website gezet die kunnen worden opgevolgd en waarmee kan worden voorkomen dat persoonsgegevens in verkeerde handen vallen. Kort gezegd komen die tips hier op neer:

Als toch gebruik moet worden gemaakt van consumentenapps, dan geeft de AP aan welke waarborgen u kunt treffen:

2. Welke persoonsgegevens mag ik als werkgever verwerken om de werkplek veilig te houden?

Als werkgever moet u zorgen voor veilige werkomstandigheden, maar gezondheidsgegevens van werknemers zijn bijzondere persoonsgegevens en worden daarom extra beschermd in de Algemene Verordening Gegevensbescherming (“AVG”). Uitgangspunt is dat het verwerken van gezondheidsgegevens verboden is, tenzij er sprake is van een wettelijke uitzondering (artikel 9 AVG) en er een verwerkingsgrondslag (artikel 6 AVG) aanwezig is.

De European Data Protection Board (“EDPB”), het orgaan waarin alle Europese privacy toezichthouders verenigd zijn, heeft zich onlangs in een persbericht uitgelaten over de mogelijkheid om persoonsgegevens te verwerken in het gevecht tegen het coronavirus. Volgens de EDPB bieden artikel 9, lid 2, onder c (over de bescherming van vitale belangen) en artikel 9, lid 2, onder i van de AVG (over het algemeen belang van de volksgezondheid) grondslagen om werkgevers in staat te stellen om, zonder dat het nodig is daarvoor toestemming van een werknemer te verkrijgen, persoonsgegevens in de context van de bestrijding van een epidemie te verwerken. De EDPB ziet dus ruimte voor verwerking.

Probleem is echter dat alleen gezondheidsgegevens mogen worden verwerkt om vitale belangen te beschermen indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven. Over het algemeen is een werknemer daartoe wel in staat.

Verder stelt de AVG als aanvullende eis voor het verwerken van gezondheidsgegevens in het kader van de volksgezondheid dat een specifieke Europese dan wel nationale wet dit moet regelen en dat daarin passende en specifieke waarborgen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene. De verwerking van de gezondheidsgegevens zal dan via de bedrijfsarts moeten plaatsvinden omdat deze een wettelijke taak heeft om dit algemene belang te dienen.

Als werkgever moet u, juist in deze uitzonderlijke tijden, de bescherming van de persoonsgegevens van de betrokkenen waarborgen. Belangrijk is dat de informatie alleen ter bescherming van de gezondheid van de medewerkers (en eventueel van klanten en bezoekers) wordt verwerkt en niet voor andere doeleinden. Ook moet u uw werknemers op transparante wijze vooraf informeren over de verwerkingsactiviteiten die worden uitgevoerd, over de bewaartermijn en de doeleinden van de verwerking. De verstrekte informatie moet gemakkelijk toegankelijk zijn en in duidelijke taal worden verstrekt. Daarnaast is het belangrijk dat u passende beveiligingsmaatregelen treft en ervoor zorgt dat de persoonsgegevens niet worden vrijgegeven aan onbevoegde partijen.

3. Mag ik mijn werknemers controleren op COVID-19?

Volgens de door de Autoriteit Persoonsgegevens gepubliceerde Q&A over COVID-19 op de werkvloer, mag dat in de zorg tijdens de coronacrisis wel, maar op andere plekken niet. Van werkgevers wordt verwacht dat zij de richtlijnen van het RIVM volgen. En dat zij hun medewerkers hier nadrukkelijk (in hun eigen taal) op wijzen.

4. Mag ik mijn werknemer vragen naar de uitslag van een corona-test?

Nee, dat is aan de arbodienst of bedrijfsarts. Uw werknemer is niet gehouden om u te informeren over de eventuele uitslag van een Corona-test. In de praktijk geven veel werknemers als zij zich ziek melden echter uit zichzelf aan wat ze hebben en is dus te verwachten dat zij u ook zullen informeren over de uitkomst van een Corona-test.

Als de werknemer zelf geen informatie verstrekt, is relevant dat de zorgverlener een vermoeden van COVID-19 besmetting moet melden bij de GGD. Daarop treedt het Protocol GGD in werking en dan zal ook contact worden opgenomen met de werkgever van de desbetreffende werknemer. Hierdoor raakt u alsnog op de hoogte van de besmetting.

