Tag: Gezondheid

About Gezondheid

Subscribe Feeds

AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

Geplaatst op in Ondernemingsvrijheid, Privacy, 3 reacties

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Dat meldde Tweakers onlangs. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan, zoals specifieke klachten en verloop van de ziekte. Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op respectievelijk 725.000 en 310.000 euro voor de twee overtredingen, maar gematigd worden tot 15.000 euro vanwege de beperkte omvang van het bedrijf.

Het wordt natuurlijk al heel lang geroepen: blijf van de medische gegevens van je personeel af. Daar heb je als werkgever niets mee te doen, de arts of verzekeraar meldt je wanneer meneer of mevrouw weer aan het werk kan en wat dan de beperkingen of benodigdheden zijn. Toch blijken hele horden werkgevers deze informatie nog steeds te noteren, dus het signaal van deze boete is ontzettend belangrijk.

Natuurlijk zijn er dingen die je als werkgever wel moet weten. Maar dat is een beslissing van de arts of het relevant is, en die zal het dan met je delen. Als werkgever mag je daar niet zelf informatie over bijhouden, eigen dossiers over opbouwen of wat dies meer zij. Ook niet als je denkt dat de werknemer simuleert en niet echt ziek is. Dat is en blijft een medisch oordeel.

Dit bedrijf hield een verzuimregistratie bij in een Google Drive bestand. En dat bleek zonder enige beveiliging toegankelijk via internet, logisch dus dat de AP daarover viel. Bovendien zag men dat in die registratie de reden van verzuim (over zowel de fysieke als mentale gezondheid), de prognose en de opmerkingen over de verzuimreden en prognose over deze werknemers) was opgenomen, wat natuurlijk in strijd is met de AVG.

Maar wat mag er dan wel? De AP citeert haar eigen richtlijnen, ik doe dat ook maar even:

De gegevens die volgens de beleidsregels ‘De zieke werknemer’ (2016, maar AVG-proof geschreven) wél mogen worden verwerkt zijn:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
De gegevens die volgens deze beleidsregels niet mogen worden verwerkt, zijn onder meer:
  • diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen;
  • eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand;
  • gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
  • overige situationele problemen, zoals relatieproblemen, problemen uit het verleden, verhuizing, overlijden partner, scheiding e.d.
Het verschil tussen die twee zit hem in het belang voor het werk. Weten wat iemand niet meer kan kan en wanneer zhij weer begint, dat heeft een werkgever nodig. Weten waaróm iemand iets niet meer kan, dat is een ander verhaal. “Meneer moet na 30 minuten zitten een half uur staan”, daar kun je prima mee aan de slag als werkgever zonder dat je hoeft te weten of het versleten ruggewervels zijn of voorkomen van een migraine. Ook je eigen inschattingen “ze zegt migraine maar lijkt mij smoesje vanwege arbeidsconflict” horen niet in zo’n dossier thuis.

Tegelijk begrijp ik die werkgevers ook wel: het is heel logisch, ook vanuit betrokkenheid naar je personeel, dat je zulke dingen noteert. Dat wil je onthouden, je wilt inzicht en begrip. Maar omdat er ook werkgevers zijn die dit noteren om “zelf te beoordelen of je weer ziek bent” of vanuit het idee dat zij beter kunnen inschatten wat de werknemer nodig heeft, is dit wettelijk verboden.

Arnoud

Mag een online spel bezorgd de politie naar je huis sturen?

Geplaatst op in Privacy, 18 reacties

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Jeugdwet biedt kinderen onvoldoende privacy

Geplaatst op in Privacy, 8 reacties

jeugdwet-tekst-toelichtingDe privacy van kinderen is in de Jeugdwet onvoldoende geborgd, las ik bij NRC. Sinds 1 januari gaat zorg bij psychologen en pedagogen via de gemeente, en die willen daar een rekening voor zien. Op die rekeningen staat echter privacygevoelige informatie, zoals naam en adres van het kind maar vaak ook welke behandeling ze hebben gekregen.

Juridisch gezien komt dit probleem door een lacune in de wet: er ontbreekt een bepaling over het doorbreken van de geheimhoudingsplicht door jeugdhulpverleners voor de financiële afwikkeling en controle op de jeugdzorg door de gemeente. Daarmee is het formeel legaal voor een gemeente om te vragen naar een specificatie voor die afwikkeling, oftewel graag per patiënt vermelden welke behandeling is verricht.

Jeugdhulpverleners hebben een geheimhoudingsplicht, zo staat in de Jeugdwet. Een dergelijke geheimhoudingsplicht impliceert, aldus het Cbp, dat de jeugdhulpverlener geen persoonsgegevens van cliënten aan derden mag verstrekken. Helemaal niet als het gaat om bijzondere persoonsgegevens, waaronder gegevens over ziekte of gezondheid per definitie vallen.

