Checklist: Gegevens van zieke medewerkers

29-11-2017

Vinken, Silvia

Elke werkgever krijgt te maken met zieke medewerkers (werknemers en ambtenaren). Zieke medewerkers hebben in beginsel recht op loondoorbetaling en de werkgever is verplicht hen te re-integreren. Voor de werkgever is het dan ook onvermijdelijk om bepaalde gegevens van de zieke medewerker te verwerken. (Meer gedetailleerde informatie is opgenomen in de AP beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers.) Alle gegevens over de lichamelijke of geestelijke gezondheid van de medewerker zijn bijzondere persoonsgegevens in de zin van de Wbp. Verwerking daarvan is alleen toegestaan als de werkgever zich op een wettelijke uitzonderingsgrond kan beroepen.

Algemeen:

heeft de organisatie een ziekteverzuimreglement vastgesteld;
zijn medewerkers zich bewust van het bestaan van het ziekteverzuimreglement;
is instemming gevraagd aan de OR bij de vaststelling van het ziekteverzuimreglement;
voldoet de verwerking van gezondheidsgegevens aan de algemene beginselen van de Wbp (zie checklist 2);
zijn de doeleinden voor de verwerking van gezondheidsgegevens gedocumenteerd? (zie checklist 7 en de hieronder weergegeven uitzonderingsgronden op het verwerkingsverbod voor gezondheidsgegevens);
is de verzuimregistratie goed beveiligd en zijn passende organisatorische en/of technische maatregelen genomen om beveiligingsrisico’s te voorkomen of beperken (zie checklist 10);
leeft de werkgever de bewaartermijnen na (zie checklist 19):

  • Administratieve verzuimgegevens werkgever (zoals datum ziekmelding, duur van het verzuim en datum herstel): maximaal twee jaar na het einde van de arbeidsrelatie, tenzij hij eigenrisicodrager Ziektewet is (dan gegevens over ziekmelding maximaal vijf jaar bewaren). Eigen risicodrager WGA: gegevens bewaren voor de duur van het WGA-traject;

  • Re-integratiedossier: in het beginsel tot twee jaar na afronding van de re-integratie bewaren. Als het noodzakelijk is om bepaalde zaken (zoals afspraken over aanpassing van de taakinhoud) kunnen deze worden opgenomen in het personeelsdossier.

is expliciet geheimhouding opgelegd aan medewerkers die uit hoofde van hun functie in de organisatie van werkgever, gezondheidsgegevens van medewerkers verwerken?

Wanneer mag de werkgever gezondheidsgegevens verwerken?

Gezondheidsgegevens mag de werkgever verwerken indien dit noodzakelijk is voor:

een goede uitvoering van wettelijke voorschriften, pensioenregelingen of cao’s die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de medewerker (denk aan: wettelijk recht op loon tijdens ziekte tijdens de eerste twee ziektejaren);
de re-integratie of begeleiding van medewerkers in verband met ziekte of arbeidsongeschiktheid (denk aan: verplichtingen werkgever op basis van de Wet Poortwachter of bijvoorbeeld CAR/UWO voor een gemeente).

Welke informatie mag de werkgever van de zieke medewerker verwerken?

Ten aanzien van de ziekmelding mag uitsluitend de volgende informatie worden verwerkt:

het telefoonnummer en (verpleeg)adres van medewerker;
de vermoedelijke duur van het verzuim;
de lopende afspraken en werkzaamheden;
het feit dat de medewerker valt onder één van de vangnetbepalingen van de Ziektewet (Arbeidsongeschiktheid door zwangerschap, arbeidsongeschiktheid door orgaandonatie en de zogeheten ‘no risk-polis’) zonder vermelding van de exacte toepasselijke vangnetbepaling;
of de ziekte verband houdt met een arbeidsongeval;
of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde is betrokken (dit in verband met de eventuele regresmogelijkheid).

Werkgever mag daarnaast de informatie verwerken die de bedrijfsarts/arbodienst hem heeft verstrekt over:

de werkzaamheden waartoe de medewerker wel en niet in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de medewerker nog kan doen);
de verwachte duur van het verzuim;
de mate waarin de medewerker arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de medewerker nog kan doen);
eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Vrijwillig door de medewerker verstrekte informatie mag de werkgever alleen in uitzonderlijke situaties verwerken, namelijk als het vanwege de ziekte van de medewerker noodzakelijk is dat collega’s bij nood weten hoe ze moeten handelen (bijvoorbeeld bij epilepsie).

Andere gegevens dan hierboven weergegeven mogen niet worden verwerkt, ook niet als de medewerker daar toestemming voor geeft.

Dit is een checklist uit de uitgave Checklist Privacy: privacybeleid in 46 checklists

Checklist: Privacy by design and default
Checklist: Data protection impact assessment (DPIA)
Checklist: Procedure voor inzage persoonsgegevens
Checklist: Overdraagbaarheid van gegevens (dataportabiliteit)

Meer artikelen van BANNING

Van onze partners

Checklist Privacy AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer