Privacy van medewerkers in beeld

In veel bedrijven worden persoonsgegevens van medewerkers verwerkt, bijvoorbeeld in verband met gezondheid, veiligheid en administratie. Dit artikel bespreekt hoe de Algemene Verordening Gegevensbescherming (AVG) van toepassing is op verschillende vormen van gegevensverwerking, zoals gezondheidsregistraties en het gebruik van camera's of GPS-systemen.

In bedrijven worden in veel gevallen persoonsgegevens van medewerkers verwerkt. Voor NAW-gegevens e.d. in personeelsdossiers is het vaak wel in orde wat betreft de Algemene Verordening Gegevensbescherming (AVG). In andere situaties waarin persoonsgegevens worden verwerkt of waarbij personeelvolgsystemen worden ingezet is dit niet altijd even duidelijk. Voorbeelden die ik hiervan tegen ben gekomen in mijn praktijk als adviseur zijn het registreren van gezondheidsgegevens van zieke medewerkers, uitkomsten van periodiek arbeidsgezondheidskundige onderzoeken (PAGO’s ) of preventief medische onderzoeken (PMO’s), ongevallenregistratie en analyse, video-opnames in het kader van veilig werken, onderzoekrapportages n.a.v. ernstig ongeval aan de Nederlandse Arbeidsinspectie (NLA), camera’s op de werkvloer en GPS-systemen in bedrijfswagens.

Een uitdrukkelijk omschreven doel

Kort even terug naar de basis van de Algemene Verordening Gegevens Bescherming (AVG). Belangrijk is om duidelijk te formuleren met welk doel je persoonsgegevens wilt verwerken. Persoonsgegevens zijn gegevens die direct herleidbaar zijn tot het individu. Geanonimiseerde gegevens zoals een verzuimpercentage vallen hier niet onder, gegevens die zijn gepseudonimiseerd, zoals het gebruik van personeelsnummers, wel.

Op basis van de AVG mogen alleen persoonsgegevens worden verwerkt met een duidelijk omschreven doel en dit doel moet ook gerechtvaardigd zijn. Voor rechtvaardiging gelden de zes onderstaande grondslagen uit de AVG.

De zes AVG-grondslagen 

Het verwerken van persoonsgegevens mag dus alleen als het doel ook gerechtvaardigd is. De gegevensverwerking moet minimaal voldoen aan één van de zes AVG-grondslagen. Deze grondslagen zijn:

1. Toestemming van de betrokken persoon.
2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
6. De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Voor een bedrijf en daarmee ook voor arboprofessional is het belangrijk om te weten of de verwerking van de persoonsgegevens is gebaseerd op één van de zes grondslagen.

Gezondheidsgegevens

Gegevens over gezondheid van medewerkers vallen onder bijzondere persoonsgegevens. Voor het registreren van bijzondere persoonsgegevens gelden vanuit de AVG strikte regels, met als basis verwerking hiervan door de werkgever is niet toegestaan tenzij… Dit ‘tenzij’ kan eigenlijk alleen worden ingevuld op basis van een wettelijke grondslag.

Registreren van gezondheidsgegevens van zieke medewerkers

In mijn artikel van september 2024 over de privacy van zieke werknemers en de AVG ben ik hier nader op ingegaan. Duidelijk is erover welke persoonsgegevens de werkgever wel/niet mag registreren, welke gegevens horen in het verzuimdossier in het kader van re-integratie en welke gegevens uitsluitend door de bedrijfsarts mogen worden vastgelegd in een medisch dossier.

Uitkomsten van PAGO’s / PMO’s

Elke werkgever is verplicht om op basis van de risico’s die voortkomen uit de risico-inventarisatie en -evaluatie medewerkers een periodiek arbeidsgezondheidskundig onderzoek (PAGO) aan te bieden wat gericht is op deze specifieke risico’s. Denk hierbij aan blootstelling aan schadelijk geluid, blootstelling aan gevaarlijke stoffen en zwaar fysiek werk. In het kader van duurzame inzetbaarheid van medewerkers waarbij ook leefstijl-aspecten een rol spelen mag de werkgever de PAGO uitbreiden met vragen en onderzoeken die gericht zijn op deze leefstijl-aspecten. Hierbij gaat het om vragen over bewegen, alcoholgebruiken en roken en lichamelijk onderzoek met betrekking tot cholesterol, bloeddruk en buikomvang. Wanneer dit onderdeel wordt toegevoegd aan de PAGO wordt dit een Preventief Medisch Onderzoek genoemd (PMO). 
De werkgever kan dit onderzoek uit laten voeren door de bedrijfsarts waar het basiscontract arbodienstverlening mee is afgesproken. In deze situatie komen de uitkomsten van het PAGO of PMO in het medisch dossier van de betreffende medewerker. De werkgever heeft alleen recht op een groepsrapportage waarin geen persoonsgegevens zijn verwerkt.
Wanneer de werkgever heeft besloten om het PAGO of PMO in te kopen bij een andere partij dan komen de individuele uitkomsten van de medewerkers niet automatisch terecht in het medisch dossier van de betreffende medewerker. In het kader van de AVG zal de medewerker dan om uitdrukkelijke schriftelijk toestemming moeten worden gevraagd om de uitkomsten te delen met de bedrijfsarts. De meerwaarde hiervan is dat de bedrijfsarts over een langere periode zicht krijgt op eventuele gezondheidsschade naar aanleiding van de blootstelling.

Ongevallenregistratie en analyse

Het doel van het registreren van ongevallen is het in kaart brengen van de oorzaken van de ongevallen. Op basis hiervan kunnen prioriteiten worden gesteld en maatregelen worden genomen om deze ongevallen in de toekomst te voorkomen. Belangrijk hierbij is om informatie te verzamelen over het ongeval bij de betrokkenen en omstanders. Hiervoor is het nodig dat de namen van deze personen bekend zijn. Wanneer het onderzoek is afgerond, de maatregelen zijn vastgesteld en er heeft een terugkoppeling plaatsgevonden naar de betrokkenen dan is het niet meer van belang om bij het bewaren van deze gegevens over de analyse en de maatregelen in het kader van arbobeleid de namen van de medewerkers te bewaren. Het doel voor het verwerken van deze persoonsgegevens in het kader van arbobeleid is dan komen te vervallen. Een manier om dit te borgen in de praktijk is door dit in te bouwen in een automatisch systeem of door deze taak neer te leggen bij de persoon die verantwoordelijk is voor de analyse van de ongevallen.
In algehele ongevallen overzichten horen namen van medewerkers uiteraard niet te zijn opgenomen. Het doel van deze overzichten is immers om inzicht te geven in algemene trends en om een overzicht te geven van de maatregelen die op basis van de analyses zijn genomen.

Ongevalsonderzoek door de Nederlandse Arbeidsinspectie (NLA)

Sinds januari 2023 wordt bij gemelde ongevallen standaard aan de werkgever gevraagd om een ongevallenonderzoek uit te voeren. De NLA brengt wel direct een bezoek. Uitzonderingen op het zelf uitvoeren van een onderzoek zijn: bij een dodelijk ongeval, een slachtoffer jonger dan 18 jaar of een slachtoffer dat een familielid is van de werkgever. Van de werkgever wordt een rapportage verwacht met een verbeterplan. Hierin moeten de directe oorzaken en de achterliggende basisoorzaken in kaart gebracht zijn en moeten structurele maatregelen zijn opgenomen zodat het ongeval in de toekomst kan worden voorkomen. De rapportage en het verbeterplan moeten ter goedkeuring worden voorgelegd aan de Arbeidsinspectie. In het format voor deze rapportage wordt door de NLA gevraagd naar de medische gegevens van het slachtoffer. Hoe zicht dit verhoudt tot de AVG wordt door het ministerie van SZW als volgt toegelicht waarbij een beroep wordt gedaan op de grondslag wettelijke verplichting vanuit de AVG.

