Forse boete bij niet naleven beleidsregels

Nieuwe beleidsregels "De zieke werknemer"

Gegevens over iemands gezondheid zijn gevoelige persoonsgegevens. In verschillende wetten zijn regels opgenomen over de zorgvuldige omgang met deze gegevens, niet alleen binnen de gezondheidszorg maar ook binnen de arbeidsrelatie. De Autoriteit Persoonsgegevens heeft op 21 april de nieuwe versie van de beleidsregels “De zieke werknemer” gepubliceerd. Wat moet je als werkgever registreren en wat mag zeker niet? En wat kost het als je niet juist registreert? Een overzicht.

In de beleidsregels De zieke werknemer staan welke gezondheidsgegevens je als werkgever van werknemers mag verwerken. De Autoriteit Persoonsgegevens, voorheen het College bescherming persoonsgegevens houdt hier toezicht op. Dit jaar geeft de toezichthouder prioriteit aan het controleren van de verwerking van gevoelige medische gegevens en het gebruik van persoonsgegevens binnen de arbeidsrelatie. Op grond van de Wet bescherming persoonsgegevens (Wbp) kunnen hoge boetes worden opgelegd bij een overtreding van de wet. De hoogste bestuurlijke boete die de toezichthouder kon opleggen tot 2016 was 4500 euro. Vanaf 1 januari is dit fors hoger. Bij het niet naleven van de wet variëren de boetes van maximaal 20.250 euro voor relatief lichte overtredingen tot maximaal 810.000 euro (of tien procent van de jaaromzet) voor opzettelijke en herhaaldelijke overtredingen. Voordat de Autoriteit een boete mag opleggen moet deze een “bindende aanwijzing” geven, zodat het bedrijf of organisatie de overtreding nog kan herstellen. Is er sprake van opzet of ernstig verwijtbare nalatigheid dan blijft een dergelijke bindende aanwijzing achterwege en kan direct een boete worden opgelegd.

Privacy schenden

De beleidsregels gaan in op de verschillende fases in de arbeidsrelatie, te weten de sollicitatieprocedure, de ziekmelding en de begeleiding en re-integratie van zieke werknemers. Zodra een werknemer ziek wordt, wisselen diverse partijen gegevens uit. De belangrijkste betrokken partijen zijn de zieke werknemer zelf, de werkgever, de arbodienst of bedrijfsarts, het re-integratiebedrijf, het UWV en de verzuimverzekeraar. Volgens de Autoriteit Persoonsgegevens wordt de privacy van een werknemer geschonden zodra een werkgever medische gegevens registreert. Als werkgever mag je gezondheidsgegevens namelijk niet zomaar verwerken. Dit blijkt ook uit een rapport dat de Autoriteit in maart publiceerde naar aanleiding van een onderzoek. Aan de ene kant heb je als werkgever bijvoorbeeld informatie nodig om te kunnen beoordelen of het loon van de werknemer moet worden doorbetaald. Aan de andere kant hebben zieke werknemers recht op privacy. Het is daarom werkgevers wettelijk niet toegestaan om te informeren naar de aard en oorzaak van de ziekte van hun werknemers. Alleen de arbodienst of bedrijfsarts mag deze medische gegevens verwerken. Wel mag je als werkgever aan zieke werknemers gegevens vragen die noodzakelijk zijn om te kunnen beoordelen hoe het verder moet met hun werkzaamheden. Bijvoorbeeld wanneer een werknemer weer verwacht op het werk te zijn en of er nog lopende afspraken zijn waarmee iets moet gebeuren. De arbodienst of bedrijfsarts kan ingeschakeld worden om een oordeel te geven over de mogelijkheden en beperkingen van de werknemer. De arbodienst of bedrijfsarts mag alleen noodzakelijke gegevens aan de werkgever doorgeven. Bijvoorbeeld gegevens die nodig heeft om te beoordelen of het loon moet worden doorbetaald, of de gegevens die nodig zijn voor verzuimbegeleiding en re-integratie.

Werkgevers zijn verplicht om een arbeidsongeval te melden bij de Inspectie SZW. Deze meldingsplicht geldt niet alleen voor eigen werknemers, maar ook voor personen die onder gezag bij de werkgever werkzaam zijn, zoals uitzendkrachten. Dat kan telefonisch of online via deze link.

Bron: Ministerie SZW

Download het volledige artikel via de knop download bijlage

 

Health-en-Saffety-jaarcongres