Weer een boete in privacyland. Dit keer legde de Autoriteit Persoonsgegevens (AP) een bestuurlijke boete van € 15.000,- op aan CP&A, dat in strijd met de privacyregels haar ziekteverzuimregistratie bijhield. Het bedrijf had bovendien onvoldoende beveiligingsmaatregelen getroffen ten aanzien van de ziekteverzuimregistratie: het register was online vrij toegankelijk voor iedereen die (bevoegd of onbevoegd) beschikking had over de betreffende hyperlink. Bij elkaar opgeteld zijn de overtredingen goed voor een boete van maar liefst € 1.035.000,- maar vanwege de beperkte draagkracht van CP&A werd deze gematigd. Het belang van de naleving van de privacyregels wordt hier maar weer eens pijnlijk duidelijk. En, zo blijkt: dat belang is er voor elke organisatie, van multinational tot mkb.
Gang van zaken en tekortkomingen bij CP&A
Het bedrijf CP&A, gevestigd te Best, verricht inspectie- en onderhoudswerkzaamheden van openbare objecten. Op 2 mei 2019 nam de AP contact op met CP&A, om haar erop te wijzen dat de verzuimregistratie voor onbevoegden toegankelijk is. Opmerkelijk is dat in het boetebesluit in het midden blijft hoe de AP dit op het spoor is gekomen. Gezien de aard van de gegevens is het natuurlijk goed voor te stellen dat het één van de circa 160 werknemers van de organisatie is geweest die aan de bel trok bij de toezichthouder. Het boetebesluit vermeldt slechts dat de AP een melding heeft gekregen.
De AP stelde vast dat CP&A haar verzuimregistratie in ieder geval vanaf 12 maart tot en met 2 mei 2019 in een Google Drive-bestand op het internet heeft bijgehouden. Daarin waren gegevens van vijfentwintig werknemers geregistreerd. In dit bestand waren niet alleen NAW- en contactgegevens, BSN en gegevens over het arbeidsverband opgenomen, maar ook gevoelige informatie zoals de verzuimredenen (daadwerkelijke vermeldingen over de fysieke en mentale gezondheid, specifieke klachten en pijnaanduidingen), de prognose en eventuele aanvullende opmerkingen. In de vermelde periode heeft de AP via het webadres zes keer toegang gehad tot het betreffende bestand, zonder enige vorm van authenticatie of andere toegangscontrole. Daarbij werd duidelijk dat de verzuimregistratie in die periode verschillende keren werd geüpdatet.
De AP heeft CP&A na het doen van deze constateringen verzocht de overtreding zo snel mogelijk te beëindigen en haar per brief gewezen op het de meldplicht datalekken. Op 7 mei 2019 heeft CP&A bevestigd dat de verzuimregistratie is verwijderd en alsnog melding gedaan van het datalek bij de AP.
Beperkingen ten aanzien van registratie van gezondheidsgegevens
Waarom is de manier waarop CP&A omging met haar personeelsverzuimregistratie zo kwalijk? Dit zit hem in het feit dat gegevens over gezondheid worden aangemerkt als een bijzondere categorie van persoonsgegevens. De verwerking (o.a. registratie) van die gegevens is op grond van artikel 9 lid 1 AVG verboden. Artikel 9 lid 2 en artikel 30 Uitvoeringswet AVG bevatten enkele specifieke uitzonderingen op deze hoofdregel.
Gegevens die werkgever op grond van de Beleidsregels van de AP voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers niet mag registreren zijn:
- diagnoses, naam van de ziekte, specifieke klachten of pijnaanduidingen;
- eigen subjectieve waarnemingen over werknemers geestelijk en/of lichamelijke gezondheidstoestand;
- gegevens over behandelingen, therapieën en afspraken met artsen, psychologen e.d.;
- overige situationele problemen (zoals details uit de privésituatie van werknemer).
Het is onwenselijk dat een werkgever deze gedetailleerde informatie over het ziekteverzuim van werknemer uitvraagt en registreert. Met kennis over iemands fysieke en emotionele toestand zou werkgever namelijk een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op de werknemer, zo stelt de AP. Het is uiteindelijk aan de arbodienst of bedrijfsarts om een oordeel te vormen over de inzetbaarheid van de werknemer.
Ook in het recent door de AP uitgebrachte OR-Privacyboekje worden in het kader van ‘bijzondere persoonsgegevens op het werk’ gegevens over ziekteverzuim kort aangestipt. Meer over het OR- Privacyboekje leest u hier.
Welke gegevens betreffende ziekteverzuim mag werkgever dan wel registreren?
