6.3 Gegevensuitwisseling
fouten
Organisaties moeten verplicht een contract met een gecertificeerde arbodienstverlener hebben voor elke werknemer. Toch mag een organisatie niet zomaar gegevens met die arbodienstverlener delen. Maakt een organisatie fouten bij het verwerken van persoonsgegevens, dan kan de AP dit beboeten.
6.3.1 Arbodienstverlener en bedrijfsarts
Meldt een werknemer zich ziek, dan bestaat er wel een noodzaak om gegevens door te geven aan de arbodienstverlener. De werkgever mag daarbij alleen de noodzakelijke gegevens doorsturen, zoals de naam, het adres en het telefoonnummer van de werknemer.
Doorsturen
loonadministratie
In principe mag een werkgever ook geen gegevens met de bedrijfsarts delen, zo lang dat niet noodzakelijk is. Automatisch de personeels- of loonadministratie aan de arbodienstverlener doorsturen, is dus niet toegestaan.
Er is een belangrijk verschil tussen een arboarts en een bedrijfsarts: de bedrijfsarts is een medisch specialist. Voor een aantal handelingen is alleen hij bevoegd. Controleer of de arboarts onder leiding staat van zo’n bedrijfsarts en de bedrijfsarts taken aan hem delegeert.
Machtiging
specialist
De arbodienst of bedrijfsarts mag medische gegevens van een werknemer opvragen bij de huisarts of specialist als dit nodig is voor de verzuimbegeleiding. De bedrijfsarts moet daarvoor een machtiging vragen aan de werknemer. Zonder die machtiging mag de behandelend arts geen gegevens doorgeven aan de bedrijfsarts of arbodienst.
Alles achter gesloten deuren
De bedrijfsarts heeft te maken met het medische beroepsgeheim. Dit wil zeggen dat in de regel alles wat een werknemer tegen hem zegt binnen de vier muren van zijn kantoor moet blijven. Hij mag geen informatie delen, ook niet met de werkgever.
beroepsgeheim
Er bestaan situaties waarin hij dit beroepsgeheim mag schenden. Bijvoorbeeld als de werknemer hem uitdrukkelijke toestemming geeft voor het doorspelen van zijn gegevens naar anderen.
Vrijwillig
Als het gesprek met de werknemer niet vrijwillig is, maar in het kader van de verzuimbegeleiding, mag de bedrijfsarts bepaalde informatie delen met de werkgever. Hij heeft hier geen toestemming voor nodig en het gaat dan strikt om informatie die de organisatie nodig heeft voor de re-integratie.
6.3.2 Verzuimsysteem werkgever
digitaal
De AP bespeurde de afgelopen jaren dat sommige werkgevers een digitaal verzuimsysteem deelden met de arbodienst of de bedrijfsarts of dat ze hen lieten werken op het personeelssysteem van de organisatie. Dat is ten strengste af te raden.
Omdat de werkgever geen medische gegevens mag verwerken, behoort die informatie voor hem ook niet toegankelijk te zijn via een verzuimsysteem.
Opslaglocatie
Het kan niet zo zijn dat een bedrijfsarts medische gegevens in het verzuimsysteem van uw organisatie opslaat en zij deze vervolgens alsnog kan bekijken. De AP stelt als regel dat een arbodienstverlener een medisch dossier niet in het verzuimsysteem van de werkgever mag opslaan.
inlogcodes
Een eigen verzuimsysteem van de organisatie houdt in dat zij het systeem beheert en bijvoorbeeld over de inlogcodes beschikt.
Delen medische gegevens aan werkgever
beoordelen
De arbodienst of bedrijfsarts mag aan de werkgever alleen noodzakelijke gegevens doorgeven. Dat zijn bijvoorbeeld gegevens die hij nodig heeft om te beoordelen of hij het loon van zijn werknemer moet doorbetalen en gegevens die nodig zijn voor de verzuimbegeleiding en re-integratie.
