- Werkgever
- Het laatste nieuws van Arbo Unie
- Nieuwsbrieven 2017
- Privacyrichtlijnen: wat verandert er in 2018?
Privacyrichtlijnen: wat verandert er in 2018?
Iedereen heeft recht op bescherming van persoonlijke gegevens. Met de huidige technologische vooruitgang is het steeds ingewikkelder om die voor iedereen te waarborgen. Daarom worden de privacyrichtlijnen verder aangescherpt. In mei 2018 treedt de nieuwe Europese Algemene Verordening Gegevensbescherming in werking. Die heeft ook impact op de verwerking van gegevens van zieke medewerkers.
In Nederland geldt al sinds 2001 de Wet Bescherming Persoonsgegevens, die onder andere eisen stelt aan hoe werkgevers en arbodiensten omgaan met privacygevoelige informatie van zieke medewerkers. Dorus-Jan ten Boom, information security en privacy officer bij Arbo Unie: “Voor een groot deel komen de huidige regels overeen met de richtlijnen uit de nieuwe verordening. Toch zijn er ook verschillen. Zo gaan de boetes omhoog voor organisaties die niet aan de richtlijnen voldoen en op een aantal punten worden de regels verder aangescherpt. Dit gebeurt ook doordat de Autoriteit Persoonsgegevens steeds meer invulling geeft aan de interpretatie van de al geldende regels. Organisaties mogen straks bijvoorbeeld geen volledig medewerkersbestand meer bij ons aanleveren waar wij dan de ziekmeldingen aan kunnen koppelen, maar alleen de gegevens van medewerkers met wie we daadwerkelijk een behandeling starten. En zónder burgerservicenummer; dat mogen wij pas verwerken als iemand door een bedrijfsarts of andere hulpverlener gezien is.”
Wat mag wel en wat mag niet?
Dat het onderwerp leeft onder werkgevers, bleek wel uit de grote belangstelling voor de serie klantenbijeenkomsten over privacyrichtlijnen die Arbo Unie vlak voor de zomer organiseerde. Daar kwamen ook de vragen goed los. Dorus-Jan: “Er is nog altijd onduidelijkheid over wat werkgevers wel en niet mogen vragen aan en registreren over zieke medewerkers. Aan een medewerker die zich ziek meldt, mag je bijvoorbeeld niet vragen wat eraan scheelt. En vertelt een medewerker dat zelf, dan mag je nog steeds niets over de aard en oorzaak van het verzuim vastleggen. Terwijl dat vaak wel de natuurlijke neiging is. Bedrijfsartsen mogen over de aard en oorzaak van het verzuim ook niets terugkoppelen aan de werkgever. Deze doet alleen mededelingen over zaken als de verwachte duur van het verzuim en de belastbaarheid van een medewerker. Dat is nu al zo en vanaf 2018 wordt daar nog strenger op toegezien.”
Je mag alleen noodzakelijke gegevens van zieke medewerkers registreren.
Gegevens in goede handen
Ondertussen willen werkgevers er ook zeker van zijn dat hun gecertificeerde arbodienst ervoor zorgt dat gegevens over hun medewerkers op de juiste manier worden beveiligd en bewaard. “Als wij bijvoorbeeld voor de registratie van medische en verzuimgegevens gebruikmaken van een systeem dat door een externe partij wordt beheerd, is het onze verantwoordelijkheid om daarover een bewerkersovereenkomst af te sluiten”, zegt Dorus-Jan. “We registreren alleen de noodzakelijke gegevens van zieke medewerkers. En degenen die deze gegevens verwerken, zijn allemaal gebonden aan een geheimhoudingsplicht. Sinds dit jaar is Arbo Unie ISO27001-gecertificeerd, waarmee we als een van de eerste arbodienstverleners helemaal voldoen aan de norm voor informatiebeveiliging en gegevensbescherming. Onze klanten kunnen er dus echt van uitgaan dat hun gegevens bij ons in goede handen zijn.”
Meer weten?
Meer weten over de privacyrichtlijnen voor omgaan met zieke werknemers? Hier vind je ze in één overzicht. Je kunt ook contact opnemen met je vaste contactpersoon of een mail sturen naar informatie@arbounie.nl