|
Soms gebruiken arbodiensten hun eigen verzuimsysteem en hebben zij een eigen ICTafdeling
voor het systeembeheer en -onderhoud. Een ander scenario is dat ze gebruik maken van een webbased verzuimsysteem dat door een externe provider wordt beheerd en onderhouden. Scenario drie is dat arbodiensten hun gegevens in het webbased verzuimsysteem van hun klanten verwerken. Bij alle scenario’s spelen privacyaspecten een rol. Maar de laatste twee scenario’s creëren specifieke privacyvalkuilen waarvan veel gebruikers van verzuimsystemen zich niet bewust zijn. Later meer daarover, eerst een beknopte uitleg van de Wet bescherming persoonsgegevens (Wbp).
Wbp in vogelvlucht
De Wbp geldt als er sprake is van het “verwerken van persoonsgegevens”. Het doel van de Wbp is onder meer dat personen (de “betrokkenen”) van wie gegevens worden verwerkt, worden geïnformeerd dat hun gegevens worden gebruikt en waarvoor. Daarnaast is de beveiliging van gegevens heel belangrijk. Verder hebben betrokkenen bepaalde rechten, bijvoorbeeld om hun eigen persoonsgegevens in te zien, ze te laten wijzigen of verwijderen. Het begrip “verwerken van persoonsgegevens” moet heel ruim worden opgevat. Het gaat om álle handelingen die je - al dan niet met een computersysteem - met persoonsgegevens kunt doen: verzamelen, bewaren, ordenen, wijzigen, opvragen, doorzenden, afschermen, uitwissen, vernietigen, etc.
Verantwoordelijke en bewerker
Belangrijk onder de Wbp zijn de rollen van “verantwoordelijke” en “bewerker”. De verantwoordelijke bepaalt met welk doel gegevens worden verwerkt, welke soort gegevens, hoe lang ze worden opgeslagen en met welke middelen. Hij heeft verschillende plichten, zoals bijvoorbeeld het aanmelden van de gegevensverwerking bij het CBP (tenzij er sprake is van een vrijstelling) en het nemen van maatregelen om de persoongegevens te beveiligen tegen bijvoorbeeld hacken of inzage door onbevoegden. Als de verantwoordelijke zijn Wbp-verplichtingen niet naleeft, is hij aansprakelijk voor de schade die daardoor bij de betrokkene is ontstaan. Bijvoorbeeld als gezondheidsgegevens terecht komen bij zorgverzekeraars en zij op grond daarvan een persoon niet meer verzekeren. Ook kan de “privacywaakhond” - het CBP - sancties opleggen, zoals boetes. Negatieve publiciteit werkt nog eens extra in het nadeel van de overtredende partij. De bewerker is een externe partij die gegevens verwerkt voor de verantwoordelijke. Hij neemt geen beslissingen over het gebruik, de verstrekking aan derden, de duur van de opslag, etc. Als dat wel zo is, dan is hij de (mede)verantwoordelijke. De bewerker kan op grond van de Wbp aansprakelijk zijn voor (privacy)schade die is ontstaan door zijn werkzaamheden, bijvoorbeeld als hij gegevens bij restoring (herstel) of het maken van back-ups onjuist opslaat.
Gegevensverwerking in het webbased systeem van de arbodienst
De provider van het systeem zal vermoedelijk bewerker zijn onder de Wbp als hij toegang heeft tot de gegevens, ook al maakt hij van die mogelijkheid in de praktijk niet of nauwelijks gebruik. De arbodienst, die gegevens verwerkt via het webbased systeem, zal in deze context als verantwoordelijke gelden. In zo’n geval moet de arbodienst met de provider een schriftelijke “bewerkerovereenkomst” sluiten. Deze moet onder meer een geheimhoudingsverplichting bevatten en een verplichting van de provider om passende maatregelen te nemen ter beveiliging tegen verlies of onrechtmatige verwerking van gegevens. Om overtreding van de Wbp te voorkomen, is het dus aan te raden dat de arbodienst nagaat of zo’n overeenkomst nodig is en deze eventueel alsnog sluit.
