Hoewel de Algemene Verordening Gegevens Bescherming (AVG) alweer drie jaar geleden is ingevoerd, weten nog niet alle werkgevers hoe zij correct moeten omgaan met de persoonsgegevens van hun medewerkers. Zolang er geen datalek of klacht speelt, heeft de bescherming van persoonsgegevens niet altijd prioriteit. Toch is het verstandig om goed op de hoogte te zijn van de wet- en regelgeving. Het kan namelijk flink mis gaan…
De Autoriteit Persoonsgegevens (AP) heeft recent aan een onderhoudsbedrijf een boete opgelegd van € 15.000. Waarom? Het ging op een paar punten verkeerd: de werkgever registreerde wat de oorzaak was van het ziekteverzuim van werknemers én deze administratie was onvoldoende beveiligd.
Bij de verwerking van persoonsgegevens (dat zijn dus ook gegevens van werknemers) is een aantal regels en beginselen leidend. Dit betekent onder meer dat er een wettelijke grondslag moet zijn voor de verwerking van persoonsgegevens. Voor een werkgever kan dat bijvoorbeeld zijn dat de verwerking noodzakelijk is om de arbeidsovereenkomst goed uit te kunnen voeren. Daarnaast is dataminimalisatie belangrijk. Dit houdt in dat je zo min mogelijk gegevens verwerkt en dat je alleen die gegevens verwerkt die toegestaan en nodig zijn.
In dit weblog informeren de advocaten en juristen van AWVN u geregeld over actuele arbeidsrechtelijke ontwikkelingen.
Verder is zorgvuldigheid heel belangrijk. Dat betekent dat er goed moet worden nagedacht over het antwoord op de vraag wie er binnen de onderneming toegang tot bepaalde gegevens mag en moet hebben. Dat betekent keuzes maken, en bepaalde datasets afsluiten voor sommige functionarissen en andere juist toegankelijk maken. Bij zorgvuldigheid hoort ook dat je de gegevens goed beveiligt. Achteraf moet je verantwoording kunnen afleggen, bijvoorbeeld aan de AP, over de wijze waarop je met de verwerkte persoonsgegevens bent omgegaan.
De werkgever die in dit geval een boete opgelegd kreeg, verwerkte meer gegevens dan toegestaan door de reden van het ziekteverzuim te noteren in zijn verzuimsysteem. Dat mag niet. Het gaat bij verzuimgegevens vaak om gevoelige of bijzondere persoonsgegevens. Het gaat immers om gegevens over iemands fysieke en/of mentale conditie en gezondheid. Dit soort bijzondere persoonsgegevens verdienen een nog zorgvuldigere aanpak en bescherming dan andere persoonsgegevens. Ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden. Dat geldt ook voor werknemers. Maar een werknemer kan zich verplicht voelen om die informatie wel aan zijn werkgever te geven. Als werkgever moet je je hier dus terughoudend in opstellen.
In deze kwestie registreerde de werkgever onder meer de namen van ziektes, specifieke klachten en pijnaanduidingen. En dit terwijl die gegevens niet noodzakelijk zijn voor de re-integratie van medewerkers. Het is de bedrijfsarts die dit soort gevoelige gegevens wèl mag verwerken en die de werkgever adviseert over de re-integratiemogelijkheden. Let wel: hij mag op zijn beurt deze gegevens ook niet delen met de werkgever.
In uitzonderlijke situaties mag een werkgever overigens wel gezondheidsgegevens van een werknemer verwerken. Dit is bijvoorbeeld het geval wanneer de werknemer een aandoening of ziekte heeft die acuut handelen kan vragen, zoals bij epilepsie of een ernstige allergie. Leidinggevenden en collega’s moeten dan weten hoe zij moeten handelen, waar bijvoorbeeld de medicatie ligt en hoe deze moet worden toegediend. Een dergelijk vitaal belang als grondslag voor de verwerking van persoonsgegevens komt echter niet vaak voor.
In dit geval was de verzuimregistratie online toegankelijk, zonder enige vorm van authenticatie. Dit betekent dat allerlei medewerkers toegang hadden tot de informatie. Echter, alleen bevoegde medewerkers mogen bij deze gegevens. De toegang tot het online systeem mag alleen via meerfactorauthenticatie verlopen. Dat betekent dat een extra beveiligingslaag nodig is en simpelweg inloggen met naam en wachtwoord niet voldoende is. Bevoegde medewerkers moeten hun identiteit ook op een andere, tweede manier aantonen om toegang te krijgen, bijvoorbeeld door een extra code in te voeren.
De onderneming in kwestie heeft de gebreken inmiddels hersteld. Dat neemt niet weg dat er een stevig prijskaartje aan de overtreding hangt en het bedrijf bij naam is genoemd op de website van de AP en in de media. Dat is pijnlijk en was te voorkomen geweest. Hopelijk heeft dit bedrijf ervan geleerd en is dit ook een les voor anderen.
Vragen over omgang met persoonsgegevens?
U kunt met vragen over privacy en werk bij AWVN terecht. Neem gerust contact op met onze werkgeverslijn via tel. 070 850 86 05, of met het advocatenteam.