15.000 euro boete voor registreren ziekteklachten werknemers
Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.
De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Het is niet noodzakelijk dat een werkgever deze informatie verwerkt voor de re-integratie van werknemers.
Gezondheidsgegevens zijn zogeheten bijzondere persoonsgegevens, die extra beschermd moeten worden. Ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden. Dat geldt ook voor werknemers. Maar een werknemer kan zich verplicht voelen om die informatie wel aan zijn werkgever te geven.
Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op een werknemer.
In uitzonderlijke situaties mag een werkgever de aard en de oorzaak van de ziekte van een werknemer registeren. Bijvoorbeeld wanneer iemand epilepsie heeft en collega’s hiervan op de hoogte moeten zijn, zodat ze weten wat ze moeten doen als diegene een aanval krijgt.
Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de overtredingen inmiddels beëindigd. De verzuimregistratie van CP&A was online toegankelijk, zonder enige vorm van authenticatie.
Gegevens over iemands ziekteverzuim kunnen iets zeggen over zijn gezondheid. Voor de beveiliging van gezondheidsgegevens gelden daarom extra strenge eisen. Alleen bevoegde medewerkers mogen bij deze gegevens.
Als een verzuimsysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactorauthenticatie verlopen. Naast het ‘gewone’ inloggen moeten bevoegde medewerkers hun identiteit ook op een andere manier aantonen om toegang te krijgen. Bijvoorbeeld door een token te gebruiken. Inloggen met alleen een gebruikersnaam en wachtwoord is dus niet genoeg.
“Het is begrijpelijk dat een werkgever wil weten of iemand kort of langdurig ziek is”, aldus Katja Mur, bestuurslid van de AP. “Maar daarvoor hoeft de werkgever zelf geen gezondheidsgegevens te verwerken of op de stoel van de dokter te gaan zitten. De arbodienst of bedrijfsarts mag hem namelijk gewoon informeren over de verwachte duur van de ziekte en de belastbaarheid.”
Een werkgever mag een zieke medewerker wel een aantal vragen stellen die noodzakelijk zijn om te kunnen bepalen hoe het verder moet met de werkzaamheden van de werknemer.