Arbogegevens en de nieuwe privacywet

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming, ook bekend als de nieuwe Europese privacywet GDPR, vervangt de oude Wet Bescherming Persoonsgegeven (Wbp). De wet geldt al in Nederland, de handhaving van de AVG begint echter vanaf 25 mei 2018. Ruim de helft van de organisaties was afgelopen voorjaar nog niet voorbereid op de introductie (in ons land bekend als de Algemene Verordening Gegevensbescherming, AVG). Afgelopen zomer schreef het Financieele Dagblad dat Nederlandse bedrijven ‘in paniek’ zouden zijn, omdat ze niet op tijd klaar zijn met alle voorbereidingen.

De nieuwe wet geeft individuele burgers – ook werknemers dus – meer rechten en zeggenschap over hun eigen informatie. Overtredingen worden bestraft met zeer hoge boetes. Karen Siemers van Privacy Management Partners heeft voor Cohesie op een rijtje gezet wat er verandert voor HR als het gaat om het samenwerken met arbodiensten. Arbodiensten werken met persoonsgegevens en systemen, soms in de systemen van opdrachtgevers.

Verwerkers en verantwoordelijken

De AVG kent twee soorten partijen die persoonsgegevens verwerken: verwerkingsverantwoordelijke personen of organisaties en verwerkers. De eerste partij bepaalt hoe er wordt omgegaan met persoonsgegevens (doel en middelen). De verantwoordelijke is aansprakelijk voor de schade die het gevolg is van niet voldoen aan de regels, ook als die door een verwerker wordt veroorzaakt. De tweede partij verzorgt de feitelijke verwerking namens de verantwoordelijke. De verwerker heeft ook plichten en moet bijvoorbeeld zorgen voor een goede beveiliging en voor het tijdig melden van datalekken. De verwerker is alleen aansprakelijk voor eigen fouten. Het onderscheid tussen die twee partijen is in de praktijk ingewikkeld. Het idee, aldus MPP, is dat de verantwoordelijkheden daar liggen waar ze thuishoren. Daarbij wordt gekeken naar wat er in de praktijk gebeurt, niet wat er contractueel is afgesproken.

Ook het raadplegen van gegevens raakt privacy

Zowel werkgevers als arbodiensten worden in de nieuwe AVG gezien als verantwoordelijke. Wanneer de arbodienst in opdracht van de werkgever ook gegevens in systemen verwerkt, is de arbodienst tevens een verwerker – ook wanneer de arbodienst gegevens raadpleegt (dus alleen bekijkt). De arbodienst moet dan via een verwerkersovereenkomst regelen dat de werkgever geen toegang heeft tot gegevens die inbreuk op de privacy vormen. De Autoriteit Persoonsgegevens heeft op zijn beurt bepaald welke gegevens vallen onder de categorie ‘bijzondere persoonsgegevens’: daarbij gaat het om vrijwel alle gegevens die bij arbeidsverzuim spelen. Van datum ziekmelding tot afspraken met artsen en van persoonlijke omstandigheden tot en met subjectieve waarnemingen van de persoon. De meeste van deze gegevens mogen niet toegankelijk zijn voor de werkgever. De werkgever mag alleen gegevens inzien die noodzakelijk zijn voor het begeleiden van het verzuim, zoals een telefoonnummer, de verzuimduur, lopende afspraken. In de praktijk betekent dit dat de arbodienst of de bedrijfsarts moet zorgen voor een goede beveiliging en afscherming, ook als het systeem van de werkgever is.

Cohesie informeert haar klanten

Naast de nieuwe Arbowet (die al van toepassing is) zal de Algemene Verordening Gegevensbescherming vanaf 25 mei 2018 gehandhaafd worden. Beide wetten hebben impact op de samenwerking tussen Cohesie en haar klanten. Wij zullen onze klanten individueel benaderen om beide zaken in goede banen te leiden.