Op dit moment worden aan Capra Advocaten diverse privacyrechtelijke vragen gesteld in verband met de gevolgen van het coronavirus. Hieronder staan diverse vragen en antwoorden op een rij.
Dit overzicht is bijgehouden tot 15 juli 2021. Voor diverse onderwerpen die ten tijde van het coronavirus alsook postcorona relevant zijn kunt u ook onze overzichtpagina bekijken.
1. Mag ik bijhouden welke werknemers gevaccineerd zijn en welke werknemers niet?
Dit betreft de verwerking van gezondheidsgegevens en dat is op grond van de AVG in beginsel verboden. Vooralsnog wordt er van uitgegaan dat er geen wettelijke basis is voor het door de werkgever bijhouden van de vaccinatiestatus voor COVID-19.
2. Mijn medewerker meldt zich ziek. Mag ik vragen of hij coronaklachten heeft?
Medische gegevens, oftewel gezondheidsgegevens, zijn bijzondere persoonsgegevens in de zin van de AVG. Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt. Dit kan anders zijn, als er sprake is van een bepaalde uitzonderingssituatie. Zo mag een werkgever wel vragen of de werknemer zijn werk kan doen. Hij moet immers het recht op loondoorbetaling kunnen vaststellen. De coronacrisis verandert niets aan de privacyregels voor een werkgever rondom een ziekmelding. De werkgever mag dus (bij een ziekmelding) niet vragen of een werknemer coronaklachten heeft. Hij mag de medewerker uiteraard wel naar de bedrijfsarts sturen.
3. Een medewerker zit thuis vanwege coronagerelateerde klachten. Mag ik de andere werknemers daarover inlichten?
Ook hier geldt weer dat bijzondere persoonsgegevens in beginsel niet mogen verwerkt. Van ‘verwerken’ in de zin van de AVG is al snel sprake. Daaronder valt ook het doorzenden, verspreiden of op andere wijze ter beschikking stellen van gegevens. Het is dus in beginsel niet toegestaan om aan de medewerkers mede te delen dat hun collega niet op het werk verschijnt vanwege corona c.q. coronagerelateerde klachten. Dit kan onder meer anders zijn indien de medewerker daar uitdrukkelijke toestemming voor heeft gegeven.
4. In hoeverre gelden de Europese privacyregels nog in verband met corona?
Het Europees Comité voor gegevensbescherming (European Data Protection Board: EDPB) heeft op 19 maart 2020 een officieel statement gepubliceerd over hoe in deze buitengewone omstandigheden moet worden omgegaan met de Europese privacyregels. De EDPB vindt, vrij vertaald, onder meer dat de AVG niet belemmert dat er maatregelen worden genomen om de coronacrisis te bestrijden. Ook in deze buitengewone situatie moeten de verwerkingsverantwoordelijke en de verwerker echter wel blijven waarborgen dat de privacy van betrokkenen is beschermd. Dat betekent dat ook nu de rechtmatige verwerking van persoonsgegevens gegarandeerd moet blijven.
Verder vindt de EDPB dat de AVG ook de regels geeft voor het verwerken van persoonsgegevens met betrekking tot de coronacrisis. De AVG geeft de mogelijkheid voor werkgevers en zorgautoriteiten om in uitzonderingssituaties gezondheidsgegevens te verwerken zonder expliciete toestemming van de betrokkene (artikelen 6 en 9 AVG), een en ander voor zover de nationale wetgeving dit toestaat.
5. Hoe kan ik veilig thuiswerken?
Waar mogelijk werken veel werknemers thuis zoveel mogelijk ‘normaal’ door. Het is juist nu belangrijk om veilig data te verwerken. Voorkomen moet worden dat persoonsgegevens in verkeerde handen terecht komen en er een datalek ontstaat.
De Autoriteit Persoonsgegevens (AP) heeft op 18 maart 2020 vier tips gepubliceerd om zowel uw eigen privacy en data te beschermen, als die van uw klanten, patiënten of burgers, die wij graag met u delen. Zo voorkomt u dat gegevens over uw collega’s, klanten, cliënten, patiënten of burgers per ongeluk worden gelekt.
1. Werk, zoveel mogelijk, in een beveiligde thuiswerkomgeving
Als u niet kunt inloggen op een beveiligde thuiswerkomgeving, raadt de AP u aan met uw collega’s en bijvoorbeeld opdrachtgevers te overleggen hoe u veilig kunt werken. Pas ook op met het gebruik van gratis cloud-, opslag- of e-maildiensten. Gratis betekent namelijk vaak dat de persoonsgegevens die worden verwerkt ook worden gebruikt voor andere doeleinden door de aanbieder. Ook is er volgens de AP een risico dat de beveiliging tegen internetcriminelen onvoldoende is.2. Bescherm gevoelige documenten
Dit kunt u bijvoorbeeld doen door ervoor te zorgen dat deze gevoelige documenten in een beveiligde omgeving staan, bijvoorbeeld op een server van de werkgever of op een versleutelde usb-stick.3. Wees voorzichtig met het gebruik van (video)chatdiensten
De AP raadt aan voor gesprekken waarin gevoelige gegevens worden besproken bij voorkeur gebruik te maken van de beschikbare veilige communicatiemiddelen. Dat is allereerst de telefoon. De AP ziet apps als FaceTime, Skype en Signal, kort gezegd, als alternatieven om bij uitzondering te gebruiken, vanwege de privacyrisico’s. In geval van gebruik van de chatfunctie van Whatsapp of Signal raadt de AP u aan om de chathistorie na elk gesprek te wissen.4. Pas op voor phishingmails
De AP wijst erop dat cybercriminelen gebruik maken van de coronacrisis door phishingmails te versturen. Dat zijn nepmails met bijvoorbeeld informatie over het coronavirus. Deze internetcriminelen proberen op die manier informatie van u te ontfutselen of malware op uw computer te installeren. Wees dus op uw hoede als u onverwachte e-mails ontvangt, of e-mails van onbekende afzenders. Klik niet door op links in deze e-mails, open geen bijlagen en vul geen gegevens in.6. Autoriteit Persoonsgegevens over privacy en corona
De Autoriteit Persoonsgegevens (AP) heeft inmiddels een standpunt ingenomen over het toezicht op de handhaving van de privacyregels tijdens de coronacrisis.
