Hoe ondersteun je je zieke werknemer optimaal in zijn herstel als je niet eens meer mag vragen wat hem mankeert? Deskundigen maken zich zorgen over de gevolgen van de nieuwe privacywet.

Op 25 mei 2018 gaat de nieuwe Europese privacywet in. Deze nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG), is bedoeld om persoonlijke informatie te beschermen in een steeds digitaler wordende wereld. Voor werkgevers brengt de AVG een aantal forse uitdagingen met zich mee. Soms dreigen ze zelfs voor een vrijwel onwerkbare situatie te worden gesteld, waarschuwen deskundigen. Een van de voornaamste ‘hoofdpijndossiers’ lijkt de begeleiding van zieke werknemers te worden.

Robert Wondaal, commercieel directeur bij Robidus, legt uit: “Als werkgever heb je de verantwoordelijkheid om een medewerker met verzuim zo snel mogelijk weer terug te begeleiden naar het arbeidsproces. Maar volgens de AVG is het niet toegestaan voor werkgevers om te informeren naar de aard en oorzaak van het verzuim van hun werknemers. De werkgever komt daardoor in een spagaat: Hij heeft enerzijds die re-integratieplicht, maar kan niet over de informatie beschikken om optimaal aan die plicht te kunnen voldoen. Om iemand goed te ondersteunen bij zijn of haar re-integratie moet je toch enigszins weten wat er aan de hand is?”

Volgens Wondaal gaat de nieuwe wetgeving heel ver: “Stel dat een werknemer extra rugtraining nodig heeft om te kunnen herstellen van een blessure. Als werkgever betaal je dan de kosten van die training, maar je mag eigenlijk de factuur niet zien, want daarop staat vermeld wat de werknemer heeft. En dat mag je niet weten. Als iemand een been breekt zet hij dat op Facebook en reageren er direct honderden mensen die hem sterkte wensen. Maar de werkgever mag niet weten wat er aan de hand is.”

Onrust

De aankomende veranderingen zorgen voor veel onrust en onduidelijkheid, merkt Wondaal: “Wij merken dat bij het merendeel van de werkgevers de praktische gevolgen nog totaal niet inzichtelijk zijn. Ze worstelen nog enorm met allerlei processen en controles die ze moeten inbouwen om aan de AVG te voldoen en zitten daarnaast met het praktische probleem dat ze niet weten wat ze nog wel en wat ze niet meer aan hun werknemers mogen vragen. Velen weten ook volstrekt niet wat ze nog mogen vastleggen. Er is natuurlijk ook nog geen jurisprudentie. Bij nieuwe wetgeving heb je vaak een grijs gebied, wat langzaamaan concreter wordt als de eerste jurisprudentie ontstaat.”

Ook de relatie tussen werkgevers en medici wordt een stuk ingewikkelder. Wondaal: “Medici mogen de gegevens verwerken en zij mogen uiteraard de medische kant wel zien en in hun systeem opslaan. Maar het wordt steeds lastiger om medische informatie om te zetten in iets waar de werkgever mee aan de slag kan. De arts kan niet meer normaal communiceren met een vertegenwoordiger uit de organisatie; hij kan geen open gesprek meer aangaan.  Bovendien neemt in de nieuwe situatie de druk op bedrijfsartsen toe doordat hun rol steeds groter wordt. In combinatie met het gegeven dat er een chronisch tekort is aan bedrijfsartsen, krijg je een enorme belemmering in de re-integratie. Niemand zit erop te wachten dat het acht weken duurt totdat een zieke werknemer naar de bedrijfsarts kan.”
Wondaal ziet nog een tweede risico, dat minstens net zo groot is: “Het wordt voor de werkgever steeds lastiger om de financiën onder controle te houden en het verzuim te beheersen. Als je handen gebonden zijn is de kans groot dat de verzuimkosten gaan stijgen.” Wondaal vreest een structurele stijging als de AVG onveranderd doorgaat: “En dan gaat het al snel om meer dan 1 of 2 procent. Stel dat je verzuim van 6 procent naar 10 procent gaat, dan heb je een feitelijk probleem. Dan gaat het niet alleen meer om het re-integreren van zieke werknemers, maar om de stabiliteit van je hele bedrijf.”

