"Voor futureproof ondernemen in flex"
SLUIT MENU

AVG en gezondheidsgegevens

Column onder redactie van Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group

“In mijn rol als Functionaris Persoonsgegevens krijg ik regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming). Meestal zijn deze vrij simpel te beantwoorden, maar ik krijg ook vragen waar ik wat langer over moet nadenken. De AVG geeft niet altijd eenduidige en evidente antwoorden. Soms is het handig met iemand te sparren over het juiste antwoord. Dit bracht mij op het idee om een rubriek te starten waarin experts periodiek een ingebrachte vraag of case bespreken.

In dit blog nodig ik Jolanda Aalten*, advocaat arbeidsrecht en privacyrecht, en Theo Spijkerman**, Data Privacy Lead Adecco Group, uit hun visie te delen.”

Gezondheidsgegevens

Deze keer hebben we het over gezondheidsgegevens. Volgens de definitie in de AVG zijn dit alle persoonsgegevens die verband houden met de fysieke of mentale gezondheid van betrokkenen. Dus we hebben het hier niet alleen over ziekmeldingen, maar ook over gegevens over de ziekte en de behandeling zelf. Het zijn vertrouwelijke en bijzondere persoonsgegevens. Verwerking is niet toe gestaan, enkel indien dit is voorgeschreven in de wet bijvoorbeeld ten behoeve van de zorgverlening, het doen van uitkeringen of het verrichten van re-integratie inspanningen. In de praktijk hebben uitzendbureaus er veel mee te maken. Ze willen weten of uitzendkrachten tot een doelgroep behoren, hun uitzendkrachten worden ziek of ze willen maatregelen nemen om corona niet verder te verspreiden.

Theo Spijkerman
Theo Spijkerman

We legden onze experts een aantal veel voorkomende vragen voor.

Welke gezondheidsgegevens van een uitzendkracht mag ik eigenlijk wel vastleggen?

Theo Spijkerman: “Je mag alleen noodzakelijke informatie vastleggen, bijvoorbeeld gegevens die nodig zijn om vast te kunnen stellen wanneer iemand weer beschikbaar is, of er nog lopende afspraken zijn die overgenomen moeten worden en waar en hoe de medewerker tijdens zijn ziekte bereikbaar is.

Voor antwoorden op dergelijke vragen is het niet nodig om specifieke gegevens over de ziekte zelf vast te leggen. Volgens de AVG zijn gegevens over de gezondheid bijzondere persoonsgegevens en is het voor de werkgever niet toegestaan om te informeren naar de oorzaak of de aard van de ziekte. Vanuit sociaal perspectief is het tonen van deze interesse wellicht goed, maar leg dat dan vooral niet vast. En natuurlijk komt het ook voor dat de werknemer vanuit zichzelf wil praten over zijn of haar gezondheid. Echter, uitsluitend de Arbodienst of een bedrijfsarts mag hier navraag over doen en de medische gegevens van de werknemer verwerken.

Het is overigens wel goed om aansluitend op het advies van de Arbo- of bedrijfsarts samen met de zieke werknemer te kijken naar de mogelijkheden die hij of zij nog of al weer heeft en welke werkzaamheden dan eventueel uitgevoerd kunnen worden.”

Jolanda Aalten
Jolanda Aalten

Hoe lang moet je ziekmeldingen bewaren?

Jolanda Aalten: “De AVG geeft alleen maar aan dat je gegevens mag bewaren zolang dat nodig is voor de doeleinden waarvoor ze verzameld zijn. In de AVG zelf zijn dus geen termijnen opgenomen. Als er geen andere wetten zijn die een bewaartermijn voorschrijven dan moet je deze dus zelf bepalen. Omdat je onder de AVG een verantwoordingsplicht hebt, moet je er wel zorgen dat je deze termijnen – en de argumenten daarvoor – vastlegt (bijvoorbeeld in je verwerkingsregister).

Van ziekmeldingen heeft de Autoriteit Persoonsgegevens gezegd dat een verwijdering 2 jaar na einde van het dienstverband redelijk is. Het lijkt dus goed je aan deze termijnen te houden. Als er geschillen zijn kun je deze gegevens eventueel langer bewaren. Deze termijn loopt parallel aan die van personeelsdossiers. Die moet je ook twee jaar na einde wissen.

Voor re-integratiedossiers – waarin meer gevoelige gegevens zijn vastgelegd – geldt een kortere bewaartermijn. De toezichthouders adviseert hier een bewaartermijn van twee jaar na afloop van het dossier aan te houden. Eventuele afspraken over aangepaste taken of hulpmiddelen leg je dan vast in het personeelsdossier.

