Forse boete werkgever vanwege registratie verzuimgegevens: DPIA verplicht!
De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van €15.000,- vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. Als CP&A een DPIA had uitgevoerd had zij gezien dat zij meer gezondheidsgegevens ging verwerken dan was toegestaan. Waarschijnlijk is onderhoudsbedrijf CP&A niet de enige werkgever die teveel persoonsgegevens vastlegt in het kader van de begeleiding bij verzuim. Het is veel werkgevers niet bekend dat ook bij verwerkingen van persoonsgegevens van het eigen personeel, indien er sprake is van een hoog risico, een DPIA verplicht is.
De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Het is niet noodzakelijk dat een werkgever deze informatie verwerkt voor de re-integratie van werknemers. Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft deze verwerking inmiddels beëindigd.
Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op respectievelijk €725.000,- en €310.000,- euro voor de twee overtredingen. De daadwerkelijke opgelegde boete is ‘maar’ €15.000,-, vanwege de beperkte omvang van het bedrijf.
CP&A hield een verzuimregistratie bij in een Google Drive bestand. Dit bestand was niet beveiligd. Een verzuimsysteem moet met 2FA beveiligd zijn. Werkgevers is het ook verboden om gegevens over de gezondheid te verwerken. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.
Maar: wat mag dan wel?
In 2016 heeft de voorganger van de Autoriteit Persoonsgegevens (het College Bescherming Persoonsgegevens, Cbp) beleidsregels ‘De zieke werknemer’ gepubliceerd. Deze zijn nog steeds actueel (behalve de bewaartermijn van medische gegevens: deze is van 15 naar 20 jaar gegaan). De bedrijfsarts/arbodienst mag de volgende gegevens over de gezondheid van een zieke werknemer aan de werkgever verstrekken:
- de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
- de verwachte duur van het verzuim;
- de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
- eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
Een werkgever mag, als een werknemer zich ziek meldt, de volgende gegevens over de gezondheid vragen en registreren:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).
Persoonsgegevens die een werkgever dus niet moet gaan verwerken zijn volgens de Autoriteit Persoonsgegevens bijvoorbeeld:
- namen van ziektes, specifieke klachten of pijnaanduidingen;
- aard en oorzaak van iemand ziekmelding;
- de verzuimreden (zowel fysieke als mentale gezondheid);
- prognose en eigen (subjectieve) waarnemingen.
In uitzonderlijke situaties mag een werkgever de aard en de oorzaak van de ziekte van een werknemer registeren. Bijvoorbeeld wanneer iemand epilepsie heeft en collega’s hiervan op de hoogte moeten zijn, zodat ze weten wat ze moeten doen als diegene een aanval krijgt.
DPIA voor werkgevers bij hoog risico verwerkingen.
Zoals gezegd; waarschijnlijk is onderhoudsbedrijf CP&A niet de enige werkgever die teveel persoonsgegevens vastlegt in het kader van de begeleiding bij verzuim. Ook voor verwerkingen van persoonsgegevens van het eigen personeel moet je daarom een DPIA uitvoeren.
Volgens de richtlijnen van de EDPB (WP29/248) is een DPIA namelijk verplicht indien er sprake is van 2 ‘hits’ op de lijst van negen criteria:
- Evaluatie of scoretoekenning
- Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
- Stelselmatige monitoring
- Gevoelige gegevens of gegevens van zeer persoonlijke aard
- Op grote schaal verwerkte gegevens
- Matching of samenvoeging van datasets
- Gegevens met betrekking tot kwetsbare betrokkenen
- Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
- de situatie waarin als gevolg van de verwerking zelf ′′betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst′′
Als het gaat om een verzuimregistratie, dan zijn de criteria 4 en 7 van toepassing. Werknemers worden ten opzichte van werkgevers gezien als ‘kwetsbare personen’ omdat er een machtsverhouding bestaat.
Bij een DPIA kun je systematisch de verwerking van persoonsgegevens in beeld brengen en via een risicoanalyse de risico’s benoemen. In dat geval kom je natuurlijk tegen dat het systeem waarin je de verzuimregistratie uitvoert goed moet beveiligen (met 2FA) en tevens dat er niet meer persoonsgegevens mogen worden verwerkt dan ‘strikt noodzakelijk’. De Autoriteit Persoonsgegevens heeft in de eerder genoemde beleidsregels van "De zieke werknemer" (2016) aangegeven welke persoonsgegevens dit zijn.
Wilt u meer weten over (Pre-)DPIA’s?
Neem dan contact op met de specialisten van PrivacyPeople.
Wilt u meer leren over de theorie en praktijk van DPIA’s? Neem dan deel aan de cursus DPIA, die op 16 september 2021 wordt verzorgd door privacyjuristen Francis Joung en Sander van de Molen. Meer informatie over de cursus vindt u hier.
Maarn, 7 juni 2021
Sander van de Molen