“Op grond van art. 9 lid 2 onder b AVG in samenhang met art. 9 lid 1 Arbowet mag de werkgever de genoemde medische gegevens verwerken. Hoewel in art. 9 lid 2 onder b AVG niet concreet wordt verwezen naar omstandigheden zoals in deze casus genoemd, wordt dit ingelezen in de geest van de wet. Dit is een uitzondering op de hoofdregel dat de werkgever in beginsel geen inzage mag hebben in medische gegevens zoals verwoord door de Autoriteit Persoonsgegevens (AP). In de praktijk zal de werkgever overigens vroegtijdig op de hoogte raken van de aard en oorzaak van het ongeval, zonder hierover informatie te moeten inwinnen bij de werknemer of bedrijfsarts.
Op het moment dat er een ernstig ongeval plaatsvindt, dient de werkgever dit te melden en behoudens uitzonderingen deel te nemen aan de gedifferentieerde aanpak ongevalsonderzoek (inclusief verbeterrapportage).
Het doel van de melding is dat de NLA op de hoogte wordt gebracht van de omstandigheden en zo nodig kan ingrijpen, zoals om herhaling of gevaar voor andere werknemers te voorkomen (memorie van toelichting bij art. 9 lid 1 Arbowet).
In het format voor het ongevalsonderzoek van de NLA staat o.a. aangegeven dat bij het onderzoek door de werkgever de volgende vragen moeten worden beantwoord: Hoe konden de verwondingen plaatsvinden en om welk type letsel gaat het? Deze  gegevens over de gezondheid van de werknemer zijn aan te merken als bijzondere persoonsgegevens in de zin van art. 4 en 9 lid 1 AVG. Daarvoor geldt in beginsel een verwerkingsverbod.
In lid 2 onder b staat echter een uitzondering opgenomen indien de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen op het gebied van het arbeidsrecht en het sociaalzekerheids- en socialebeschermingsrecht (…). De uitzondering op het verwerkingsverbod onder b moet een rechtsbasis hebben in een sectorspecifieke wet of in een meer algemene regeling.

De NLA zelf mag medische gegevens verwerken op grond van art. 24 lid 10 Arbowet. In art. 9 lid 1 van de Arbowet staat opgenomen dat de werkgever een ernstig ongeval meldt en desgevraagd rapporteert aan de NLA. In de memorie van toelichting op art. 24 lid 10 Arbowet, wordt verwezen naar de uitzondering op het verwerkingsverbod onder art. 9 lid 2 onder b.

Hierbij moet bedacht worden dat de verwerking van de gezondheidsgegevens in het kader van de ongevalsmelding  gebeurt om de oorzaken van het ongeval te achterhalen met het oog op een veilige werkomgeving voor de werknemers en niet met het oog op de (medische) gezondheid van de werknemer. Er is een duidelijke binding met het doel van gegevensverwerking, die zich beperkt tot de oorzaak en de aard van het ongeval. Voor dit doel is daarom het aanleveren van een meer geabstraheerd niveau van gegevens voldoende.” 

Kort samengevat wordt met deze uitspraak aangegeven dat wanneer er sprake is van een ernstig arbeidsongeval wat gemeld moet worden aan de Nederlandse Arbeidsinspectie hierin ook de aard van het letsel van de betreffende medewerker moet worden opgenomen door de werkgever.

Camera’s op de werkvloer

In veel bedrijven worden camera’s ingezet voor diverse doelen. Bijvoorbeeld voor het beveiligen van het bedrijfsterrein tegen vandalisme en diefstal, het monitoren van bedrijfsprocessen en machines of in het kader van intervisie. Het gebruik van camera’s zorgt voor een grote inbreuk op de privacy van medewerkers. Weinig medewerkers worden blij van het idee dat ze continu worden bekeken via de beelden van de camera’s, of erger nog, dat de beelden ook te pas en te onpas kunnen worden bekeken. Vandaar het belang van een goed cameraprotocol wat voldoet aan de AVG. In het cameraprotocol moeten duidelijke afspraken worden gemaakt over de inzet van de camera’s. In elk geval moet beschreven worden hoe invulling wordt gegeven aan de volgende vragen conform de eisen uit de AVG:

