De Autoriteit Persoonsgegevens (AP) heeft de boete opgelegd.
Onderhoudsbedrijf CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Daarnaast was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de overtredingen inmiddels beëindigd.
Gevoelige informatie
De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers, zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Het is niet noodzakelijk dat een werkgever deze informatie verwerkt voor de re-integratie van werknemers.
Bijzondere persoonsgegevens
Gezondheidsgegevens zijn bijzondere persoonsgegevens, die extra beschermd moeten worden. Ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden. Dat geldt ook voor werknemers. Een werknemer kan zich echter verplicht voelen om die informatie wel aan zijn werkgever te geven.
Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die van grote invloed zijn op een werknemer.
Aard en oorzaak ziekte
De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.
In uitzonderlijke situaties mag een werkgever de aard en de oorzaak van de ziekte van een werknemer registeren, bijvoorbeeld als iemand epilepsie heeft en collega’s hiervan op de hoogte moeten zijn, zodat ze weten wat ze moeten doen als diegene een aanval krijgt.
Verzuimregistratie online
De verzuimregistratie van CP&A was online toegankelijk, zonder enige vorm van authenticatie. Gegevens over iemands ziekteverzuim kunnen iets zeggen over zijn gezondheid. Daarom gelden voor de beveiliging van gezondheidsgegevens extra strenge eisen. Alleen bevoegde medewerkers mogen bij deze gegevens.
Meerfactorauthenticatie
Als een verzuimsysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactorauthenticatie verlopen. Naast het ‘gewone’ inloggen moeten bevoegde medewerkers hun identiteit ook op een andere manier aantonen om toegang te krijgen, bijvoorbeeld door een token te gebruiken. Inloggen met alleen een gebruikersnaam en wachtwoord is dus niet genoeg.
Vragen over werk mag
Katja Mur, bestuurslid van de AP:
“Het is natuurlijk heel begrijpelijk dat een werkgever wil weten of iemand kort of langdurig ziek is. Maar daarvoor hoeft de werkgever zelf geen gezondheidsgegevens te verwerken of op de stoel van de dokter te gaan zitten. De arbodienst of bedrijfsarts mag hem namelijk gewoon informeren over de verwachte duur van de ziekte en de belastbaarheid.”
Een werkgever mag een zieke medewerker wel een aantal vragen stellen die nodig zijn om te kunnen bepalen hoe het verder moet met de werkzaamheden van de werknemer.
Wat mag je vragen?
Dit mag de werkgever wel vragen:
- Het telefoonnummer waarop de werknemer te bereiken is en het (verpleeg)adres.
- Hoe lang de werknemer denkt dat de ziekte gaat duren.
- Wat zijn/haar lopende werkzaamheden en afspraken zijn.
- Of de ziekte van de werknemer verband houdt met een arbeidsongeval. Maar je mag niet vragen of het verzuim werkgerelateerd is.
- Of sprake is van een verkeersongeval met regresmogelijkheid. Dan kun je mogelijk de kosten van het ziekteverzuim en re-integratie verhalen op de veroorzaker van het ongeval.
- Of de werknemer onder een van de vier vangnetregelingen valt op grond van de Ziektewet. De werknemer is daarbij niet altijd verplicht om te melden onder welke regeling hij/zij valt.
Voor meer informatie over wat wel en niet mag, zie: Mijn zieke werknemer.
Persoonsgegevens zieke werknemers verwerken: wat mag (niet)?