Wanneer een werknemer zich ziekmeldt, komen er automatisch meerdere partijen in actie: de werkgever, HR, de bedrijfsarts, de arbodienst en soms het verzuimbedrijf. In deze keten worden persoonsgegevens gedeeld om de werknemer zo verantwoord en snel mogelijk weer aan het werk te helpen. Daarbij heeft de werknemer recht op privacy, omdat gezondheidsgegevens bijzondere persoonsgegevens zijn en extra beschermd worden onder de AVG.
De Autoriteit Persoonsgegevens (AP) onderzoekt regelmatig verzuimprocessen bij werkgevers, arbodiensten en verzuimbedrijven. De praktijk laat zien dat het hier vaak misgaat: werkgevers vragen of registreren medische informatie die ze niet mogen verwerken. Daarom is het belangrijk om goed te weten wat wél en niet is toegestaan.
In deze blog leggen we uit:
- Welke gezondheidsgegevens een werkgever van een zieke werknemer mag vragen;
- Welke vragen verboden zijn;
- Hoe de verwerking van vrijwillig verstrekte gegevens werkt;
- In welke uitzonderingssituaties meer informatie wél gedeeld mag worden;
- Wat organisaties moeten doen om compliant te blijven.
Welke gegevens mag een werkgever vragen en registreren bij een ziekmelding?
Een werkgever heeft informatie nodig om het verzuim en de bedrijfsvoering goed te organiseren. Echter betekent dat niet dat hij of zijn medische informatie mag opvragen. De AP is hier heel strikt in.
De werkgever mag de volgende gegevens wél vragen:
- Het telefoonnummer en (verpleeg)adres: dit is nodig voor bereikbaarheid tijdens het verzuim.
- De vermoedelijke duur van het verzuim: dit is nodig, zodat de werkgever de personeelsplanning kan aanpassen.
- Lopende afspraken en werkzaamheden: Bijvoorbeeld geplande klantbezoeken, deadlines of projecten die overgenomen moeten worden.
- Of de ziekte verband houdt met een arbeidsongeval: Dit is relevant voor de RI&E en eventuele meldingsplicht.
- Of er sprake is van een verkeersongeval met een derde aansprakelijke: Voor een eventuele regresmogelijkheid.
- Of de werknemer onder een vangnetbepaling van de Ziektewet valt
Let op: de werkgever mag niet vragen onder welke vangnetbepaling de medewerker valt.
Welke vragen mag een werkgever níet stellen?
Werkgevers mogen geen medische informatie vragen die iets zegt over:
- Diagnose;
- Aard van de ziekte;
- Klachten of symptomen;
- Medicatiegebruik;
- Behandelend arts of therapeut;
- Medische voorgeschiedenis;
- Psychische problemen;
- Zwangerschapscomplicaties;
- Redenen van ziekte.
Voorbeelden van verboden vragen
- “Wat heb je precies?”
- “Welke medicijnen gebruik je?”
- “Waarom ben je overspannen?”
- “Heb je weer last van je rug?”
- “Is dit gerelateerd aan je depressie?”
Deze informatie mag uitsluitend worden verwerkt door de bedrijfsarts, nooit door HR of de werkgever.
De bedrijfsarts mag wél medische informatie verwerken
De bedrijfsarts heeft een wettelijk beroepsgeheim en mag medische gegevens verzamelen die nodig zijn voor:
- De beoordeling van de arbeids(on)geschiktheid;
- Het opstellen van een plan van aanpak;
- Begeleiding tijdens re-integratie.
He is goed om te weten dat een bedrijfsarts deze medische informatie niet mag doorgeven aan de werkgever. De werkgever ontvangt alleen functionele informatie, zoals:
- Wat de werknemer nog wél kan (belastbaarheid);
- Wat tijdelijk niet kan;
- Welke werkafspraken nodig zijn;
- Hoe lang het verzuim mogelijk duurt.