Ben je eigen risicodrager voor de Ziektewet (ZW) dan gelden daar wel bewaarregels voor. In de wet is een bewaartermijn van 5 jaar (beginnend 1 januari) na afloop van het dossier bepaald.”

Mag ik een uitzendkracht vragen of hij tot een zogenaamde doelgroep behoort?

Theo Spijkerman: “Nee, dat mag niet omdat dit gezondheidsgegevens betreft. Wel kun je via het werkgeversportaal van het UWV nagaan of een sollicitant of werknemer in het doelgroep-register is opgenomen. In het doelgroep-register staan alle personen die onder de banenafspraak vallen en welke (financiële) regelingen hiervoor gelden. Indien een werknemer minimaal 2 maanden in dienst is, of bij de eerste ziekmelding, mag wel worden gevraagd of er een no-riskpolis voor de werknemer van toepassing is. In deze situatie is de werknemer zelfs verplicht om op grond van de ZW een antwoord te geven. Daarbij hoeft hij echter niet te vermelden waarom hij daar onder valt.”

Hoe zit het met het bewaren van een doelgroepverklaring?

Theo Spijkerman: “Je moet de doelgroepverklaring (op basis van de wet tegemoetkoming loondomein) in de loonadministratie opslaan. Bij controle kan de Belastingdienst hierom vragen. Voor de loonadministratie geldt een bewaartermijn van 7 jaar.”

Er wordt van uitzendbureaus wel eens verwacht dat ze rapporteren over de inzet van doelgroepers. Mag dat dan eigenlijk wel?

Jolanda Aalten: “Ja, dat mag. Maar let op, je moet er altijd voor zorgen dat het niet om persoonsgegevens gaat. Met andere woorden: dat gegevens niet herleidbaar zijn naar een persoon. Belangrijke voorwaarde daarbij is dat de gegevens niet herleidbaar zijn naar individuele personen.”

Mag ik gezondheidsgegevens verstrekken aan mijn re-integratiebedrijf?

Jolanda Aalten: “De werkgever mag alleen voor de dienstverlening noodzakelijke gegevens aan het re-integratiebedrijf verstrekken. Het gaat hierbij dan met name om NAW-gegevens, BSN, gegevens rondom ziekmelding (zoals verwachte verzuimduur), voortgangsrapportages, etc. Indien noodzakelijk kan de bedrijfsarts gezondheidsgegevens verstrekken aan het re-integratiebedrijf. Maar dan wel aan iemand die in staat is om dat soort gegevens te beoordelen en op basis hiervan te adviseren. Doorgaans zal dit een medisch geschoold persoon zijn.”

Mag ik mijn werknemer verplichten een coronatest te laten doen?

Theo Spijkerman: “Nee, dat mag niet. Een lichaamstemperatuur is een medisch gegeven als die te herleiden is tot een specifiek persoon. En zoals eerder gezegd: gezondheidsgegevens mag je niet verwerken. Je kunt medewerkers wel de mogelijkheid bieden om zelf een meting te verrichten. Het advies is dit dan wel te laten gebeuren in een aparte ruimte. Verder mag je de gegevens niet opslaan en je kunt medewerkers ook niet verplichten de uitslag te delen met hun werkgever.”

Gerrit van Rooij, Functionaris Persoonsgegevens (FG) van HelloFlex group

Wil je ook een vraag inbrengen, laat het ons weten, via persoonsgegevens@helloflexgroup.com.

Meer weten?
Kennisdocument Wet banenafspraak en quotum arbeidsbeperkten (voorjaar 2020)
AWVN – Veel gestelde vragen over coronavirus, werk en privacy
Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers (AP)

*Jolanda Aalten
Jolanda Aalten is advocaat privacyrecht en arbeidsrecht. Zo is zij als privacyrecht advocaat werkzaam geweest voor de ABU en werkt zij voor de Nationale Politie. Daarnaast is zij voor diverse organisaties, waaronder uitzendorganisaties werkzaam als Functionaris voor de Gegevensbescherming.
**Theo Spijkerman
Theo Spijkerman is al meer dan 25 jaar actief in de uitzend-, detacherings- en payrollbranche waarvan de laatste ruim 15 jaar bij The Adecco Group (AGN). Hier is hij gestart in een commerciële rol met verantwoordelijkheid voor Noord-Oost Nederland waarna hij een stap heeft gemaakt naar de landelijke functie van HR-manager flex. Sinds 2017 is Theo als Data Privacy Lead verantwoordelijk voor het privacy beleid binnen AGN.

Lees ook
AVG en gebruik van social media bij recruitment
AVG en het gebruik van BSN
Interview met Theo Spijkerman: The Adecco Group implementeert AVG

Gerrit van Rooij is privacy adviseur bij Stichting AVG Garant.