1. Wat is het doel van de inzet van de camera’s?
2. Word je alleen bekeken of ook opgenomen?
3. Wie mag de beelden bekijken?
4. Worden de beelden bewaard en zo ja, hoe lang?
5. Hoe is de toegang tot de beelden beveiligd?
6. Is er ook toegang tot de beelden in landen die vallen buiten de Europese Economische Ruimte (EER), en zo ja, welke passende waarborgen zijn dan vastgelegd? (uitgebreide informatie over dit punt is te vinden op de website van de Autoriteit Persoonsgegevens)

Opnames in het kader van veilig werken

In de praktijk kom ik tegen dat werkgevers invulling geven aan toezicht op veilig werken, wanneer medewerkers risicovolle werkzaamheden op verschillende plekken in het land uitvoeren, door van de betreffende medewerker te vragen om voordat gestart wordt met een risicovolle activiteit zichzelf en de omgeving te filmen zodat op afstand meegekeken kan worden of de situatie veilig is om aan het werk te gaan. In relatie met het doel om vooraf te bepalen of de situatie veilig is om aan het werk te gaan, is er geen reden om de beelden te bewaren. Maar gezien het feit dat dit wellicht lastig te borgen is, is het belangrijk om vooraf zeer kritisch te beoordelen of er echt geen alternatieven zijn die minder inbreuk maken op de privacy van de betreffende medewerkers. Hierbij moet een afweging worden gemaakt tussen het belang van de werkgever en het risico op inbreuk op de privacy van de medewerker.

GPS-systemen in bedrijfswagens

Veel bedrijfswagens zijn tegenwoordig uitgerust met GPS-systemen. In specifieke gevallen kan een werkgever op basis van gerechtvaardigd belang de bedrijvenwagens laten volgen. Bijvoorbeeld in de situatie dat medewerkers gedurende de dag ingepland moeten worden op diverse ritten, afhankelijk van de vraag van klanten op dat moment. Dan is het in het kader van de bedrijfsvoering handig dat de dichtstbijzijnde medewerker op de betreffende rit wordt ingepland. Wanneer medewerkers de bedrijfswagens ook gebruiken voor woon-werkverkeer en/of privé, dan is het belangrijk in het kader van de AVG dat medewerkers de GPS-tracker kunnen uitzetten bij privégebruik. Dit omdat locatiegegevens tijdens privégebruik zouden kunnen leiden tot de verwerking van bijzondere persoonsgegevens waarvan de verwerking verboden is. Denk hierbij aan bezoeken aan specifiek gezondheidsinstellingen, kerken e.d. Daarnaast is het van belang dat er een duidelijke regeling is vastgesteld met daarin o.a. een nadere uitwerking door wie, onder welke voorwaarden en met welke reden er gebruik mag worden gemaakt van de gegevens van het GPS-systeem van een bedrijfswagen en hoe lang deze gegevens worden bewaard. 

Privacy van medewerkers vraagt ook de aandacht van de arboprofessional

In veel bedrijven worden op verschillende manieren persoonsgegevens van medewerkers verwerkt en worden personeelvolgsystemen ingezet. 
Belangrijk is dat steeds duidelijke regelingen worden opgesteld in deze situaties waardoor er wordt voldaan aan de AVG. Wanneer in het bedrijf een OR aanwezig is dan heeft de OR instemmingsrecht op zowel het verwerken van persoonsgegevens als op de inzet van systemen die gebruikt worden of gebruikt kunnen worden als personeelvolgsysteem.
Het is daarom belangrijk om als arboprofessional goed op de hoogte te blijven van de laatste ontwikkelingen en van de standpunten van de Autoriteit Persoonsgegevens in het kader van privacy. Voor dit laatste is een goede afstemming met de Functionaris Gegevensbescherming of de privacy functionaris in de organisatie aan te raden.