Is er een wettelijke grondslag voor het verwerken van persoonsgegevens?Om persoonsgegevens rechtmatig te mogen verwerken, moet in elk geval één van de wettelijke grondslagen als bepaald in artikel 6 AVG van toepassing zijn. In deze specifieke situatie kan een organisatie zich eventueel beroepen op de toestemming van de betrokken personen of het gerechtvaardigd belang van de organisatie of van derden.
Een organisatie kan een persoon om zijn/haar toestemming vragen voor het verwerken van coronavirus-gerelateerde persoonsgegevens. Deze toestemming moet ‘geïnformeerd’ zijn, wat betekent dat de persoon ten minste op de hoogte moet zijn van de identiteit van de organisatie die zijn persoonsgegevens verwerkt en van de doeleinden van de verwerking waarvoor de persoonsgegevens bedoeld zijn. De toestemming moet ook ‘vrijelijk’ zijn verleend, wat betekent dat de betrokken persoon een echte of vrije keuze heeft en het weigeren of intrekken van zijn toestemming geen nadelige gevolgen heeft. Een persoon heeft geen vrije keuze als het verstrekken van de door de organisatie gevraagde persoonsgegevens verplicht wordt gesteld en weigering hiervan een negatief effect op de persoon heeft (bijvoorbeeld gedwongen thuisblijven zonder doorbetaling van salaris).
NB: de persoonsgegevens van werknemers en andere personen die onder het gezag van de organisatie vallen kunnen niet worden verwerkt op basis van hun toestemming, omdat wordt aangenomen dat gezien de duidelijke wanverhouding tussen deze personen en de organisatie toestemming niet vrijelijk kan worden gegeven.
Organisaties kunnen een gerechtvaardigd belang hebben dat het verwerken van coronavirus-gerelateerde persoonsgegevens noodzakelijk maakt. Deze belangen kunnen financieel van aard zijn (bijv. het voortzetten van de bedrijfsvoering), maar ook menselijk (bijv. een veilige werkomgeving bieden en het beschermen van werknemers en anderen tegen ernstige schade of risico op schade). De relevante belangen van de organisatie moeten worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de betrokken personen. De uitkomst zal afhangen van de feitelijke situatie: alleen als er specifieke en gegronde indicaties zijn dat de gerechtvaardigde belangen nadelig beïnvloed kunnen worden door het coronavirus en de rechten en vrijheden van personen niet zwaarder wegen mag een organisatie de noodzakelijke persoonsgegevens verwerken om die belangen te beschermen.
Hoewel als hoofdregel geldt dat de verwerking van gezondheidsgegevens niet is toegestaan, bevat de AVG een uitputtende lijst met uitzonderingen waarin de verwerking van gezondheidsgegevens door organisaties wel wordt toegestaan. Deze uitzonderingen gelden als er specifiek (lokaal) recht bestaat dat van toepassing is op de organisatie en dat (i) specifiek de organisatie toestaat om gezondheidsgegevens te verwerken en (ii) waarin passende waarborgen voor de betrokken personen zijn opgenomen. Naar Nederlands recht kunnen organisaties mogelijk aansluiten bij de algemene Nederlandse wettelijke verplichting om een veilige werkomgeving te bieden en werknemers tegen ernstige schade of risico op schade te beschermen (d.w.z. goed werkgeverschap).
NB: de Autoriteit Persoonsgegevens (AP) heeft (nog) geen uitspraken gedaan over de toepasselijkheid van deze wettelijke verplichting in verband met het coronavirus, en daarom kan het verwerken van gezondheidsgegevens leiden tot een mogelijke schending van de AVG. De AP heeft wel verklaard dat werkgevers – in bijna alle gevallen – geen gezondheidsgegevens van werknemers mogen verwerken. Als gezondheidsgegevens worden verwerkt door een organisatie in haar rol van werkgever mag dit alleen worden gedaan door een bedrijfsarts of een arbodienst. In het kader van het coronavirus heeft de AP verklaard dat de betrokken zorgverleners contact moeten opnemen met de GGD in geval er een vermoeden is van besmetting met het coronavirus. De GGD zal dan samen met de organisatie besluiten welke werkgerelateerde maatregelen er genomen moeten worden. De AP heeft ook benadrukt dat, specifiek in het kader van het coronavirus, het opnemen van de temperatuur van werknemers niet is toegestaan. Het is ook niet toegestaan om werknemers te verzoeken een doktersverklaring te overleggen.
Volgens de AVG is in bepaalde situaties de verwerking van persoonsgegevens alleen toegestaan als dit gedaan wordt door professionele zorgverleners – ingeschakeld door de organisatie – die gebonden zijn aan het beroepsgeheim. Met de organisatie worden geen gezondheidsgerelateerde bijzonderheden gedeeld, alleen, indien van toepassing, de conclusie dat de werknemer mogelijk besmet is met het virus en/of ziekgemeld moet worden en/of in quarantaine moet blijven. Als werkgever dient u er altijd zoveel mogelijk voor te zorgen dat professionele zorgverleners worden ingeschakeld om gezondheidsgegevens te verwerken in plaats van ‘gewone’ HR-medewerkers. Dit volgt ook uit het principe van gegevensminimalisatie (zie onder).
Als een organisatie meent een rechtsgrond te hebben om persoonsgegevens (bijv. gezondheidsgegevens) te verwerken, moet worden beoordeeld van welke persoonsgegevens de verwerking werkelijk nodig is. Is het bijvoorbeeld voldoende om gegevens te verwerken over de verblijfplaats van reizende personen (deze gegevens gelden niet als gezondheidsgegevens en daarom is het strengere regime van de AVG niet van toepassing), of is het absoluut noodzakelijk dat ook andere gegevens (bijv. over symptomen die lijken op het coronavirus) worden verwerkt? Volgens de AVG moet het verwerken van persoonsgegevens beperkt zijn tot wat noodzakelijk is in verband met de doeleinden van de verwerking (d.w.z. het nemen van passende, redelijke en noodzakelijke voorzorgsmaatregelen om de verspreiding van het coronavirus te voorkomen en/of beperken).
Persoonsgegevens die in het kader van de voorzorgsmaatregelen in verband met het coronavirus worden verwerkt, mogen niet voor een ander doeleinde worden gebruikt.
Meer artikelen van Kennedy van der Laan
Dit artikel is ook te vinden in het dossier Coronavirus
