De Autoriteit Persoonsgegevens (AP) heeft onlangs aan een onderhoudsbedrijf een boete opgelegd van €15.000. Het betreffende bedrijf verwerkte meer persoonsgegevens dan is toegestaan. In het verzuimsysteem noteerde het bedrijf de reden van het ziekteverzuim van de medewerkers. Ziektes, specifieke klachten en pijnaanduidingen werden met naam en toenaam vermeld. Dat mag niet, omdat het bij verzuimgegevens vaak gaat om gevoelige persoonsgegevens over iemands fysieke en/of mentale gezondheid. De gegevens waren bovendien makkelijk toegankelijk voor medewerkers. De AP vond dat het bedrijf zich terughoudend moet opstellen om deze persoonsgegevens te verzamelen. Bovendien mogen alleen bevoegde medewerkers bij deze gegevens. De toegang tot het online systeem moet extra beveiligd zijn.
Uitzondering
Ziektes en gezondheidsklachten van medewerkers mogen door de bedrijfsarts wel worden verwerkt. De bedrijfsarts adviseert op basis van de informatie de werkgever over het verzuim en de re-integratie van de medewerkers. In uitzonderlijke situaties mag een werkgever wel gezondheidsgegevens van een werknemer verwerken. Dit is bijvoorbeeld het geval wanneer de werknemer een aandoening of ziekte heeft die acuut handelen kan vragen. Dat is bijvoorbeeld bij epilepsie of een ernstige allergie voor bepaalde stoffen. Leidinggevenden moeten weten waar zij de medewerker niet kunnen inzetten. Ook moeten collega’s weten hoe zij moeten handelen als iemand een epileptische aanval krijgt.
Handreiking voor de OR
Sommige van die verwerkingen kunnen heel ingrijpend zijn. Het is daarom belangrijk dat werkgevers rekening houden met de privacy van hun werknemers. De AP vindt dat werkgevers en werknemers hier meer over moeten praten. Ondernemingsraden spelen daarbij een cruciale rol. De ondernemingsraad is nauw betrokken bij afspraken over de verwerking van persoonsgegevens van het personeel en bij personeelsvolgsystemen. De AP wil de OR daarbij ondersteunen. De AP heeft een handreiking (pdf) gemaakt. Deze geeft uitleg over de geldende privacywetgeving (de Algemene verordening gegevensbescherming) en geeft ondernemingsraden praktische tips voor het toepassen van hun rechten. Wilt u naast de handreiking mee informatie over de rol van de OR bij privacy? Volg dan onze cursus OR en privacy. Meer informatie vindt u hier.