Logisch zou je zeggen, dus waarom vragen gemeenten er dan toch om? Dat wordt me dan niet duidelijk uit het artikel. Uitgaande van mijn vuistregel dat je pas kwade wil mag veronderstellen als incompetentie bewezen afwezig is, houd ik het op een bureaucratisch iets: we willen duidelijke facturen, en daaronder valt een specificatie per patiënt want anders kunnen we niet zien waar er voor wordt gedeclareerd. En we moeten de naam hebben om te zien of deze persoon wel in onze gemeente woont.

Tot 1 januari gingen dergelijke declaraties naar zorgverzekeraars. Het probleem deed zich daar niet voor, zo te lezen omdat daar wél protocollen en regels waren die voldoende waarborgen gaven om deze informatie te beschermen. Dus waarom zijn die niet overgenomen? Zó moeilijk is het toch niet?

Arnoud

Is het verboden te schrijven over voedingssupplementen?

Geplaatst op in Uitingsvrijheid, 40 reacties

codex-alimentariusDiverse lezers vroegen me bezorgd of het écht waar is dat je sinds kort niet meer mag schrijven over de vermeend geneeskrachtige werking van voedingssupplementen. De Codex Alimentarius (“Voedselboek”) zou als stiekem ingevoerde Europese censuurwet alle publicaties verhinderen waarin wordt gesuggereerd dat een levensmiddel of voedingssupplement gezond zou zijn. Dus als ik zeg dat ik me beter voel met pepermunt, dan ben ik strafbaar. En die claims zie ik niet alleen op alternatieve sites maar ook bij een toch respectabele club als Villamedia.

Die term “Codex Alimentarius” klinkt heel dreigend Latijn, en mogelijk dat de term “Codex” ergens resoneert met ouderwetse termen voor wetten of regels. Maar het is geen wet, niet Europees en niet Nederlands. Het is een lijst met normen over voedingsmiddelen. Wel is het zo dat deze lijst in de praktijk sterk overeenstemt met wél geldende wetten over voeding, vitamines en medische claims.

De Warenwet verbiedt in Nederland (art. 20) het aanprijzen van levensmiddelen met medische claims wanneer je dat “in de uitoefening van een beroep of bedrijf” doet. Een verkoper van vitamines mag dus niet zeggen dat deze verkoudheid verminderen, bijvoorbeeld. Maar iemand die twittert “voel me een stuk beter met een megadosis vitamine C” schendt de Warenwet niet. (Tenzij hij betaald wordt door die vitamineverkoper om dit te zeggen, natuurlijk.)

Ook is er Europese Verordening Nr. 1924/2006, die in Nederland geldend recht is. Deze verwijst (zie overweging 6) naar die omineuze Codex:

De definities en voorwaarden van de Codex-richtsnoeren worden naar behoren in aanmerking genomen.

Wellicht dat daardoor mensen zijn gaan denken dat de Codex zelf dus wet is. Maar dat is niet zo, ook niet via deze Verordening. De Codex stemt volgens de NVWA grotendeels overeen met de Europese en Nederlandse regelgeving, maar dat is geen automatisme. Uiteindelijk geldt alleen de tekst van de Verordening zelf. En ook deze is duidelijk over het beperkte toepassingsbereik:

Deze verordening is van toepassing op voedings- en gezondheidsclaims die in commerciële mededelingen worden gedaan, hetzij in de etikettering en presentatie van levensmiddelen, hetzij in de daarvoor gemaakte reclame (…) Zij is niet van toepassing (…) op niet-commerciële mededelingen en informatie in de pers en in wetenschappelijke publicaties.

Het moet dus gaan om commerciële mededelingen, reclame dus. En hoewel ook reclame valt onder de uitingsvrijheid, is het algemeen aanvaard dat reclame eerder aan banden mag worden gelegd dan een ‘gewone’ uiting, zoals een journalistiek stuk.

Aanvullende Verordening 432/2012 bevat een lijst met toegestane claims, waardoor het nog eenvoudiger is om onbewezen (niet-wetenschappelijk onderbouwde) claims aan te kunnen pakken. Maar het werkingsgebied wordt niet uitgebreid, de regels zijn en blijven beperkt tot commerciële mededelingen.

Dat is ook wat de NVWA schrijft onder het boze Villamedia-artikel. De discussie daar gaat vervolgens over de vraag wanneer iets journalistiek is of wanneer iets commercieel wordt: stel een artikel zegt wat over darmflorabacteriën en verderop in het tijdschrift staat een advertentie van Yakult. Maakt dat de uiting commercieel? Maakt het dan uit of het een gesponsord huis-aan-huisblad is of een ‘gewoon’ betaald tijdschrift waarbij redactie en advertentieafdeling strikt gescheiden zijn? Helaas komt er geen concrete uitspraak uit, maar het lijkt mij dat de bewijslast bij de NVWA ligt dat de journalistieke inhoud een direct verband met de advertentie/adverteerder heeft.

Iemand die op zijn eigen blog wil schrijven over hoe geneeskrachtig hij bepaalde vitamines of andere stofjes ervaart, kan dat gewoon blijven doen. Ook als er toevallig Google-advertenties bijkomen. Echter, is het doel van die blog het verkopen van die preparaten (bv. via affiliatelinks naar een online drogist) dan overtreedt hij de wet.

Arnoud