Print:

Persoonsgegevens van werknemers: wat mag wel en niet?

Steffie Bom , Tekstschrijver

LinkedIn profiel

Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) nieuwe beleidsregels met betrekking tot de zieke werknemer. “Het bevestigt de bijzondere aandacht die de AP sinds enige tijd weer heeft voor de verwerking van persoonsgegevens binnen een arbeidsrelatie”, aldus Hester de Vries. “Op het terrein van de gezondheid van werknemers is vaak sprake van grote inmenging van werkgevers in de persoonlijke levenssfeer van werknemers. De AP doet hiernaar dan ook onderzoek in 2016. Daarnaast doet de AP onderzoek naar intensieve vormen van controle van werknemers, zoals cameratoezicht.”

Persoonsgegevens op de werkvloer

De nieuwe beleidsregels gaan dieper in op de verwerking van persoonsgegevens die verband houden met de gezondheid van de werknemer. Aan bod komen de sollicitatieprocedure, de ziekmelding, de ziekteverzuimbegeleiding/re-integratie en de bewaartermijnen van gegevens van zieke werknemers. “De beleidsregels bieden werkgevers duidelijkheid. Onthoud echter dat privacy op de werkvloer een stuk breder is. Ook de privacy van werknemers die niet ziek zijn moet gerespecteerd worden.”

Solliciteren en screenen

De beleidsregels schrijven voor dat een werkgever tijdens een sollicitatie geen vragen mag stellen over de gezondheid van de sollicitant, of diens ziekteverzuim in het verleden. “Er is meer om in die fase rekening mee te houden”, benadrukt Hester de Vries. “Op grond van de Wet op de Loonbelasting is een werkgever verplicht om bij indiensttreding van een nieuwe werknemer diens identiteit te controleren aan de hand van een geldig identiteitsdocument. Na deze controle is de werkgever verplicht een kopie hiervan, inclusief het burgerservicenummer, in de loonadministratie op te nemen en te bewaren.”

“So far so good”, aldus Hester de Vries. “Sommige werkgevers verwerken het burgerservicenummer echter voor andere doelen, bijvoorbeeld als personeelsnummer of zij verplichten werknemers om in te loggen met hun BSN. Dat is in strijd met de wet.”

Zieke werknemers

Hoe goed de relatie tussen een werknemer en werkgever ook is, de werkgever mag een werknemer die zich ziek meldt niet vragen naar de details van zijn ziekte. De werkgever moet dit overlaten aan de arboarts. In de nieuwe beleidsregels is omschreven dat alleen informatie mag worden opgevraagd over de vermoedelijke duur van het verzuim, lopende afspraken en werkzaamheden, het eventuele verpleegadres, of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt, of de ziekte verband houdt met een ongeval en – bij een verkeersongeluk – of een aansprakelijke derde betrokken is. Alleen wanneer sprake is van verzuimbegeleiding of re-integratie, mag de werkgever om meer informatie vragen.

Protocollen opstellen

Een bewakingscamera hangt er om te bewaken. Toegangspasjes zijn er om binnen te komen. Een tijdregistratiesysteem is er om tijd te registreren. Kortom, al deze systemen zijn er met een bepaald doel. Ze mogen niet zomaar gebruikt worden voor andere doelen, bijvoorbeeld om bewijs te verzamelen in geval van wangedrag of disfunctioneren van werknemers.

“Daar wringt ‘m vaak de schoen. Werkgevers komen meestal pas in actie nadat een incident heeft plaatsgevonden. Ze willen dan de systemen raadplegen om bewijsmateriaal te verzamelen. Hoewel het strafrechtelijk in bepaalde situaties kan zijn toegestaan, mag het vanuit het oogpunt van privacy niet zomaar. Organisaties moeten vooraf regelingen treffen en verwerkingsdoelen bepalen. Het is van belang dan al rekening te houden met mogelijke incidenten. Denk aan een cameraprotocol en een protocol voor e-mail en internetgebruik. Dat moet ter instemming worden voorgelegd aan de OR en de werknemers moeten geïnformeerd zijn. Werkgevers hoeven zich dan – in geval van een incident – niet in bochten te wringen.”

Boetes

Sinds 1 januari 2016 heeft de AP de bevoegdheid om boetes op te leggen. Omdat de wettelijke normen ‘open’ en lastig te interpreteren zijn moet de AP eerst een bindende aanwijzing opleggen. Dat wil zeggen dat de AP aangeeft wat je moet doen om aan de wet te voldoen. Bij een opzettelijke overtreding van de Wbp of bij ernstige verwijtbare nalatigheid mag de AP wel direct een boete opleggen. “Let wel,” zegt Hester de Vries, “de beleidsregels zijn vrij helder en er is veel aandacht voor. Als organisaties het rapport niet lezen en de regels die daarin staan aan hun laars lappen, lopen ze wel een risico een boete opgelegd te krijgen.”

Hester de Vries is docent aan de opleiding Certified Data Protection Officer. De Nederlandse beroepscertificering voor Privacy Professionals (PO, FG).