Vanaf 25 mei a.s. moet elke werkgever zich ook in zijn verhouding tot zijn werknemers, houden aan de nieuwe Europese Privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG).Tot 25 mei a.s. gelden voor hem de regels van de Wet Bescherming Persoonsgegevens (Wbp). De systematiek van de nieuwe wet verschilt in wezen niet van de bepalingen onder de Wbp.
Verandert er dan helemaal niets met de AVG? Toch wel.
Zo moet iedere werkgever, achteraf, kunnen aantonen dat zijn organisatie voldoet aan de eisen die de AVG stelt. Een (schriftelijke) verantwoordingsplicht achteraf dus.
Verder krijgt de werknemer onder de AVG meer rechten dan hij heeft onder de Wbp. Tot slot heeft de werkgever een actieve informatieplicht jegens zijn werknemer. Bijvoorbeeld met betrekking tot het doel van de verwerking van de persoonsgegevens, de (nieuwe) privacyrechten van de werknemer en de mogelijkheden van de werknemer voor het indienen van klachten bij de Autoriteit Persoonsgegevens.
Het personeelsdossier
Uitgangspunt van de AVG blijft hetzelfde als onder de Wbp: De verwerking van medische gegevens (zogenoemde “bijzondere persoonsgegevens”) is verboden, tenzij één van de in de wet opgesomde uitzonderingen zich voordoet. Die uitzonderingen komen in hoge mate overeen met de uitzonderingen in de Wbp.
Verwerking van medische gegevens is niet verboden, wanneer:
- De werknemer toestemming heeft gegeven;
- De verwerking noodzakelijk is voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van arbeidsrecht, het sociale zekerheidsrecht en sociale beschermingsrecht;
- De verwerking noodzakelijk is ter bescherming van de vitale belangen van de werknemer;
- De verwerking wordt verricht door een instantie zonder winstoogmerk die op politieke, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
- De gegevens door de werknemer zelf reeds openbaar zijn gemaakt;
- De verwerking noodzakelijk is voor de instelling, uitoefening of verdediging van een rechtsvordering;
- De verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
- De verwerking noodzakelijk is voor doelen van preventieve geneeskundige of arbeidsgeneeskunde, voor beoordeling van de arbeidsgeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten en onder voorwaarde dat de persoonsgegevens worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim gebonden is of tot geheimhouding verplicht is;
- De verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;
- De verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen.
Toestemmingscriterium
Het toestemmingscriterium verdient een nadere – korte – toelichting.
De rechtsgrondslag voor het geven van toestemming door de werknemer voor het verwerken van zijn (medische) persoonsgegevens is in de nieuwe wet aangescherpt. Toestemming moet niet alleen uitdrukkelijk blijken maar het moet bovendien vaststaan dat deze vrijelijk is gegeven, de werknemer goed van te voren is geïnformeerd over hetgeen waarvoor hij toestemming geeft en de toestemming specifiek is gegeven voor een met naam en toenaam genoemde verwerking. Dat laatste heeft ermee te maken dat een toestemming “te allen tijden” kan worden ingetrokken en dat een “algemene” toestemming niet gebruikt kan worden als een rechtvaardiging voor verwerking.
In Europees verband is er uitdrukkelijk op gewezen dat doorgaans in een werkgever-werknemersrelatie sprake is van een zekere machtsverhouding, ten nadele van de werknemer. Dat maakt dat er in beginsel vanuit gegaan moet worden dat toestemming door de werknemer eigenlijk niet vrijelijk gegeven kan worden. Het toestemmings-criterium zal in een arbeidsrechtelijke verhouding dan ook in beginsel onvoldoende zijn voor de werkgever om de verwerking van medische persoonsgegeven daarop te baseren. Het is de werkgever dus aan te raden altijd eerst te zoeken naar een andere rechtsgrondslag voor verwerking voordat hij zich op toestemming van de werknemer beroept. Wanneer een werkgever toch persoonsgegevens van zijn werknemers op basis van toestemming verwerkt, zal deze goed moeten documenteren dat deze toestemming vrijelijk, geïnformeerd en specifiek gegeven is en er geen druk van de werkgever is uitgeoefend.
Inzagerecht
Eén van de (nieuwe) privacyrechten van de werknemer is zijn inzagerecht in de door de werkgever van hem verwerkte persoonsgegevens. De werknemer moet goed geïnformeerd worden over de verwerking van zijn persoonsgegevens. Daarbij moet de werkgever bijvoorbeeld aangeven voor welk doel de persoonsgegevens verwerkt worden en hoe lang deze worden bewaard. Deze verplichting, die gebaseerd is op het zogenoemde Transparantiebeginsel uit de AVG, kan bijvoorbeeld verwerkt worden in de arbeidsovereenkomst.
Het inzagerecht betekent dat de werknemer recht heeft op een kopie van zijn persoonsgegevens, zoals die bijvoorbeeld zijn opgenomen in zijn personeelsdossier. Een werknemer slechts zijn personeelsdossier laten zien, zoals dat onder de huidige wetgeving gebruikelijk is, zal onder de nieuwe wetgeving dus niet meer voldoen aan de vereisten.
Het recht op inzage is evenwel niet onbeperkt. Veel personeelsdossiers bevatten bijvoorbeeld werkdocumenten, interne notities en dergelijke documenten die persoonlijke gedachten van de opsteller van het dossier bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad. Ook kan zo’n dossier gegevens bevatten die betrekking hebben op derden.
Het inzagerecht strekt zich niet uit tot deze gegevens. Ten eerste niet omdat de werknemer alleen het recht heeft om zijn eigen gegevens te kunnen controleren en, zo nodig, te laten wijzigen. Ook volgt uitdrukkelijk uit de nieuwe wet dat het inzagerecht geen afbreuk mag doen aan de rechten en vrijheden van anderen. Onder de Wbp heeft het Gerechtshof Amsterdam daarover op 5 juli 2011 al eens een duidelijke uitspraak gedaan (vindplaats: ECLI:NL:GHAMS:2011:BR3020).
Conclusie
Hoewel de nieuwe wet dus inhoudelijk in feite geen veranderingen brengt op het terrein van het privacyrecht dat geldt in de verhouding tussen werkgever en werknemer, betekent de nieuwe wet voor de werkgever wel een verplichte andere aanpak van zijn (privacy) organisatie.
De werkgever zal zijn privacybeleid en de uitvoering daarvan schriftelijk moeten documenteren, bijvoorbeeld met software voor documentbeheer. En, regelmatig moeten bijhouden. Dat volgt ook uit andere verplichtingen uit de nieuwe wet, zoals bijvoorbeeld het bijhouden van een Register van verwerkingsactiviteiten.
Dit artikel beperkt zich uitdrukkelijk tot het verwerken van zogenoemde “bijzondere persoonsgegevens”, in dit geval medische gegevens van werknemers.