Coronavirus en privacy: tips voor werkgevers

16-03-2020

Het Coronavirus leidt bij veel werkgevers tot privacy gerelateerde vragen. Kunnen werknemers worden gedwongen tot het ondergaan van (medisch) onderzoek door bijvoorbeeld ‘aan de poort’ te scannen op koorts? Mag je met medewerkers spreken over symptomen die zij ervaren? Mogen besmettingen worden geregistreerd?

Auteur: Marjoleine van Leerdam

Verbod op verwerken van gezondheidsgegevens

De AVG bepaalt dat het digitaal of op papier documenteren (verwerken) van gezondheidsgegevens van werknemers verboden is, tenzij er sprake is van een uitzondering (art. 9 AVG) en een grondslag (art. 6 AVG) aanwezig is. Verder geldt dat áls sprake is van een uitzonderingssituatie, de verwerking moet voldoen aan de eisen van proportionaliteit en subsidiariteit. Oftewel, de verwerking moet effectief zijn voor het te bereiken doel.
Een van de uitzonderingen is dat werkgevers wél gezondheidsgegevens mogen verwerken als dit noodzakelijk is voor het uitvoeren van wettelijke verplichtingen op het gebied van arbeidsrecht. Denk bijvoorbeeld aan de loondoorbetalingsverplichting bij ziekte. Werkgevers moeten weten of sprake is van ziekte (= een gezondheidsgegeven) om aan deze verplichting te kunnen voldoen. Werkgevers mogen echter niet méér registreren dan dat de werknemer ziek is. De verwerking van verdere informatie over de aard van de ziekte is voorbehouden aan de bedrijfsarts. Deze uitzondering moet dus beperkt worden uitgelegd.

Voorkomen van verdere verspreiding Coronavirus een uitzonderingssituatie?

De vraag die bij veel werkgevers leeft is of het voorkomen van de verdere verspreiding van het Coronavirus als uitzonderingssituatie kan worden aangemerkt. Dit zou het immers mogelijk maken om informatie over gezondheidsklachten en mogelijke besmettingen te registreren en (gevoelsmatig) meer grip te houden op de situatie.
De Autoriteit Persoonsgegevens (AP), de Nederlandse privacy waakhond, stelt zich op dit punt kritisch op. In reactie op vragen over het Coronavirus geeft de AP aan dat door werkgevers enkel in ‘heel uitzonderlijke gevallen’ bijzondere persoonsgegevens mogen worden verwerkt. Hieruit kan worden afgeleid dat de wettelijke plicht van werkgevers om te zorgen voor een veilige werkomgeving volgens de AP niet zover strekt dat werkgevers in geval van een virus-uitbraak wél allerlei gezondheidsgegevens mogen verwerken. Bovendien zijn er veelal (betere) en meer proportionele alternatieven voorhanden. Denk bijvoorbeeld aan het nemen van hygiënemaatregelen en het eerder inschakelen van de bedrijfsarts.

Mag dan helemaal niets?

De AVG (en ook het verbod) geldt niet als de gezondheidsgegevens niet worden gedocumenteerd of als er überhaupt geen sprake is van persoonsgegevens. Oftewel, het is op grond van de AVG op zich niet verboden om ziekteverschijnselen mondeling te bespreken of gezondheidsgegevens te documenteren die niet herleidbaar zijn naar een specifiek persoon.
Hoewel dit op het eerste gezicht ruimte lijkt te bieden om buiten de AVG om werknemers te vragen naar ziektesymptomen en misschien zelfs ‘aan de poort’ te controleren op koorts, gaat die vlieger echter toch niet helemaal op.

Ook als de AVG niet van toepassing is geldt nog steeds dat de werknemer recht heeft op privacy en dat een werkgever niet zomaar inbreuk mag maken op dit recht. Van werkgevers wordt verwacht dat (privacy)gevoelige informatie alleen wordt verwerkt als het belang van de werkgever om dit te doen zwaarder weegt dan het algemene grondrecht van de werknemer op eerbiediging van de persoonlijke levenssfeer én als het nodig is (effectief is) om het beoogde doel te bereiken.

