Hoe voorkom ik hoge boetes als werkgever ten gevolge van schending privacywetgeving en datalekken?
Ieder dienstverband brengt verwerking van (persoons)gegevens met zich mee, met name in het geval een werknemer ziek is. Op grond van de wet zijn zowel werkgever als werknemer verplicht een actief ziekteverzuimbeleid te voeren. Hierdoor heeft werkgever behoefte aan (verdere) informatie over de zieke werknemer. De verwerking van persoonsgegevens van zieke werknemers is echter stringent bij wet gereguleerd. De Wet bescherming persoonsgegevens (= Wbp) beperkt werkgever onder meer in de mogelijkheden van het verwerken van informatie over zieke werknemers; werkgever dient voorts de wettelijke bewaartermijnen in ogenschouw te nemen en de strenge eisen op te volgen die gesteld worden aan de beveiliging van persoonsgegevens. Omdat de ‘boetebevoegdheid’ van de Autoriteit Persoonsgegevens (= AP) per januari 2016 is verhoogd tot € 810.000 of 10% van de jaaromzet, is dit onderwerp derhalve bij veel werkgevers – terecht – inmiddels een agendapunt geworden. Hieronder dan ook enkele aandachtspunten aangaande de verwerking van persoonsgegevens van zieke werknemers.
(Bijzondere) persoonsgegevens
Onder persoonsgegevens worden verstaan alle gegevens met betrekking tot een geïdentificeerde of identificeerbare persoon, zoals bijvoorbeeld: een naam, foto of e-mailadres, maar ook medische gegevens. Het ‘verwerken van’ persoonsgegevens omvat volgens de Wbp vrijwel iedere denkbare handeling met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken en verstrekken.
De verplichtingen uit de Wbp gelden vanzelfsprekend ook voor werkgevers. Omdat gegevens over de gezondheid van werknemers als zeer privacygevoelig kunnen worden aangemerkt duidt de Wbp deze dan ook als ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens worden wettelijk (nog) beter beschermd dan ‘gewone’ persoonsgegevens. De hoofregel is: de verwerking van bijzondere persoonsgegevens is in principe verboden; de Wbp geeft enkele uitzonderingen ten aanzien van dit verbod die relevant zijn voor het verwerken van gegevens van zieke werknemers.
De verwerking van de ziekmelding
Zieke werknemers dienen zich – ook vanwege het recht op loondoorbetaling – in beginsel zo spoedig mogelijk bij werkgever ziek te melden. Werkgever zal dan doorgaans zo snel mogelijk een bedrijfsarts inschakelen teneinde de arbeidsongeschiktheid van werknemer te laten beoordelen.
Ingevolge de Wet werk en inkomen naar arbeidsvermogen (‘WIA’) is werkgever verplicht de voortgang van de arbeidsongeschiktheid van werknemer vast te leggen in een zogenaamd re-integratiedossier. Werkgever mag in dit kader gegevens verwerken over de ziekte/arbeidsongeschiktheid van werknemer. De Wbp verbiedt de werkgever echter de verwerking van gegevens die verdergaat dan noodzakelijk voor het bijhouden van de voortgang van de ziekte van werknemer! Zo mag werkgever bijvoorbeeld niet vragen naar de aard en/of de oorzaak van de ziekte van werknemer noch naar de beperkingen en mogelijkheden van werknemer.
Concreet mag u als werkgever bij een ziekmelding van werknemer alleenom de navolgende informatie vragen en deze informatie verwerken:
- het telefoonnummer en (verpleeg)adres van werknemer;
- de te verwachten duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar dan weer niet: onder welke vangnetbepaling hij valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met een mogelijk regres).
Let op! Werkgever mag dus niet meer dan voornoemde gegevens over de zieke werknemer verwerken. Ook niet in het geval de zieke werknemer hiervoor zelf zijn uitdrukkelijke toestemming geeft of uit zichzelf andere informatie geeft; de Wbp staat de verwerking van dergelijke gegevens simpelweg niet toe; er mogen niet meer gegevens worden verwerkt dan noodzakelijk. In de praktijk komt het echter vaak voor dat werknemers spontaan gegevens, zoals bijvoorbeeld de oorzaak van verzuim, aan werkgever melden en werkgever hier aantekening van maakt. Dat laatste is dus in strijd met de Wbp. Uitzondering: indien sprake is van een ziekte waarvan collegae op de hoogte moeten zijn in het geval (eerste) hulp moet kunnen worden verleend, mogen deze gegevens wel worden verwerkt door werkgever.
Re-integratiegegevens
Als een werknemer arbeidsongeschikt is dient er actief gewerkt te worden aan re-integratie. De re-integratieverplichtingen van werkgever en werknemer staan opgenomen in de Wet verbetering poortwachter (‘Wvp’). Zo is werkgever onder meer verplicht zich tijdens de re-integratie te laten bijstaan door een geregistreerde bedrijfsarts of gecertificeerde arbodienst; werkgever blijft echter zelf altijd verantwoordelijk voor de re-integratie.
