Dwangsom dreigt bij verwerken gezondheidsgegevens werknemers
De Autoriteit Persoonsgegevens heeft de bevoegdheid om bedrijven en organisaties een hoge boete op te leggen als zij de Wet bescherming persoonsgegevens overtreden. Voor het jaar 2017 heeft de Autoriteit Persoonsgegevens aangekondigd om de focus onder meer te leggen op de naleving van het verbod op verwerking van bijzondere persoonsgegevens. Hiertoe behoren onder meer de gezondheidsgegevens van werknemers. Als werkgever moet u er bewust van zijn welke gegevens wel en niet mogen worden verwerkt bij een ziekmelding van een werknemer.
Op grond van artikel 16 Wet bescherming persoonsgegevens is de verwerking van persoonsgegevens over iemands gezondheid verboden. Het betreft een ruim begrip: alle gegevens die de lichamelijke of geestelijke gezondheid van een persoon betreffen – en dus ook het enkele feit dat iemand ziek is – vallen onder dit verbod. De Wet bescherming persoonsgegevens kent wel een aantal uitzonderingen op dit verbod. Zo is het verbod niet van toepassing voor zover de verwerking noodzakelijk is voor een goede uitvoering van wettelijke voorschriften of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene. Anders gezegd: de werkgever mag bijvoorbeeld wel gegevens verwerken die noodzakelijk zijn om het recht op loondoorbetaling bij ziekte vast te stellen.
Wat mag wel bij registratie ziekmelding?
Bij een ziekmelding door de werknemer mag een werkgever de ziekmelding registreren, maar over de gezondheid van de werknemer mag de werkgever alleen de volgende gegevens vragen en vastleggen:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een vangnetbepaling van de Ziektewet valt (maar niet onder welke vangnetbepaling);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waarbij mogelijk een aansprakelijke derde is betrokken (vanwege de regresmogelijkheid).
Wat mag niet bij registratie ziekmelding?
Het is de werkgever niet toegestaan om de werknemer te vragen naar de aard en oorzaak van de ziekte. Dit is namelijk niet noodzakelijk om het recht op loondoorbetaling vast te stellen. Dit wordt ook niet anders wanneer de werknemer toestemming zou geven om te informeren naar de aard en oorzaak van zijn ziekte. Van een vrij gegeven toestemming door de werknemer kan namelijk geen sprake zijn omdat de werknemer zich vanwege de gezagsverhouding tussen hem en de werkgever gedwongen zou kunnen voelen om toestemming te geven. Verder is het niet aan de werkgever om vast te stellen óf en zo ja, in welke mate, een werknemer arbeidsongeschikt is. Deze taak is uitsluitend voorbehouden aan de bedrijfsarts.
Voorbeeld onderzoek Autoriteit Persoonsgegevens
Als toezichthouder op de privacy voert de Autoriteit Persoonsgegevens controle uit op naleving van de Wet bescherming persoonsgegevens. Om die reden heeft de Autoriteit Persoonsgegevens (destijds nog het College bescherming persoonsgegevens) in juli 2015 naar aanleiding van een signaal over de gang van zaken bij een ziekmelding onderzoek ingesteld naar een zorginstelling. Onderwerp van het onderzoek was de vraag of de zorginstelling gegevens over de gezondheid van de werknemers verwerkte en zo ja, of die verwerking noodzakelijk was voor een goede uitvoering van wettelijke voorschriften en regelingen in verband met de loondoorbetalingsverplichting en de re-integratie of begeleiding van zieke of arbeidsongeschikte werknemers.
Aard en oorzaak ziekte geregistreerd
De Autoriteit Persoonsgegevens stelde vast dat de zorginstelling niet alleen de ziekmelding registreerde, maar ook de aard en oorzaak van de ziekte. Het verzuimsysteem van de zorginstelling beschikte over een uitklapveld met zo’n 27 verschillende aandoeningen waaruit door de leidinggevende een keuze kon worden gemaakt. Daarnaast bepaalde de zieke werknemer in overleg met de leidinggevende – zonder tussenkomst van een bedrijfsarts – zelf het ziektepercentage dat werd ingevuld in het verzuimsysteem van de zorginstelling. Hiermee handelde de zorginstelling in strijd met het verbod op de verwerking van persoonsgegevens over de gezondheid. De zorginstelling kon geen beroep doen op de uitzonderingsgrond omdat de verwerking van de gegevens niet noodzakelijk was voor de vaststelling van de loondoorbetalingsverplichting en de begeleiding en re-integratie van zieke werknemers.
Omdat de zorginstelling haar werkwijze naar aanleiding van de bevindingen van de Autoriteit Persoonsgegevens onvoldoende aanpaste, heeft de Autoriteit Persoonsgegevens een last onder dwangsom opgelegd vanwege overtreding van de Wet bescherming persoonsgegevens. De last hield in dat de zorginstelling binnen 2 maanden haar werkwijze zodanig moest hebben aangepast dat in geval van arbeidsongeschiktheid slechts de ziekmelding wordt geregistreerd waarbij de zorginstelling zich moet onthouden van het verwerken van andere medische persoonsgegevens. Wanneer de werkwijze niet tijdig en/of niet geheel zou zijn aangepast zou de zorginstelling een dwangsom van € 5.000,- per week verbeuren, tot een maximum van € 50.000,-. Hiermee was het eerste dwangsombesluit van de Autoriteit Persoonsgegevens een feit.
De zorginstelling heeft bezwaar ingesteld tegen dit besluit en de voorzieningenrechter verzocht om het besluit te schorsen. De voorzieningenrechter heeft het schorsingsverzoek op 15 december 2016 afgewezen (JAR 2017/49, ECLI:NL:RBMNE:2016:6795). Volgens de voorzieningenrechter heeft de zorginstelling het verbod om gezondheidsgegevens te verwerken overtreden zodat de Autoriteit Persoonsgegevens bevoegd was om tot handhaving over te gaan.
Aanpassen beleid in uw organisatie
Nu de Autoriteit Persoonsgegevens voor het jaar 2017 heeft aangekondigd om de focus te leggen op de naleving van het verbod op verwerking van bijzondere persoonsgegevens, zult u kritisch naar het beleid betreffende de verwerking van bijzondere persoonsgegevens – waaronder begrepen gezondheidsgegevens van de werknemers – in uw organisatie moeten kijken en dit in overeenstemming moeten brengen met het bepaalde in de Wet bescherming persoonsgegevens.