De AP geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. De AP geeft bijvoorbeeld initiatieven om de volksgezondheid te beschermen ruim baan, maar blijft handhaven indien privacy echt in gevaar is. De coronacrisis mag, aldus de AP, geen excuus worden om de privacy overboord te gooien.
Daarnaast heeft de AP antwoord gegeven op enkele privacyvragen in relatie tot corona. Hierna schets ik kort enkele standpunten van het AP.
- Een werkgever mag ook tijdens de coronacrisis geen medische gegevens verwerken. Een werkgever mag dus ook nu de reden van een ziekmelding niet noteren. De werkgever mag werknemers ook niet controleren op corona. De controlebevoegdheid is voorbehouden aan een (bedrijfs)arts.
- Gelet op de bijzondere omstandigheden van de coronacrisis, mag de werkgever een werknemer die verkoudheids- of groepsverschijnselen vertoont naar huis sturen. In deze uitzonderlijke tijd vindt de AP dat de werkgever van de werknemer mag verlangen dat hij meewerkt.
- De werkgever mag altijd van een werknemer vragen om contact op te nemen met een arts. Indien de arts vermoedt dat de medewerker het coronavirus heeft, kan deze contact opnemen met de GGD. Indien de GGD dit noodzakelijk acht, kan de GGD in overleg met de werkgever maatregelen treffen voor op de werkvloer.
Op de werkgever rust de verplichting om voor een veilige werkomgeving te zorgen. Die verplichting geldt ook en juist nu. Dat betekent dat niet dat met de privacy van werknemers geen rekening meer hoeft te worden gehouden.
7. Mag ik werknemers verplichten de corona-app te gebruiken?
Nee dat mag niet. Niemand kan verplicht worden de app te gebruiken.
De corona-app is bedoeld ter aanvulling van het reguliere bron- en contactonderzoek. Momenteel wordt de app in een deel van Nederland getest.
De minister van VWS en de GGD-en zijn de verantwoordelijken voor de gegevensverwerking in het kader van de app. De minister heeft een Privacy Impact Assessment op de gegevensverwerkingen in het kader van de app uitgevoerd. Naar aanleiding daarvan heeft de Autoriteit Persoonsgegevens het standpunt ingenomen dat de app een specifieke wettelijke grondslag vereist en toestemming niet als grondslag kan dienen.
Hoewel de meningen over dit standpunt van de AP verdeeld zijn, heeft de minister een wetsvoorstel ingediend die de landelijke invoering van de app van een specifieke wettelijke grondslag voorziet. Hierin is ook een verbod opgenomen om een ander te verplichten de app, of een vergelijkbaar digitaal middel, te gebruiken. Overtreding van dit verbod is een strafbaar feit, waarvoor een boete van maximaal € 8.600,00 of hechtenis van maximaal zes maanden kan worden opgelegd.
Een werkgever mag zijn werknemers wel aanraden de app te gebruiken om bij te dragen aan de bestrijding van Corona in het algemeen en in het belang van de bescherming van de gezondheid op de werkvloer in het bijzonder. Waak er dan wel voor dat werknemers zich niet feitelijk gedwongen voelen om de app te gebruiken. Maak dan ook geen onderscheid tussen werknemers die de app wel en werknemers die de app niet gebruiken.
Heeft u vragen?
Het coronavirus roept veel vragen op en zorgt voor veel onduidelijkheid. Heeft u vragen over de gevolgen van het coronavirus voor uw organisatie of komen bij u andere vragen op? Dan kunt u altijd contact met een van onze advocaten opnemen.
Op de hoogte blijven van onze laatste artikelen?
Wilt u op de hoogte blijven van onze laatste artikelen? Volg dan Capra Advocaten op LinkedIn of op Twitter of schrijf u in voor onze nieuwsbrief.
Gerelateerd
Aangifte doen als zorgverlener: denk aan het medisch beroepsgeheim!
Artikel
lees meerAVG en Personeelszaken; een verstandshuwelijk?
Artikel
lees meerWoo-verzoek en de Archiefwet: Procesbelang bij afwezigheid van informatie?
Artikel
lees meerEen melding grensoverschrijdend gedrag. En dan?
Artikel
lees meerDe bedrijfsarts als getuige: verschoningsrecht bepaald niet absoluut
Artikel
lees meerDe Wet open overheid in de zorgsector
Artikel
lees meerPrivacy-perikelen rondom thuiswerken
Artikel
lees meerVertrouwen is goed, controleren is beter?
Artikel
lees meerAI-regulatie in vogelvlucht
Artikel
lees meer