De zieke werknemer en zijn privacy

Als uw werknemer ziek is, wilt u als werkgever weten wat er aan de hand is en hoe lang u uw werknemer moet missen. Maar hoe zit het met de privacy van de werknemer? Wat mag u vragen en wat niet?

De Wet Bescherming Persoonsgegevens bepaalt dat de verwerking van persoonsgegevens betreffende iemands gezondheid verboden is. Met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 zullen deze regels nog meer aangescherpt worden. De gevolgen hiervan zijn meer administratie, strenger toezicht door de Autoriteit Persoonsgegevens (AP) en hoge boetes tot 20 miljoen euro of – als dat hoger uitkomt – 4% van de wereldwijde omzet.

Wat mag u als werkgever registreren over de zieke werknemer?

U mag als werkgever gegevens over de gezondheid van zieke werknemers verwerken die noodzakelijk zijn om het recht op loondoorbetaling bij ziekte vast te stellen. Daarnaast gaat het om gegevens die van belang zijn voor het opstellen van het re-integratiedossier. Voor het vaststellen van het recht op loondoorbetaling is niet nodig dat de werkgever de aard en oorzaak van de ziekte kent. Dat hoeft de werknemer dus ook niet te melden.

Onder de registratie vallen gegevens als:

• telefoonnummer en (verpleeg)adres waarop werknemer verblijft tijdens ziekte;
• vermoedelijke duur van het verzuim;
• lopende afspraken en werkzaamheden;
• valt de werknemer onder een vangnetbepaling van de Ziektewet?
• houdt de ziekte verband met een arbeidsongeval?
• is er sprake van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is? Dit in verband met het regresrecht (verhalen loonkosten op deze derde).

Indien de werknemer langer ziek is, zal deze worden begeleid door een arbodienst en/of bedrijfsarts. In verband met de verzuimbegeleiding en re-integratie van de werknemer mag de bedrijfsarts onder andere de volgende gegevens delen met de werkgever.

• mate van arbeidsongeschiktheid van de werknemer;
• verwachte duur van het verzuim;
• werkzaamheden waartoe de werknemer nog wel in staat is;
• eventuele adviezen over aanpassingen, werkvoorzieningen die de werkgever voor de re-integratie moet treffen.

De werkgever mag deze laatste gegevens ook verwerken.

Wat mag u als werkgever niet registreren?

De gegevens die door de werkgever rechtmatig van de bedrijfsarts zijn verkregen mogen worden vastgelegd. Alle mogelijke overige gegevens over de gezondheid van werknemers zijn voor de werkgever niet noodzakelijk voor de loondoorbetalingsverplichting en re-integratie/verzuimbegeleiding. Die mogen daarom niet worden geregistreerd. Het gaat dan om zaken als:

• diagnoses, naam van de ziekte, specifieke klachten of pijnaanduidingen;
• eigen subjectieve waarnemingen van de bedrijfsarts, zowel geestelijk als lichamelijk;
• gegevens over therapieën, afspraken met deskundigen;
• overige problemen van de werknemer uit het heden of verleden.

Toestemming door werknemer

In de Algemene verordening gegevensbescherming staat een uitzondering dat gegevens verwerkt mogen worden met toestemming van de werknemer. Met deze uitzondering moet een werkgever terughoudend zijn. De werknemer moet toestemming geven voor het verwerken van specifieke gegevens. Daarnaast heeft de werkgever een zware administratieplicht en de toestemming kan te allen tijde worden ingetrokken.

Ook krijgen werknemers straks het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Dit is bijvoorbeeld de identiteit van de werknemer en gegevens die nodig zijn voor salarisadministratie.

Wat betekent dit voor u?

De Autoriteit Persoonsgegevens controleert of organisaties zich in de praktijk houden aan de nieuwe privacywetgeving. U zult aan moeten tonen met documenten dat u de juiste organisatorische en technische maatregelen hebt getroffen om aan de AVG te voldoen. Wij helpen u graag door de opzet van uw administratie te toetsen aan de nieuwe regels. Heeft u vragen naar aanleiding van deze blog, neem dan contact met ons op: