet doordat de zieke werknemer deze vrijwillig aan werkgever heeft verstrekt. Zelfs in dit geval is het niet toegestaan om die medische gegevens te verwerken.
Hoge boetes
De Autoriteit Persoonsgegevens kan op grond van de Wbp hoge boetes opleggen bij een overtreding van de wet. Hiervoor verwijzen wij graag naar onze eerdere blog over dit onderwerp. Al met al is het raadzaam voor werkgevers om het ziekteverzuimbeleid in het kader van privacy van werknemers binnen de wettelijke kaders te houden om zo eventuele boetes in de toekomst te voorkomen.
Indien u meer informatie of advies wenst over privacy binnen de arbeidsrelatie kunt u contact opnemen met Danny Vesters of Lilach Zalait.