Gegevensverwerking in het webbased systeem van de klant
Arbodiensten kiezen voor deze verwerkingsmanier om praktische redenen: de (basis) werknemergegevens zijn al ingevoerd door de klant en het kost tijd om in twee systemen tegelijk te werken. Het is de bedoeling dat de klant geen inzicht heeft in de geheime gezondheidsgegevens van de werknemers, maar in de praktijk ontbreken vaak concrete afspraken hierover. Of deze manier van gegevensverwerking überhaupt is toegestaan onder de Wbp is nog maar de vraag. Gezondheidsgegevens van werknemers mogen immers alleen worden verstrekt aan de klant als dit noodzakelijk is voor de goede uitvoering van een wettelijk voorschrift, de re-integratie of de verzuimbegeleiding. Buiten die gevallen mag een arbodienst alleen gezondheidsgegevens aan de klant geven als de werknemer daar uitdrukkelijk - zonder enige vorm van druk - toestemming voor heeft verleend. Je kunt ook redeneren dat er helemaal geen sprake is van gegevensverstrekking aan de klant als de klant deze gegevens niet kan inzien. Ik acht de kans groot dat deze vorm van gegevensverwerking niet is toegestaan als het in de praktijk tóch mogelijk is voor de klant om inzage te kunnen krijgen in deze gegevens. Hoe eenvoudiger dát is, hoe groter de kans dat deze manier van gegevens verwerken verboden is. Een geheimhoudingsplicht van de klant dekt dit niet af. Verder zal de arbodienst, die gezondheidsgegevens verwerkt in het systeem van de klant, (mede)verantwoordelijke zijn. Hij is daarom sneller aansprakelijk als gegevens in verkeerde handen belanden, terwijl hij tegelijkertijd de veiligheid van het systeem niet goed kan controleren. Verwerking van gezondheidsgegevens in het systeem van de klant leidt dus tot juridische risico’s voor de arbodienst en is om die reden dan ook af te raden. Als de arbodienst deze verwerkingswijze om praktische redenen tóch wil voortzetten, is het aan te raden dat hij er op toeziet dat het systeem voldoende is beveiligd en bepaalde maatregelen op dat vlak expliciet met de klant afspreekt en vastlegt. Een voorbeeld daarvan is dat alleen de arbodienst de functiegroep bedrijfsartsen kan autoriseren en niet de klant.
Nog meer valkuilen
Wat gebeurt er met de gezondheidsgegevens als de arbodienstovereenkomst met de klant eindigt, of als de klant ophoudt te bestaan? Dat de arbodienst/bedrijfsarts altijd bij de gegevens kan, is natuurlijk erg belangrijk. Bijvoorbeeld voor de follow-up van de medische begeleiding, het voldoen aan dossier- en bewaarplicht, of om inzage te kunnen geven in het dossier. Om er zeker van te zijn dat de gegevens doorlopend beschikbaar zijn, moeten arbodiensten dus maatregelen treffen ten aanzien van het systeem en nadere afspraken hierover maken met de klant en/of de systeemleverancier. Iedereen die werkt met verzuimsystemen: wees gewaarschuwd! Zorg er door middel van beveiligingsmaatregelen, controle en afspraken voor dat gezondheidsgegevens van werknemers veilig worden verwerkt, niet toegankelijk zijn voor onbevoegden en doorlopend beschikbaar zijn voor de arbodienst/bedrijfsarts. Zo zorgt u ervoor dat u de kans op aansprakelijkheid tegenover werknemers, of een sanctie van het CBP aanzienlijk verkleint.
* Gezondheidgegevens: voor een definitie hiervan zie het artikel van Klaas van der Galiën in BG magazine, editie augustus 2008 onder de titel “Daar wordt op de deur geklopt”
Mignon de Lange is juridisch adviseur op het gebied van contractenrecht, gezondheidsrecht en ondernemingsrecht. Zij adviseert organisaties uit de zakelijke dienstverlening en zorgsector waaronder arbodiensten en zorginstellingen.
www.MignondeLange.nl.
|