5. Wat mag ik over iemands afwezigheid vertellen?

Wat een werknemer over zijn/haar ziekte wil delen, is aan de werknemer. U kunt uw zieke werknemer de open vraag stellen wat hij/zij wil dat u aan de naaste collega’s vertelt.

Als vaststaat dat een van uw werknemers besmet is geraakt met het COVID-19 virus, dan mag u de werknemers in algemene zin informeren (zonder dat dit te herleiden is tot de werknemer) en het beschermingsniveau opschalen om zo het risico op verdere besmetting verder te verkleinen.

6. Gaat de toezichthouder tot handhaving over als een werkgever niet (volledig) normconform te werk gaat tijdens de coronacrisis?

De Autoriteit Persoonsgegevens (“AP”) heeft aangegeven dat zij overheden en bedrijven tijdens de coronacrisis ruimte geeft om zich te concentreren op de bestrijding van het virus. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar zij blijft ingrijpen waar privacy echt in gevaar is. De coronacrisis mag volgens de toezichthouder geen excuus worden om de privacy helemaal overboord te gooien.

De vraag blijft wat onder dat ingrijpen moet worden verstaan: blijft de AP ook boetes uitdelen? De Engelse toezichthouder heeft zich daar al stellig over uitgelaten: “We won’t penalise organisations that we know need to prioritise other areas or adapt their usual approach during this extraordinary period.”

">

Publicaties

COVID-19 | Privacy

Op deze pagina treft u een overzicht aan van veelgestelde vragen en antwoorden met betrekking tot de Coronacrisis. Wij zullen deze pagina, als er ontwikkelingen zijn, regelmatig updaten.

Voor vragen en/of meer informatie kunt u contact opnemen met Heidi Dekker en/of Renske de Groot.


1. Hoe werk je veilig thuis tijdens de coronacrisis?

De Autoriteit Persoonsgegevens (“AP”) heeft tips op haar website gezet die kunnen worden opgevolgd en waarmee kan worden voorkomen dat persoonsgegevens in verkeerde handen vallen. Kort gezegd komen die tips hier op neer:

  • Werk alleen in een beveiligde thuiswerkomgeving: log waar mogelijk in op de server van uw organisatie;
  • Wees voorzichtig met gebruik van gratis cloud-, opslag- of e-maildiensten;
  • Sla gevoelige documenten bij voorkeur op de server zelf op, en gebruik anders een versleutelde usb-stick;
  • Gebruik bij voorkeur beveiligde communicatiemiddelen zoals de telefoon of beveiligde versies van (video)chatdiensten, en geen consumentenapps als FaceTime, Skype of Signal;
  • Wees bedacht op phishingmails.

Als toch gebruik moet worden gemaakt van consumentenapps, dan geeft de AP aan welke waarborgen u kunt treffen:

  • Zorg dat u zo min mogelijk gevoelige gegevens bespreekt en gebruik in plaats daarvan bijvoorbeeld patiënt- of personeelsnummers;
  • Informeer betrokkenen over de privacy risico’s die hierbij spelen;
  • Wis een chat na afloop van het gesprek;
  • Gebruik een app die berichten versleuteld verzendt;
  • Beveilig de internetverbinding met een sterk wachtwoord.

2. Welke persoonsgegevens mag ik als werkgever verwerken om de werkplek veilig te houden?

Als werkgever moet u zorgen voor veilige werkomstandigheden, maar gezondheidsgegevens van werknemers zijn bijzondere persoonsgegevens en worden daarom extra beschermd in de Algemene Verordening Gegevensbescherming (“AVG”). Uitgangspunt is dat het verwerken van gezondheidsgegevens verboden is, tenzij er sprake is van een wettelijke uitzondering (artikel 9 AVG) en er een verwerkingsgrondslag (artikel 6 AVG) aanwezig is.

De European Data Protection Board (“EDPB”), het orgaan waarin alle Europese privacy toezichthouders verenigd zijn, heeft zich onlangs in een persbericht uitgelaten over de mogelijkheid om persoonsgegevens te verwerken in het gevecht tegen het coronavirus. Volgens de EDPB bieden artikel 9, lid 2, onder c (over de bescherming van vitale belangen) en artikel 9, lid 2, onder i van de AVG (over het algemeen belang van de volksgezondheid) grondslagen om werkgevers in staat te stellen om, zonder dat het nodig is daarvoor toestemming van een werknemer te verkrijgen, persoonsgegevens in de context van de bestrijding van een epidemie te verwerken. De EDPB ziet dus ruimte voor verwerking.

