"Voor futureproof ondernemen in flex"
SLUIT MENU

AVG en ziekteverzuim

Help, mijn medewerker is ziek. Hoe zijn de regels voor verwerking van zijn of haar persoonsgegevens bij ziekteverzuim? 

Inge Brattinga
Inge Brattinga

Door Inge Brattinga*, VRF Advocaten

Een artikel over privacy en zieke medewerkers. Welke (persoons)gegevens mag u wel en niet verwerken over een zieke medewerker en waarom dan precies? Wat als u geen contact krijgt met uw zieke medewerker en het werk moet wel doorgaan? Over deze en andere vragen gaat dit artikel.

Bijzondere persoonsgegevens
Allereerst het juridisch kader van de Algemene Verordening Gegevensbescherming (AVG). Gegevens over iemands ziekte valt onder de bijzondere categorieën van persoonsgegevens ingevolge artikel 9 lid 1 AVG, omdat dit gegevens over gezondheid betreft. Dit artikel bepaalt vervolgens ook dat de verwerking hiervan verboden is, behoudens de uitzonderingen in lid 2 van dit artikel.

Een voorbeeld waar de Autoriteit Persoonsgegevens een boete heeft uitgedeeld omdat de verzuimregistratie te veel persoonsgegevens bevatte die volgens de AVG niet zijn toegestaan en die bovendien niet deugdelijk waren beveiligd vindt u in het boeterapport van CP&A.

Toestemming in een gezagsverhouding
Eén van de uitzonderingen op het verbod tot verwerking van gezondheidsgegevens is toestemming volgens artikel 9 lid 2 onder a AVG. Probleem opgelost zult u denken. Veel medewerkers zullen u uit zichzelf vertellen wat er met hen aan de hand is. Dit is natuurlijk de keuze van de medewerker, maar dit betekent niet dat zij u ook toestemming geven om deze informatie te verwerken in bijvoorbeeld de verzuimregistratie. Toestemming moet volgens artikel 4 lid 11 AVG vrijelijk, specifiek en geïnformeerd worden gegeven. Het moet een ondubbelzinnige wilsuiting zijn waarmee de medewerker door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van de persoonsgegevens aanvaardt. En hier wringt precies de schoen. Tussen u als werkgever en uw medewerker is sprake van een gezagsverhouding waardoor toestemming alleen in zeer uitzonderlijke gevallen stand zal houden. In de arbeidsrelatie valt niet uit te sluiten dat een medewerker onder druk van de relatie waarin hij staat tot de werkgever zich gedwongen voelt toestemming te verlenen, zodat er geen sprake is van vrije wilsuiting. Artikel 7 AVG stelt vervolgens nog aanvullende eisen aan de toestemming, namelijk dat u moet aantonen dat die toestemming er is, dat die altijd kan worden ingetrokken door betrokkene en bij de uitvoering van een overeenkomst of wanneer dit noodzakelijk is voor de uitvoering van de overeenkomst. Voor de uitvoering van de arbeidsovereenkomst is het niet noodzakelijk de aard en oorzaak van de ziekte van de medewerker te verwerken. Alleen noodzakelijk is de eventuele arbeidsmogelijkheden en beperkingen.

Stuur dus gerust een kaartje aan uw zieke medewerker, dit draagt zeker bij aan herstel, maar wens hem of haar bijvoorbeeld niet veel beterschap met het herstel van een gebroken been, maar met herstel.

Beveiligen
Dan nog een aandachtspunt. Op basis van artikel 32 AVG moet u de persoonsgegevens die u verwerkt goed beveiligen tegen onder meer misbruik, ongeoorloofde inzage en verlies. Dit geldt natuurlijk ook voor de verzuimregistratie. Zeker omdat er in de verzuimregistratie sprake is van (hoewel zeer beperkte) bijzondere persoonsgegevens, is de noodzaak voor een goede beveiliging en beperking van de toegang hiertoe door alleen de noodzakelijke medewerkers in de organisatie nog belangrijker. Zorg dan ook dat de verzuimregistratie slechts beperkt toegankelijk is voor bijvoorbeeld HR en de leidinggevende, maar verder voor niemand. Zie ook hiervoor de boete die de Autoriteit Persoonsgegevens heeft gegeven aan CP&A waarin de toegang tot de verzuimregistratie te ruim was vormgegeven.

Bewaartermijn gegevens
De verzuimregistratie mag niet langer dan 2 jaar na het einde dienstverband bewaard worden, tenzij u eigen risicodrager bent voor de Ziektewet. In dat geval betreft de bewaartermijn 5 jaar na het einde van het kalenderjaar waarin de laatste handeling in het dossier heeft plaatsgevonden. Voor re-integratiedossiers adviseert de AP een bewaartermijn van 2 jaar na afloop van de reintegratie. Zie Rapport (autoriteitpersoonsgegevens.nl).

Checken zakelijke e-mail
Helaas kan het ook voorkomen, dat u niet (goed) in contact komt met uw zieke medewerker maar het werk dat deze medewerker deed, wel door moet gaan. Mag u dan de zakelijke e-mail checken van de medewerker? Ja dat mag. Als dit noodzakelijk is voor de voortgang van de onderneming en/of het werk en er geen andere mogelijkheid is, is dit toegestaan. U moet ten slotte altijd alleen de optie gebruiken, die het minst inbreuk maakt op de privacy . Het moet dus noodzakelijk zijn en niet anders kunnen. Als dit het checken van de zakelijke e-mail is, dan is dit prima te verantwoorden. Let wel op dat u de mailbox door 1 of een enkele medewerkers laat bekijken en als de mail een indruk wekt privé te zijn, mag u deze niet openen. Hierbij is het wel van belang de medewerker hierover te informeren. Dit is meteen een gelegenheid om de medewerker te wijzen op zijn verplichtingen volgens de wet en vermoedelijk uw verzuimprotocol om in contact te blijven met u als werkgever over de voortgang van het herstel.

Inzage
Tenslotte nog een aandachtspunt waar eerder een artikel aan is gewijd (ik zie ik zie wat jij niet ziet). Het recht op inzage. De medewerker heeft vanzelfsprekend ingevolge artikel 13 AVG recht op inzage in de verzuimregistratie die u bijhoudt. Eventuele persoonlijke notities van u of een leidinggevende vallen hier niet onder. Het verstrekken hiervan kan gevolgen hebben voor de privacy van degene die de persoonlijke notitie heeft gemaakt en deze wordt hier op basis van de AVG in beginsel tegen beschermd. Neem persoonlijke notities dan ook niet op in de verzuimregistratie zodat bij een inzage verzoek de verzuimregistratie eenvoudig aan de medewerker kan worden verstrekt, zonder allerlei extra controles.

Tot zover de ins en outs van privacy bij een zieke medewerker. Meer informatie kunt u vinden in de beleidsregels van de Autoriteit Persoonsgegevens Rapport (autoriteitpersoonsgegevens.nl).

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.

Lees ook
Verwerking persoonsgegevens en inzageverzoek AVG
Aanleg van een personeelsdossier en eisen vanuit de AVG

Inge Brattinga is werkzaam als jurist bij VRF Advocaten en docent onderzoeker bij de Juridische Hogeschool.