Behoefte aan nuance

Op zo’n situatie zit natuurlijk noch de werkgever noch de wetgever te wachten. Wondaal pleit er daarom voor om te kijken hoe de nieuwe wetgeving kan worden ontdaan van haar scherpste kanten: “Er is echt behoefte aan nuance. Het voordeel is dat de Europese wetgeving wel ruimte biedt voor nuances per land. De wet gaat nu heel erg uit van het negatieve, terwijl je er in de meeste situaties van uit kunt gaan dat de werknemer erbij gebaat is als de werkgever de helpende hand toereikt. Ik denk dat we meer van dat positieve moeten uitgaan: Als je als werkgever aantoonbaar kunt maken dat de informatie over een werknemer relevant is en een goed doel dient en als die werknemer daarin meegaat en ervoor open staat om die informatie te delen, dan moet dat kunnen.
Het zou mooi zijn als de wetgeving daarvoor ruimte gaat creëren. Uiteraard moeten we misbruik van informatie altijd tegengaan. Op zich ben ik een groot voorstander van het beschermen van werknemers tegen misbruik van persoonsgegevens. Maar op het moment dat je als werkgever kunt aantonen dat je gegevens gebruikt in het belang van je medewerker moeten daarvoor mogelijkheden zijn.”

Te weinig kennis

Ondertussen is de invoering van de nieuwe AVG in mei een gegeven. Wat raadt Wondaal werkgevers aan teneinde zo goed mogelijk voorbereid te zijn? “Zorg in ieder geval dat je op de hoogte bent van de eisen die vanuit de AVG gesteld worden, want daarover is nog steeds te weinig kennis”, zegt hij: “Als je die kennis hebt kun je een inschatting maken van de risico’s voor je eigen bedrijfsvoering. Verder is het belangrijk dat je duidelijk kunt maken dat de activiteiten die je ontplooit en de keuzes die je maakt voortkomen uit goede bedoelingen. Zorg ook dat je intern iemand hebt die steekproeven of controles doet. Stel dat er een controle komt, dan is het belangrijk dat je kunt aantonen waarom je bepaalde keuzes hebt gemaakt. Het begint ermee dat je zorgt dat je beleidsmatig de zaken op orde hebt, dat je een goed verzuimbeleid hebt en dat je vastlegt waarom je de dingen doet die je doet. We zien te vaak dat die documenten afwezig of verouderd zijn.”

Wat zijn de voornaamste onderwerpen in de AVG?

Per 25 mei 2018 gaan in het kort de volgende punten veranderen op het gebied van privacywetgeving:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor bedrijven;
  • dezelfde bevoegdheden voor alle Europese privacy toezichthouders (in Nederland is dit de Autoriteit Persoonsgegevens), zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

De AVG bevat regels waarmee de persoonsgegevens van elke Europese burger op dezelfde manier worden beschermd. De belangrijkste hiervan zijn:

  1. Eigen verantwoordelijkheid – Werkgevers moeten kunnen aantonen dat zij de juiste technische en organisatorische maatregelen hebben getroffen om aan de AVG-eisen te voldoen.
  2. Controleur aanstellen – Bepaalde organisaties zijn verplicht een Data Protection Officer (DPO) of Functionaris voor Gegevensbescherming (FG) aan te stellen. Dat hoeft niet per se een werknemer van de betreffende organisatie te zijn.
  3. Boetes – Houdt u zich niet aan de regels? Dan kan een boete van maximaal 20 miljoen euro (of 4 procent van de totale omzet) worden opgelegd.
  4. Rechten van betrokkenen – De rechten van betrokkenen zijn in de AVG aangescherpt. U dient te kunnen voldoen aan verzoeken met betrekking tot:
  • het recht op inzage;
  • het recht op vergetelheid en verwijderen van gegevens;
  • het recht op dataportabiliteit;
  • het recht om de verwerking te beperken;
  • het recht om bezwaar te maken tegen het verwerken van gegevens.