Autoriteit Persoonsgegevens trapt terecht open deuren in over verzuimsystemen

 De Autoriteit Persoonsgegevens(AP) krijgt regelmatig vragen over het opslaan van medische dossiers in verzuimsystemen. Daarom publiceerde de AP op 15 november 2016 wat wel en niet mag. Het gaat daarbij vooral over hoe de toegang tot de verzuimsystemen geregeld is en wie er toegang toe hebben. Dat aan dit onderwerp  toch een publicatie gewijd moet worden is op zich zorgelijk. Blijkbaar zijn er nog steeds werkgevers, die op wat voor wijze dan ook, inzicht in de medische gegevens in de verzuimregistratie van hun werknemers willen hebben. Een werkgever mag nooit inzage hebben in de medische gegevens van een werknemer en dient door een bedrijfsarts c.q. Arbo-dienst slechts een zeer beperkt aantal zaken over de ziekmelding gemeld te krijgen.

Mag niet

De AP laat weten dat een werkgever géén gegevens mag verwerken over de aard en oorzaak van de ziekte van zijn zieke werknemers. Daarom mag een bedrijfsarts of arbodienst de medische dossiers van werknemers niet opslaan in een verzuimsysteem dat de werkgever zelf gebruikt én beheert.

Mag wel

Daarentegen mag een werkgever de bedrijfsarts of arbodienst wél vragen de medische dossiers van zijn zieke werknemers op te slaan in een door hem uitgekozen verzuimsysteem, bijvoorbeeld het (extern beheerde) verzuimsysteem dat hij zelf ook gebruikt. De bedrijfsarts of arbodienst moet in zo’n geval een bewerkersovereenkomst afsluiten met de beheerder van het verzuimsysteem. Daar moet onder meer in staan dat alleen de bedrijfsarts/arbodienst toegang krijgt tot de medische dossiers. En dat deze zich bij toegang via internet met zogeheten meer-factor-authenticatie moet identificeren, dus niet alleen met inlognaam en wachtwoord. De beheerder geeft alleen aan de bedrijfs-of Arboarts toegang tot de medische dossiers van de werknemers. De opdrachtgever van de bedrijfs-  of Arboarts, de werkgever dus, of zijn werknemers mogen géén toegang krijgen. Het medisch dossier blijft ten allen tijde onder de verantwoordelijkheid van de genoemde arts vallen. Volgens de Wet bescherming persoonsgegevens is de bedrijfs- /Arboarts ook formeel de verantwoordelijke en de beheerder van het verzuimsysteem de bewerker.

Inzagerecht

Werknemers waarvan gegevens zijn opgeslagen in een verzuimsysteem moeten volgens de AP ook gedurende de gehele bewaartermijn van het dossier(minimaal15 jaar) hun inzagerecht kunnen uitoefenen.

Wearables

De introductie van allerlei draagbare apparatuur met sensoren geeft weer andere spanningen op de werkvloer. Hier doet de AP ook uitspraken over. Onder wearables worden de elektronische gadgets beschouwd die op het lichaam gedragen kunnen worden zoals hartslagmeters, smartwatches et cetera. Ze mogen door een werkgever wel aan een werknemer cadeau gedaan te worden. Maar de werkgever mag niet van de werknemers eisen dat de verzamelde gegevens – zoals het aantal stappen, hartslag, verbrande calorieën, slaappatroon – met hem en/of andere werknemers gedeeld worden. Het zijn gegevens over de gezondheid van de werknemer en die mag de werkgever niet verwerken. Het standpunt over wearables, dat de AP nu verwoordt,  is eerder gepubliceerd op 8 maart 2016. Het was een uitspraak over twee bedrijven die hun personeel een dergelijk meetapparaat hadden gegeven, waarmee de werkgever inzicht kreeg in hun hoeveelheid lichaamsbeweging.

Open deuren

Wat de AP schrijft is eigenlijk het intrappen van zeer bekende open deuren, maar gezien de aan haar gestelde vragen, is deze actie toch wel nodig. Aannemelijk is dat die vragen zowel van bedrijfsartsen als van werknemers afkomstig zijn. Het geeft aan dat toch telkens van werkgeverszijde gepoogd wordt inzage te krijgen in medische dan wel gezondheidsgegevens van de werknemers. Dat speelde ruim veertig jaar terug al maar nu dus toch ook nog steeds

W.J. Jongejan