Corona in Europa: wat zeggen de verschillende Europese privacytoezichthouders?

19-03-2020

Hester de Vries

Een groot aantal Europese privacy toezichthouders heeft zich inmiddels uitgelaten over de verwerking van persoonsgegevens in verband met het coronavirus. Naast onder andere de Nederlandse Autoriteit Persoonsgegevens, het Franse Commission Nationale Informatique & Libertés (CNIL) en de Ierse Data Protection Commission (DPC) heeft nu ook de European Data Protection Board (EDPB) – het Europese samenwerkingsverband waarin alle nationale toezichthouders vertegenwoordigd zijn – een statement op haar website geplaatst.

Hieronder een vergelijkend overzicht van de belangrijkste onderwerpen waarover het EDPB en de verschillende Europese privacytoezichthouders hebben geadviseerd:

1. Op basis van welke grondslag mag ik als organisatie persoonsgegevens verwerken?

  • EDPB: Dit kan – afhankelijk van de omstandigheden – op basis van toestemming, of als dit noodzakelijk is voor het algemeen belang of de vitale belangen van een individu.
  • Nederland: Geen advies gegeven op dit punt.
  • Ierland: Op werkgevers rust een wettelijke verplichting bepaalde gegevens te verwerken. De ‘vitale belangen’ grondslag geldt alleen in noodgevallen, waar toestemming onmogelijk is.
  • Duitsland: Verwerking op grond van een wettelijke verplichting of wanneer sprake is van een gerechtvaardigd belang zijn beide denkbaar. Voor publieke instanties kan verwerking gelegitimeerd zijn op grond van vervulling van een taak van algemeen belang.
  • België: De grondslag ‘vitale belangen’ moet restrictief worden uitgelegd. Bedrijfsartsen verwerken op grond van een wettelijke plicht.

2. Is er een wettelijke uitzonderingsgrond van toepassing om gezondheidsgegevens verwerken?

  • EDPB: Dit kan – afhankelijk van de omstandigheden – op basis van toestemming, of als dit noodzakelijk is voor het algemeen belang of de vitale belangen van een individu.
  • Nederland: Een werkgever mag “in beginsel” geen gezondheidsgegevens verwerken van werknemers – enkel de arbodienst of bedrijfsarts mag dit. De Autoriteit Persoonsgegevens licht niet toe wanneer er dan een uitzondering bestaat voor werkgevers om toch gezondheidsgegevens van werknemers te verwerken.
  • Verenigd Koninkrijk: Er wordt geen specifieke grond aangewezen, maar wel dat het verwerken van bepaalde gegevens mogelijk is.
  • Ierland: Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • Duitsland: Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • België Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • Italië Er is een noodwet aangenomen die hulpdiensten de bevoegdheid geeft gezondheidsgegevens te verwerken.

3. Mag een werknemer verplicht worden om bepaalde informatie te geven aan de werkgever?

  • Nederland: Nee, dit moet de bedrijfsarts doen.
  • Verenigd Koninkrijk: Dit mag in principe, maar moet worden beperkt tot het strikt noodzakelijke. Bijvoorbeeld of een risicogebied bezocht is en of de werknemer symptomen van het coronavirus vertoont.
  • Ierland: Dit mag, indien de noodzaak te onderbouwen is. Vragen naar symptomen en recente reizen is eerder toegestaan dan het inrichten van een volledige enquête.
  • Frankrijk: Algemene bevraging van het personeel mag niet, individuele meldingen moeten worden doorverwezen naar de bedrijfsarts.
  • Duitsland: Dit mag, en geldt ook voor bezoekers.
  • België: Dit mag niet, moet door de bedrijfsarts worden gedaan.
  • Italië: Dit mag niet, is aan de bedrijfsarts. Werkgevers mogen een kanaal inrichten voor werknemers om zelf melding te maken.

4. Mogen individuen worden getemperatuurd?

  • Nederland: Dit is verboden, werknemers mogen de scan weigeren. Dit geeft de AP desgevraagd aan in FD artikel, maar blijkt niet uit de uitleg op de website van de AP.
  • Frankrijk: Dit is verboden.
  • Italië: Op 14 maart kwamen werkgevers en vakbonden overeen dat werkgevers op temperatuur mogen testen.

5. Wie mogen de persoonsgegevens allemaal inzien?

  • Nederland: Geen advies gegeven op dit punt.
  • Verenigd Koninkrijk: Je mag staf vertellen dat iemand het coronavirus heeft, maar hoeft niet te vertellen wie dat is. Gegevens mogen ook gedeeld worden met (volksgezondheids)autoriteiten.
  • Ierland: Je mag staf vertellen dat iemand het coronavirus heeft, maar hoeft niet te vertellen wie dat is. Gegevens mogen ook gedeeld worden met (volksgezondheids)autoriteiten.
  • Duitsland: Openbaarmaking van persoonsgegevens van personen waarvan bewezen is dat ze (vermoedelijk) besmet zijn met het doel contactpersonen te informeren is alleen rechtmatig als kennis van de identiteit wegens voorzorgsmaatregelen uitzonderlijk noodzakelijk is.
  • België: Werkgevers mogen de naam van werknemers die besmet zijn niet bekendmaken.

6. Welke persoonsgegevens mag ik als organisatie verwerken?

  • Nederland: Geen advies gegeven op dit punt.
  • Verenigd Koninkrijk: Of risicogebieden bezocht zijn en of iemand symptomen vertoont. Voor overige informatie geldt een strikte noodzakelijkheidstest.
  • Ierland: Of risicogebieden bezocht zijn en of iemand symptomen vertoont. Voor overige informatie geldt een strikte noodzakelijkheidstest.
  • Duitsland: Verblijf in risicogebieden, of een infectie is vastgesteld en of contact is gehad met iemand bij wie een infectie is vastgesteld.

Bronnen

De volledige adviezen van de verschillende privacytoezichthouders zijn via onderstaande links te raadplegen: EDPB / Nederland / Verenigd Koninkrijk / Ierland / Frankrijk / Duitsland / België / Italië


Meer artikelen van Kennedy Van der Laan

Dit artikel is ook te vinden in het dossier Coronavirus

Van onze partners

Coronapagina

→ Lees meer

Privacy voor finance professionals

→ Lees meer

Online cursus: AVG voor griffiers

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer