Wanneer werknemers ziek worden, is dat als werkgever natuurlijk nooit fijn. Voor sommige werkgevers is het ook aanleiding om bij te houden wat de werknemer precies mankeert en wanneer hij weer aan het werk kan en via welke route. De mogelijkheden daartoe zijn alleen zeer beperkt! En dat wordt nu nog eens goed duidelijk gemaakt in een recent door de Autoriteit Persoonsgegevens (AP) gepubliceerd boetebesluit, dat hier te lezen is.

Onderhoudsbedrijf CP&A heeft namelijk van de AP een boete van EUR 15.000 opgelegd gekregen omdat zij in een Google Drive bestand informatie bijhield over in totaal 25 (zieke) werknemers. In het bestand had CP&A de verzuimreden (over zowel de fysieke als mentale gezondheid), de prognose en de opmerkingen over de verzuimredenen met betrekking tot deze werknemers vastgelegd. CP&A vond dit (naar eigen zeggen) noodzakelijk om te voorkomen dat mensen uit beeld raakten en om zo op een goede wijze invulling te geven aan haar re-integratieverplichtingen.

CP&A is echter op twee manieren de mist ingegaan, zo oordeelt de AP. Medische gegevens mag je als werkgever helemaal niet verwerken. In de Algemene Verordening Gegevensbescherming (AVG) is vastgelegd dat je gegevens over ziekte (medische gegevens) niet mag verwerken ‘tenzij’, omdat dit bijzondere persoonsgegevens zijn. De uitzonderingen komen erop neer dat je als werkgever géén gezondheidsgegevens van je werknemers mag verwerken, maar dat dit voorbehouden is aan de (arbo)arts. 

"Omdat het verwerken van namen van ziektes, specifieke klachten en pijnaanduidingen niet noodzakelijk is voor de re-integratie van werknemers is de verwerking daarvan verboden" aldus de AP. Je mag kort gezegd alleen registreren tot welk werk de werknemer in staat is en hoe lang dit het geval zal zijn. De (arbo)arts mag op zijn of haar beurt de werkgever ook géén details verschaffen over de ziekte van de werknemer, maar slechts over of de werknemer geschikt is voor werk. Door dit soort gegevens daarentegen tóch te registreren, heeft CP&A in strijd gehandeld met het verwerkingsverbod van artikel 9 AVG.

De tweede fout beging CP&A door het Google Drive bestand niet goed (genoeg) te beveiligen. Zeker wanneer er bijzondere persoonsgegevens worden verwerkt, moet een organisatie passende technische en organisatorische maatregelen treffen om de gegevens te beveiligen. Dat was hier niet het geval, nu iedereen met de link naar het Google Drive bestand de gegevens kon inzien. De Autoriteit Persoonsgegevens kon zo tijdens het onderzoek ook gewoon bij deze gegevens.

Al met al komt de AP tot de conclusie dat CP&A met haar handelen de AVG heeft overtreden door enerzijds in strijd te handelen met het verwerkingsverbod van artikel 9 AVG en anderzijds in strijd te handelen met artikel 32 AVG door genoemde onvoldoende technische en organisatorische maatregelen te treffen. De AP overwoog dat voor deze twee overtredingen een basisboete passend is van respectievelijk EUR 725.000 en EUR 310.000! Maar omdat CP&A een beperkte financiële draagkracht heeft, is de boete uiteindelijk vastgesteld op ‘slechts’ EUR 15.000.

Dit besluit is een volgend bewijs dat de AP steeds nadrukkelijker organisaties aan de privacyregels houdt en tegen schendingen optreedt. Niet alleen multinationals, maar ook middelgrote en kleinere ondernemingen worden hierbij steeds meer onderworpen aan handhavend optreden, met regelmatig forse boetes tot gevolg. 

Wilt u weten welke eisen de AVG aan uw organisatie stelt en of u compliant bent? Neem dan contact op met onze privacy-experts Sebastiaan van Wijk of Charissa Koster via vanwijk@dayonelegal.nl of koster@dayonelegal.nl