Regels
UWV
Voor alle medische gegevens is toestemming van de werknemer nodig. Hierbij gelden de volgende regels:
6.3.3 Extern verzuimsysteem
contactgegevens
inzagerecht
Als de werkgever het verzuimsysteem niet zelf beheert, zijn de regels anders. Bij dit externe beheer van het verzuimsysteem mag de werkgever een arbodienstverlener wél verzoeken om er medische dossiers in op te slaan. De werkgever gebruikt dan hetzelfde programma als de arbodienstverlener, maar zonder toegang te hebben tot de dossiers. Bij de opslag van medische dossiers in een extern beheerd systeem gelden er op basis van privacywet- en regelgeving wel een aantal voorwaarden:
- De werkgever moet aan werknemers de contactgegevens van de arbodienstverlener doorgeven. De werknemers kunnen bij die partij dan terecht als zij hun medische dossier willen inzien (ze hebben dus een inzagerecht).
- De werkgever moet regelen dat de arbodienstverlener met de beheerder van het verzuimsysteem een verwerkersovereenkomst kan afsluiten. Hierbij komt de arbodienstverlener overeen dat hij (als enige) toegang heeft tot de medische dossiers van werknemers en daarin informatie kan verwerken.
Verwerkersovereenkomst
beveiliging
Naast het recht op toegang moeten in de verwerkersovereenkomst ook bepalingen staan over de beveiliging van het verzuimsysteem, het inzagerecht van werknemers en het bewaren van de medische dossiers. De arbodienstverlener moet de gegevens nog vijftien jaar kunnen inzien en deze op aanvraag beschikbaar maken voor werknemers. De beheerder moet dit mogelijk maken. Na die vijftien jaar worden de gegevens vernietigd.
Verzuimregistratie
Ook de werkgever zal bij een extern beheerd verzuimsysteem een verwerkersovereenkomst moeten afsluiten met de beheerder. De AP verplicht dit namelijk als uw organisatie het systeem wil benutten voor de verzuimregistratie. De WBP en de AVG merken de externe beheerder aan als verwerker van de verzuimgegevens waarvoor uw organisatie verantwoordelijk is.
onderscheid
Het gaat hierbij om gegevens over ziekmeldingen en de door de bedrijfsarts of arbodienst bepaalde beperkingen en mogelijkheden van zieke werknemers. Deze verzuimgegevens mag uw organisatie natuurlijk ook opslaan in een verzuimsysteem dat zij zelf beheert. Houd goed in de gaten dat u een onderscheid maakt tussen verzuimgegevens en medische gegevens.
Verzuimsysteem onder de loep
sanctie
Werkgevers die verzuimgegevens onvoldoende beschermen of persoonsgegevens op een onwettige manier verwerken (zoals medische gegevens), kunnen te maken krijgen met een sanctie als de overtreding bij de AP bekend wordt. De AP mag flinke boetes uitdelen. Genoeg reden dus om de privacy binnen het verzuimsysteem van uw organisatie eens onder de loep te nemen. In de praktijk weten leidinggevenden vaak wel wat een zieke werknemer onder de leden heeft. Belangrijk is dat dit niet tot een (officiële) registratie leidt.
Beveiligingseisen
systeembeheerder
In de Beleidsregels ‘De zieke werknemer’ stelt de AP dat een verzuimsysteem aan de volgende beveiligingseisen moet voldoen: voor een verzuimsysteem dat via internet te openen is, moet een tweefactorauthenticatie zijn geregeld. Een gebruiker moet dan om in te loggen op twee manieren zijn identiteit bewijzen. Een kwaadwillende heeft dan niet genoeg aan alleen het wachtwoord. Periodiek moet de beheerder de beveiligingsrisico’s van het systeem onderzoeken. De AP noemt als mogelijke methode hiervoor een penetratietest (poging om het systeem te kraken). De systeembeheerder moet zorgen dat alleen de personen die de medische gegevens mogen inzien hiervoor geautoriseerd zijn.
Er komt veel kijken bij het privacyvriendelijk registreren van ziektegegevens. Op rendement.nl/xxdossier vindt u een handvat in de vorm van een begrippenlijst.
Bedrijfsarts in dienst
ICT
toegang
Arbo- en bedrijfsartsen mogen alleen medische gegevens in een ICT-systeem van hun eigen organisatie opslaan als zeker is dat niemand anders binnen de organisatie bij de gegevens kan. Ook de systeembeheerder mag hier geen toegang tot hebben. Als de organisatie geen technische of organisatorische maatregelen heeft getroffen ter bescherming van de medische dossiers, moet de arts een ander systeem gebruiken.