Probleem is echter dat alleen gezondheidsgegevens mogen worden verwerkt om vitale belangen te beschermen indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven. Over het algemeen is een werknemer daartoe wel in staat.

Verder stelt de AVG als aanvullende eis voor het verwerken van gezondheidsgegevens in het kader van de volksgezondheid dat een specifieke Europese dan wel nationale wet dit moet regelen en dat daarin passende en specifieke waarborgen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene. De verwerking van de gezondheidsgegevens zal dan via de bedrijfsarts moeten plaatsvinden omdat deze een wettelijke taak heeft om dit algemene belang te dienen.

Als werkgever moet u, juist in deze uitzonderlijke tijden, de bescherming van de persoonsgegevens van de betrokkenen waarborgen. Belangrijk is dat de informatie alleen ter bescherming van de gezondheid van de medewerkers (en eventueel van klanten en bezoekers) wordt verwerkt en niet voor andere doeleinden. Ook moet u uw werknemers op transparante wijze vooraf informeren over de verwerkingsactiviteiten die worden uitgevoerd, over de bewaartermijn en de doeleinden van de verwerking. De verstrekte informatie moet gemakkelijk toegankelijk zijn en in duidelijke taal worden verstrekt. Daarnaast is het belangrijk dat u passende beveiligingsmaatregelen treft en ervoor zorgt dat de persoonsgegevens niet worden vrijgegeven aan onbevoegde partijen.

3. Mag ik mijn werknemers controleren op COVID-19?

Volgens de door de Autoriteit Persoonsgegevens gepubliceerde Q&A over COVID-19 op de werkvloer, mag dat in de zorg tijdens de coronacrisis wel, maar op andere plekken niet. Van werkgevers wordt verwacht dat zij de richtlijnen van het RIVM volgen. En dat zij hun medewerkers hier nadrukkelijk (in hun eigen taal) op wijzen.

4. Mag ik mijn werknemer vragen naar de uitslag van een corona-test?

Nee, dat is aan de arbodienst of bedrijfsarts. Uw werknemer is niet gehouden om u te informeren over de eventuele uitslag van een Corona-test. In de praktijk geven veel werknemers als zij zich ziek melden echter uit zichzelf aan wat ze hebben en is dus te verwachten dat zij u ook zullen informeren over de uitkomst van een Corona-test.

Als de werknemer zelf geen informatie verstrekt, is relevant dat de zorgverlener een vermoeden van COVID-19 besmetting moet melden bij de GGD. Daarop treedt het Protocol GGD in werking en dan zal ook contact worden opgenomen met de werkgever van de desbetreffende werknemer. Hierdoor raakt u alsnog op de hoogte van de besmetting.

5. Wat mag ik over iemands afwezigheid vertellen?

Wat een werknemer over zijn/haar ziekte wil delen, is aan de werknemer. U kunt uw zieke werknemer de open vraag stellen wat hij/zij wil dat u aan de naaste collega’s vertelt.

Als vaststaat dat een van uw werknemers besmet is geraakt met het COVID-19 virus, dan mag u de werknemers in algemene zin informeren (zonder dat dit te herleiden is tot de werknemer) en het beschermingsniveau opschalen om zo het risico op verdere besmetting verder te verkleinen.

6. Gaat de toezichthouder tot handhaving over als een werkgever niet (volledig) normconform te werk gaat tijdens de coronacrisis?

De Autoriteit Persoonsgegevens (“AP”) heeft aangegeven dat zij overheden en bedrijven tijdens de coronacrisis ruimte geeft om zich te concentreren op de bestrijding van het virus. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar zij blijft ingrijpen waar privacy echt in gevaar is. De coronacrisis mag volgens de toezichthouder geen excuus worden om de privacy helemaal overboord te gooien.

De vraag blijft wat onder dat ingrijpen moet worden verstaan: blijft de AP ook boetes uitdelen? De Engelse toezichthouder heeft zich daar al stellig over uitgelaten: “We won’t penalise organisations that we know need to prioritise other areas or adapt their usual approach during this extraordinary period.”