Ondanks deze beperking op grond van de AVG is verzuimregistratie noodzakelijk: wanneer een werknemer ziek is, is werkgever wettelijk verplicht de voortgang van de ziekte van de werknemer bij te houden.[1] Daarbij mag echter alleen worden gevraagd en geregistreerd wat werkgever noodzakelijkerwijs dient te weten, om bijvoorbeeld te kunnen inschatten hoe de werkzaamheden van werknemer moeten worden opgevangen en te beoordelen of werkgever het loon moet doorbetalen. Uit de Beleidsregels volgt dat werkgever wél mag registreren:
- in hoeverre werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat werknemer nog kan uitvoeren);
- welke werkzaamheden werknemer nog wel kan uitvoeren en welke niet meer;
- wat de lopende werkzaamheden en afspraken van werknemer zijn;
- hoe lang werknemer denkt dat het verzuim zal duren;
- of de ziekte verband houdt met een arbeidsongeval of verkeersongeval met regresmogelijkheid (let op: daarbij mag werkgever niet informeren of het verzuim werk gerelateerd is);
- of werknemer valt onder één van de vier vangnetregelingen op grond van de Ziektewet, waarbij werknemer niet hoeft te specificeren om welke van de vier regelingen het gaat;
- wat het (verpleeg)adres van werknemer is en op welk telefoonnummer hij/zij kan worden bereikt.
Zelfs wanneer werknemer zelf informatie over zijn/haar ziekte deelt met werkgever en dus sprake is van toestemming, mag werkgever de gegeven informatie niet registreren. Een voorbeeld van een uitzonderlijke situatie waarin gezondheidsgegevens toch mogen worden geregistreerd in het personeelsdossier is wanneer werknemer een bepaalde ziekte of aandoening heeft waarvan werkgever en eventueel ook collega’s op de hoogte dienen te zijn in geval van nood (denk aan suikerziekte of epilepsie).
Passende technische en organisatorische maatregelen
Op grond van artikel 32 lid 1 AVG dienen organisaties passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Hoe gevoeliger de gegevens, of hoe meer de context waarin zij worden gebruikt een bedreiging vormt voor de persoonlijke levenssfeer van betrokkenen, hoe zwaarder de eisen die worden gesteld aan de technische en organisatorische maatregelen ter bescherming van deze gegevens. Ten aanzien van authenticatie bij de toegang tot de ziekteverzuimregistratie van werknemers, waarbij toegang wordt verschaft via het internet, dient men dus zwaardere maatregelen te treffen om te voldoen aan een passend beveiligingsniveau.
CP&A had gezien de gevoelige aard van de gegevens, het feit dat de gezondheidsgegevens op het internet werden verwerkt en de risico’s voor de persoonlijke levenssfeer van de betrokkenen een passende technische maatregel moeten treffen, zoals bijvoorbeeld de implementatie van een authenticatietechniek (bijvoorbeeld tweefactor authenticatie) of andere werkwijze. Op die manier had CP&A de geclaimde identiteit van een gebruiker van de registratie kunnen bewijzen en zo volgens de AP ‘het risico dat een derde onbevoegd toegang tot zeer gevoelige gegevens kon krijgen grotendeels kunnen verkleinen’. De woorden ‘grotendeels kunnen verkleinen’ wekken de indruk dat al in geval van slechts een beperking van het risico kan worden gesproken van ‘passende maatregelen’. Hierbij moet echter worden opgemerkt dat de AP ook de stand van de techniek en de uitvoeringskosten die gepaard gaan met de maatregelen in dit specifieke geval heeft meegewogen.
Conclusie
Uit dit boetebesluit kunnen de volgende lessen worden getrokken:
- Wees bij het informeren naar het verzuim van uw zieke werknemer en de registratie daarvan bewust van het feit dat u hierbij te maken heeft met bijzondere persoonsgegevens, die in beginsel niet mogen worden geregistreerd. Ook niet als de werknemer daar toestemming voor geeft. Volg hierbij de beleidsregels van de AP.
- Zorg voor goede passende technische en organisatorische maatregelen, niet alleen ten aanzien van uw verzuimregistratie, maar ook voor alle interne systemen en de opslag van persoonsgegevens die binnen uw organisatie worden verwerkt. Hierbij moet aandacht worden besteed aan de gevoeligheid van de gegevens en de context waarin zij worden gebruikt.
Het algemene signaal dat de AP afgeeft met dit boetebesluit is duidelijk: de naleving van de privacyregels geldt voor iedereen en de AP handhaaft ook ten aanzien van het mkb. Tijd om de stand van zaken op het gebied van AVG-compliance binnen uw organisatie eens onder de loep te nemen dus!
Heeft u naar aanleiding van het bovenstaande vragen over de verwerking van persoonsgegevens in uw verzuimregistratie of de beveiligingsmaatregelen binnen uw organisatie?
Neem vrijblijvend contact op met Julia Driessen via juliadriessen@vdb-law.nl of een van de andere leden van ons privacy team.
[1] Artikel 25 Wet werk en inkomen naar arbeidsvermogen.