AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Dat meldde Tweakers onlangs. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan, zoals specifieke klachten en verloop van de ziekte. Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op respectievelijk 725.000 en 310.000 euro voor de twee overtredingen, maar gematigd worden tot 15.000 euro vanwege de beperkte omvang van het bedrijf.

Het wordt natuurlijk al heel lang geroepen: blijf van de medische gegevens van je personeel af. Daar heb je als werkgever niets mee te doen, de arts of verzekeraar meldt je wanneer meneer of mevrouw weer aan het werk kan en wat dan de beperkingen of benodigdheden zijn. Toch blijken hele horden werkgevers deze informatie nog steeds te noteren, dus het signaal van deze boete is ontzettend belangrijk.

Natuurlijk zijn er dingen die je als werkgever wel moet weten. Maar dat is een beslissing van de arts of het relevant is, en die zal het dan met je delen. Als werkgever mag je daar niet zelf informatie over bijhouden, eigen dossiers over opbouwen of wat dies meer zij. Ook niet als je denkt dat de werknemer simuleert en niet echt ziek is. Dat is en blijft een medisch oordeel.

Dit bedrijf hield een verzuimregistratie bij in een Google Drive bestand. En dat bleek zonder enige beveiliging toegankelijk via internet, logisch dus dat de AP daarover viel. Bovendien zag men dat in die registratie de reden van verzuim (over zowel de fysieke als mentale gezondheid), de prognose en de opmerkingen over de verzuimreden en prognose over deze werknemers) was opgenomen, wat natuurlijk in strijd is met de AVG.

Maar wat mag er dan wel? De AP citeert haar eigen richtlijnen, ik doe dat ook maar even:

De gegevens die volgens de beleidsregels ‘De zieke werknemer’ (2016, maar AVG-proof geschreven) wél mogen worden verwerkt zijn:

• de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• de verwachte duur van het verzuim;
• de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

De gegevens die volgens deze beleidsregels niet mogen worden verwerkt, zijn onder meer:

• diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen;
• eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand;
• gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
• overige situationele problemen, zoals relatieproblemen, problemen uit het verleden, verhuizing, overlijden partner, scheiding e.d.

Het verschil tussen die twee zit hem in het belang voor het werk. Weten wat iemand niet meer kan kan en wanneer zhij weer begint, dat heeft een werkgever nodig. Weten waaróm iemand iets niet meer kan, dat is een ander verhaal. “Meneer moet na 30 minuten zitten een half uur staan”, daar kun je prima mee aan de slag als werkgever zonder dat je hoeft te weten of het versleten ruggewervels zijn of voorkomen van een migraine. Ook je eigen inschattingen “ze zegt migraine maar lijkt mij smoesje vanwege arbeidsconflict” horen niet in zo’n dossier thuis.

Tegelijk begrijp ik die werkgevers ook wel: het is heel logisch, ook vanuit betrokkenheid naar je personeel, dat je zulke dingen noteert. Dat wil je onthouden, je wilt inzicht en begrip. Maar omdat er ook werkgevers zijn die dit noteren om “zelf te beoordelen of je weer ziek bent” of vanuit het idee dat zij beter kunnen inschatten wat de werknemer nodig heeft, is dit wettelijk verboden.

Arnoud