Ziekteverzuim is voor veel organisaties een vast onderdeel van de dagelijkse praktijk. Bij een ziekmelding verwerk je direct persoonsgegevens en vaak gevoelige of bijzondere gegevens die onder de AVG extra bescherming vereisen. Het is dus belangrijk dat je zorgvuldig omgaat met de gegevens die je vastlegt, deelt en bewaart. Werkgevers hebben wettelijke verplichtingen bij ziekteverzuim en dragen verantwoordelijkheid voor een correcte omgang met persoonsgegevens. Een zorgvuldige toepassing van de AVG is daarbij onmisbaar. In dit artikel bespreken we hoe je privacyproof kunt omgaan met ziekteverzuim, oftewel ziekte en AVG: zo ga je privacyproof om met ziekteverzuim. Het is belangrijk om de richtlijnen voor ziekte en AVG: zo ga je privacyproof om met ziekteverzuim goed te volgen.
Waarom hangen ziekte en AVG nauw met elkaar samen?
Gezondheidsgegevens zijn bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens gelden strikte regels. Bij ziekteverzuim mag je als werkgever bepaalde gegevens verwerken, zolang dit noodzakelijk is voor verzuimbegeleiding en re-integratie. Het uitgangspunt blijft dat je niet méér gegevens verwerkt dan nodig en dat medische informatie buiten jouw bereik blijft wanneer het gaat om ziekte en AVG: zo ga je privacyproof om met ziekteverzuim.
In de praktijk zien we privacyrisico’s ontstaan door onduidelijke procedures, te uitgebreide ziekmeldingen en onvoldoende kennis bij leidinggevenden. Hier ligt een belangrijke rol voor de Privacy Officer van de organisatie, zodat ziekte en AVG: zo ga je privacyproof om met ziekteverzuim in goede banen wordt geleid.
Wat mag je als werkgever vastleggen bij een ziekmelding?
Wanneer een werknemer zich ziek meldt, geef je deze melding door aan de arbodienst of bedrijfsarts. Daarbij mag je uitsluitend noodzakelijke administratieve gegevens verwerken, zoals:
- naam en contactgegevens van de werknemer;
- het (verpleeg)adres;
- lopende werkzaamheden en afspraken;
- de vermoedelijke duur van het verzuim;
- of sprake is van een arbeidsongeval of verkeersongeval;
- of de werknemer onder een vangnetbepaling van de Ziektewet valt.
Gezondheidsgegevens mag je niet verwerken. Ook informatie die een werknemer uit eigen beweging deelt over klachten, diagnoses of behandelingen mag je niet vastleggen of doorgeven, zodat je ziekte en AVG: zo ga je privacyproof om met ziekteverzuim in acht neemt.
Welke rol heeft de arbodienst of bedrijfsarts?
De arbodienst of bedrijfsarts begeleidt het ziekteverzuim en beoordeelt de arbeidsongeschiktheid. Zij ontvangen gegevens:
- van jou als werkgever (beperkt tot noodzakelijke gegevens);
- van de zieke werknemer zelf;
- eventueel van een behandelend arts, uitsluitend met uitdrukkelijke toestemming van de werknemer.
De werknemer is verplicht om de arbodienst of bedrijfsarts alle informatie te geven die nodig is voor de beoordeling van de arbeidsongeschiktheid en de re-integratie, wat bijdraagt aan ziekte en AVG: zo ga je privacyproof om met ziekteverzuim.
Welke informatie mag jij als werkgever ontvangen?
De arbodienst of bedrijfsarts mag jou alleen functionele informatie verstrekken die nodig is voor de organisatie van werk en re-integratie, namelijk:
- dat de werknemer (tijdelijk) arbeidsongeschikt is;
- de verwachte duur van het verzuim;
- de belastbaarheid bij (gedeeltelijke) werkhervatting;
- eventuele noodzakelijke werkaanpassingen, die een nauw verband hebben met ziekte en AVG: zo ga je privacyproof om met ziekteverzuim.
Medische details, diagnoses of oorzaken van de ziekte maken hier geen onderdeel van uit. Alleen in uitzonderlijke situaties en met uitdrukkelijke toestemming van de werknemer mag noodzakelijke medische informatie worden gedeeld, bijvoorbeeld bij een directe veiligheidsrisico.
Gegevensverstrekking aan andere partijen
UWV
De arbodienst of bedrijfsarts verstrekt noodzakelijke medische gegevens aan het Uitvoeringsinstituut Werknemersverzekeringen (UWV) wanneer dit nodig is voor de uitvoering van wettelijke taken, waarbij ziekte en AVG: zo ga je privacyproof om met ziekteverzuim aandacht verdient.
Sociaal Medisch Team (SMT/SMO)
Binnen een SMT of SMO mogen uitsluitend de volgende gegevens worden gedeeld:
- mate van arbeidsongeschiktheid;
- verwachte duur van het verzuim;
- functionele beperkingen;
- noodzakelijke re-integratiemaatregelen.
Medische gegevens mogen alleen worden gedeeld met uitdrukkelijke toestemming van de werknemer.
Beroepsziekten
Bij een beroepsziekte meldt de arbodienst of bedrijfsarts dit bij het Nederlands Centrum voor Beroepsziekten.
Toegang tot en overdracht van verzuimdossiers
Het medisch dossier van een zieke werknemer is strikt afgeschermd. Alleen medewerkers die direct betrokken zijn bij de verzuimbegeleiding hebben toegang tot dit dossier.
Bij een overstap naar een andere arbodienst mag:
- het niet-medische deel van het dossier worden overgedragen;
- medische gegevens alleen worden overgedragen als dit noodzakelijk is voor verzuimbegeleiding en aan strikte voorwaarden is voldaan, waaronder informatie aan de werknemer en instemming van de ondernemingsraad.
De arbodienst of bedrijfsarts bewaart medische dossiers 20 jaar na het einde van het dienstverband of de overeenkomst, in lijn met het belang van ziekte en AVG: zo ga je privacyproof om met ziekteverzuim.
De rol van de Privacy Officer bij ziekte en AVG
De Privacy Officer speelt een centrale rol bij het AVG-proof inrichten van ziekteverzuim. In de praktijk betekent dit dat je als Privacy Officer:
- ziekmeldings- en verzuimprocedures toetst aan de AVG;
- borgt dat alleen noodzakelijke gegevens worden verwerkt;
- leidinggevenden en HR-medewerkers instrueert over privacy bij ziekte;
- afspraken met arbodiensten en bedrijfsartsen beoordeelt;
- toezicht houdt op toegang tot dossiers en bewaartermijnen;
- privacyrisico’s rondom ziekteverzuim signaleert en beheerst. Hierdoor zorg je ervoor dat ziekte en AVG: zo ga je privacyproof om met ziekteverzuim wordt nageleefd.
Door deze structurele betrokkenheid zorgt de Privacy Officer voor consistent en rechtmatig omgaan met gezondheidsgegevens.
Ziekteverzuim vraagt om privacybewust beleid
Een zorgvuldige omgang met ziekteverzuim begint bij duidelijke processen en heldere verantwoordelijkheden. Door de AVG als uitgangspunt te nemen en de Privacy Officer actief te betrekken bij verzuimbeleid, voorkom je onrechtmatige verwerking van gezondheidsgegevens. Zo richt je ziekteverzuim transparant, zorgvuldig en compliant in. In kort: ziekte en AVG: zo ga je privacyproof om met ziekteverzuim moet een leidraad zijn.