Verwerking van vrijwillig verstrekte gezondheidsgegevens
Veel werknemers vertellen uit zichzelf wat hen mankeert. Maar zelfs dan geldt: Een werkgever mag vrijwillig verstrekte medische gegevens niet registreren. Ook niet “voor de volledigheid” of “om te helpen bij het herstel”. Medische informatie hoort nooit thuis in HR-systemen, personeelsdossiers of verzuimdossiers van werkgevers.
Uitzondering: wanneer vrijwillig verstrekte medische informatie wél verwerkt mag worden
Soms creëert het niet registreren van medische informatie risico’s voor de veiligheid.
Een klassieke uitzondering is: Medische informatie die noodzakelijk is voor directe veiligheid van de werknemer of collega’s.
Bijvoorbeeld:
- Epilepsie waarbij collega’s in geval van een aanval moeten weten hoe te handelen.
- Diabetes waarbij bewustzijnsverlies kan optreden.
- Ernstige allergieën (bijv. noten of wespen) waarbij acute actie nodig is.
Voorwaarden:
- De werknemer moet dit expliciet en vrijwillig melden.
- De verwerking moet noodzakelijk zijn.
- Alleen collega’s die het móeten weten, worden geïnformeerd.
- De gegevens worden niet breder gedeeld dan strikt noodzakelijk.
Wat mag een werkgever wél doen bij verzuimbegeleiding?
- Doorverwijzen naar de bedrijfsarts;
- Monitoren of afspraken rond re-integratie worden nagekomen;
- Functionele beperkingen bespreken (bijv. “je kunt nu niet tillen”, in plaats van “je hebt rugklachten”);
- Administratieve gegevens vastleggen die niet medisch van aard zijn;
- In overleg met de medewerker kijken naar passend werk.
Veelgemaakte fouten (en waarom ze risico’s opleveren)
- Medische termen noteren in verzuimsystemen.
- Ziekteoorzaken bespreken in teams of tijdens evaluaties.
- Vragen naar diagnoses “om te kunnen plannen”.
- Leidinggevenden die medische details opschrijven.
- Onbeveiligde e-mails over re-integratie.
Aanbeveling van de AP
De AP adviseert iedere organisatie om de Beleidsregels verwerking persoonsgegevens over gezondheid van zieke werknemers door te nemen en toe te passen.
Deze beleidsregels vormen het uitgangspunt voor eventuele handhavende maatregelen.
Voor FG’s en leidinggevenden is het belangrijk dat:
- het verzuimproces is gedocumenteerd;
- medewerkers (en vooral leidinggevenden) zijn getraind;
- medische informatie niet in systemen van de werkgever terechtkomt;
- alleen de bedrijfsarts bepaalt welke functionele informatie gedeeld wordt.
Conclusie
Het verzuimproces is een gevoelig onderdeel van de bedrijfsvoering. Werknemers hebben recht op privacy en werkgevers hebben slechts een beperkte informatiebehoefte. De regels zijn duidelijk:
- De werkgever mag alleen niet-medische gegevens verwerken.
- Alle medische informatie hoort uitsluitend bij de bedrijfsarts thuis.
- Vrijwillig verstrekte medische gegevens mogen bijna nooit worden geregistreerd.
Door deze regels strikt toe te passen, beschermen organisaties zowel werknemers als zichzelf. Privacy en re-integratie kunnen uitstekend samengaan, maar dan moeten de juiste rollen en verantwoordelijkheden goed worden gevolgd.
Masterclass ‘AVG op hoofdlijnen’
In deze masterclass wordt de AVG op hoofdlijnen uitgewerkt om zo het kader voor een zorgvuldige omgang met persoonsgegevens te realiseren binnen organisaties. In de masterclass ‘AVG op hoofdlijnen’ zijn belangrijke aspecten van de AVG uitgewerkt die directieleden, bestuurders en toezichthouders moeten weten over de AVG. Directieleden en het bestuur moeten toezien op een juiste invulling van cybersecurity en privacy binnen de organisatie. Meer informatie vind je op onze website.