In het kader van de begeleiding verwerkt de bedrijfsarts (veel) gegevens over de gezondheid van werknemer. Aan werkgever mag de bedrijfsarts echter alleen die gegevens verstrekken, die de werkgever nodig heeft voor het vaststellen van de loondoorbetalingsverplichting als ook de re-integratieverplichtingen en dat zijn:
- de werkzaamheden waartoe werknemer niet meer of nog wel in staat is;
- de verwachte duur van het verzuim;
- de mate waarin de werknemer arbeidsongeschikt is;
- eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die werkgever voor de re- integratie van de werknemer moet/zou kunnen treffen.
Dit zijn derhalve de enige gegevens die werkgever – naast de gegevens van de ziekmelding zoals hierboven al genoemd – mag verwerken, in bijvoorbeeld het plan van aanpak, het re-integratiedossier en/of het re-integratieverslag. De gegevens die de bedrijfsarts niet aan werkgever mag verstrekken en die werkgever dus ook niet mag verwerken zijn:
- diagnose, naam ziekte, specifieke klachten of pijn aanduidingen;
- eigen, subjectieve, waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand van werknemer;
- gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen, e.d.;
- overige situationele problemen van werknemer, zoals relatieproblemen, problemen uit het verleden, e.d.
Verder is het van belang te weten dat de verwerkte gegevens niet langer te bewaren dan voor het doel noodzakelijk is.
Beveiliging en datalekken
De Wbp verplicht werkgever om door middel van ‘passende technische en organisatorische maatregelen’ de persoonsgegevens van werknemers te beveiligen tegen verlies en onrechtmatige verwerking. Technische maatregelen hebben betrekking op de beveiliging van apparatuur, gebouw en opslag. Organisatorische beveiliging ziet op maatregelen ten aanzien van het gebruik van persoonsgegevens binnen de eigen de organisatie. Hieronder kort een overzicht van de beveiligingsverplichtingen met betrekking tot de administratie van gegevens over de gezondheid van werknemers:
- Technische maatregelen. Het systeem waarmee de persoonsgegevens worden geadministreerd moet goed beveiligd zijn en niet voor een ieder toegankelijk. De toegang tot het systeem moet zijn afgesloten met (ten minste) een gebruikersnaam en wachtwoord. Indien werkgever gebruikmaakt van een systeem in de zogenaamde ‘cloud’ of via internet, dan moet ten minste sprake zijn van tweefactor-authenticatie (deze authenticatie vereist naast een gebruikersnaam en wachtwoord ook een tweede authenticatie, zoals via een SMS of het inloggen met een ‘token’ welke een tijdelijke code verstrekt). Voorts dient werkgever de concrete beveiligingsrisico’s in kaart te brengen.
- Organisatorische maatregelen. Dit houdt in dat het systeem van werkgever op een wijze moet zijn ingesteld dat het onmogelijk is dat werknemers die medische gegevens niet mogen inzien, hier toegang toe (zouden) hebben. Ook mogen de gegevens in het systeem niet worden gebruik voor (door-)ontwikkeling of het testen van het systeem.
- Meldplicht datalekken. Sinds 1 januari 2016 geldt de Wet meldplicht datalekken. Dat houdt in dat als sprake is van een datalek, er een meldplicht geldt aan de AP. Binnen 72 uur moet melding worden gemaakt bij een inbreuk op de beveiliging welke leidt tot de aanzienlijke kans (of de zekerheid) op ernstige nadelige gevolgen (verlies of onrechtmatige verwerking) voor de bescherming van persoonsgegevens. Er is al sprake van een datalek in de zin van de Wbp bij iedere schending van het technische beveiligingsbeleid (bijvoorbeeld een virus). Ook het verliezen van een USB-stick met daarop persoonsgegevens, of een werknemer die gegevens uit de personeelsadministratie downloadt zonder hiertoe bevoegd te zijn, wordt al aangemerkt als een datalek en moet gemeld worden.
Boetebevoegdheid AP
Per 1 januari 2016 is de boetebevoegdheid van de AP bij overtreding van Wbp-verplichtingen verhoogd van maximaal € 4.500 per overtreding naar maximaal € 810.000 per overtreding of 10% van de jaarlijkse omzet. Kortom, de (mogelijke) gevolgen van het niet naleven van de privacy verplichtingen zijn voor werkgevers (in theorie) aanzienlijk geworden. De vraag is echter hoe vaak de AP over zal gaan tot oplegging van dergelijke hoge bedragen. Tot op heden heeft de AP nauwelijks boetes opgelegd. Maar een gewaarschuwd mens…
Indien u vragen heeft over dit onderwerp, kunt u vrijblijvend contact opnemen met mr. Sascha I. Janssen op 030-2727327.