En nu?

Naarmate het aantal besmetting in Nederland oploopt, wordt bij werkgevers de drang groter om bij werknemers informatie te verzamelen over eventuele ziektesymptomen. Zo wordt van werknemers van chemiebedrijf DSM bij binnenkomst de temperatuur gemeten en heeft Energieleverancier Engie tientallen werknemers verzocht om thuis te werken omdat een van hun collega’s mogelijk besmet is met het Coronavirus.

Om niet in strijd te handelen met het recht op privacy van de werknemer is het advies om bij het nemen van dergelijke maatregelen in ieder geval rekening te houden met de volgende aandachtspunten:

– Controleren op koorts
Volgens de AP is het op grond van de AVG verboden om de temperatuur op te nemen bij werknemers met bijvoorbeeld koortsscanners. Werknemers mogen de scan volgens de AP dan ook weigeren.
Hoewel er manieren te verzinnen zijn om buiten de regels van de AVG om te controleren op koorts (denk bijvoorbeeld aan het inzetten van externe ‘controleurs’ die geen mogelijkheid hebben om de medewerkers te identificeren en opdracht krijgen om werknemers, zonder de testresultaten verder te verwerken, naar huis sturen) lijkt het doen van koortsmetingen vooralsnog op zichzelf onvoldoende effectief om de inbreuk op de privacy van de werknemer te rechtvaardigen.

Tip: overweeg alternatieven zoals het thuis laten werken van werknemers die recent in risicogebieden zijn geweest en/of beweeg werknemers om contact te zoeken met de lokale GGD, huis- of bedrijfsarts wanneer zij eventuele symptomen ervaren.

– Spreken over ziektesymptomen
Werkgevers mogen met werknemers spreken over ziektesymptomen. Dit is niet verboden op grond van de AVG. Deze informatie mag echter niet digitaal wordt vastgelegd of in bijvoorbeeld het personeelsdossier worden opgenomen. Ook kunnen werknemers niet worden verplicht om dergelijke informatie te verstrekken.

Tip: realiseer dat een gesprek over ziektesymptomen zeer (privacy)gevoelig is, probeer dit te vermijden en te beperken.

– Besmettingen registreren
Het bijhouden van een lijst met (mogelijk) geïnfecteerde werknemers is in beginsel niet toegestaan. Dit betreft het verwerken van gezondheidsgegevens waarop het verbod uit de AVG van toepassing is.

Tip: zijn werknemers besmet met het Coronavirus? Weeg dan zorgvuldig af of het bijhouden van een lijst met besmettingen noodzakelijk is om een veilige werkomgeving te waarborgen. Waarschijnlijk kan de arbodienst worden ingeschakeld om de gezondheidsgegevens te verwerken en kan de arbodienst de werkgever voorzien van de nodige, niet medische, informatie.

– Collega’s informeren over een besmette collega
Ook het onderling delen van gezondheidsinformatie (“mevrouw Jansen is besmet met het Coronavirus”) valt onder het verbod uit de AVG. Het delen van deze informatie is niet toegestaan. Wel kan in algemene bewoordingen en zonder dat bekend wordt over welke persoon het gaat, worden aangegeven dat sprake is van een verhoogd risico waardoor bijvoorbeeld nieuwe maatregelen moeten worden genomen. Als een werknemer zelf gezondheidsgegevens bekend maakt of zelf aan de werkgever vraagt informatie over zijn of haar gezondheid met collega’s te delen, dan levert dat geen strijd op met de AVG. Wél moet voorkomen worden dat deze informatie (digitaal) wordt bewaard.

Tip: houd er rekening mee dat in de communicatie over mogelijke besmettingen geen details worden vrijgegeven waaruit de identiteit van de mogelijk getroffen persoon kan worden afgeleid.

Bron: TeekensKarstens advocaten notarissen


Dit artikel is ook te vinden in het dossier Coronavirus

Van onze partners

Online cursus: AVG voor griffiers

→ Lees meer

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer