Hoe zit het met de privacy van medewerkers in geval van een epidemie of pandemie?

Werkgevers worden geconfronteerd met het corona-virus. Het RIVM en de Rijksoverheid geven informatie over wat je wel en niet mag doen. Nike sloot zijn kantoor na de constatering van een besmette medewerker. Ook DSM en Engie vragen medewerkers om thuis te blijven vanwege corona. Maar onder de Algemene Verordening Gegevensbescherming (AVG) mag je toch helemaal geen medische gegevens verwerken als werkgever? Hoe zit het met de privacy in het geval van een epidemie?

Wat zegt de AVG?

Volgens de AVG heb je een grondslag nodig om persoonsgegevens te verwerken (Artikel 6) en moet er bij de verwerking van medische gegevens sprake zijn van een uitzonderingssituatie benoemd in Artikel 9.

Grondslag

Een instantie mag persoonsgegevens verwerken:

• Met toestemming van de betrokkene
• Als dit nodig is voor het uitvoeren van een overeenkomst
• Wanneer dit moet van de wet
• Als dit noodzakelijk is voor een vitaal belang voor de betrokkene of een derde
• In het kader van het uitvoeren van een taak van algemeen belang of handhaving van de openbare orde
• Als dit noodzakelijk is voor een gerechtvaardigd belang van die instantie, mits het privacybelang van de betrokkene niet prevaleert

Uitzonderingssituatie

Artikel 9 verbiedt het verwerken van medische gegevens, tenzij er sprake is van een uitzondering. Zo mag je medische gegevens verwerken met toestemming (a), als dit noodzakelijk is voor preventieve arbeidsgeneeskunde (h) of om redenen van algemeen belang op het gebied van de volksgezondheid (i).

Arts moet gevallen melden en mag mensen isoleren

Volgens de AVG mag de arts dus gegevens van een besmette werknemer verwerken, omdat de wet dit hem verplicht en omdat dit noodzakelijk is voor de volksgezondheid. In januari van dit jaar is namelijk een ministeriele regeling van de Wet publieke gezondheid (Wpg) aangenomen die een meldplicht introduceert voor het corona-virus (Covid 19). Indien een in Nederland werkzame (bedrijfs)arts corana-virus vermoedt of vaststelt, moet hij dit onmiddellijk melden aan een gemeentelijke gezondheidsdienst. Ook mag hij geïnfecteerde personen isoleren. Op basis van de Wpg mag een besmette persoon door de voorzitter van de veiligheidsregio worden verboden te werken en kan men voorschriften geven met betrekking tot terreinen en gebouwen.

AP: werkgever mag niets vastleggen over aard van de ziekte

De werkgever heeft volgens de Autoriteit Persoonsgegevens (AP) geen grondslag om iets over de aard van de ziekte van een werknemer te registreren. Dat is niet noodzakelijk stelt zij in haar beleidsregels De zieke werknemer. Dit geldt voor een verkoudheid, een beenbreuk en dus ook het corona-virus.

Die conclusie lijkt inderdaad in lijn met de AVG. De werkgever heeft geen wettelijke plicht, ook vervult hij in beginsel geen taak van algemeen belang. En bij medische gegevens kan een werkgever zich ook niet beroepen op het gerechtvaardigd belang.

Toestemming alleen in uitzonderlijke situaties

Ook toestemming biedt onvoldoende houvast. De AP zegt:

Er zijn enkele uitzonderlijke situaties denkbaar waarin de bedrijfsarts op grond van toestemming van de zieke werknemer gegevens over zijn gezondheid aan de werkgever kan verstrekken. Bijvoorbeeld als de werknemer zelf expliciet vraagt om de werkgever te laten weten dat hij epilepsie heeft en wat de werkgever moet doen in noodsituaties.

Dit zou op kunnen gaan voor corona. De werknemer zou toestemming kunnen geven om directe collega’s te informeren. Dat wil echter niet zeggen dat de werkgever de informatie mag bewaren.

Vitaal belang gaat ook niet op

Je zou kunnen beargumenteren dat er sprake is van een vitaal belang van de werknemer. In de overweging nr. 48 bij de AVG staat namelijk:

Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

Toch gaat deze vlieger niet op. Het monitoren van een epidemie is geen kernactiviteit van de  werkgever maar van de GGD. En daarnaast zegt de AVG ook dat je bij medische gegevens alleen een beroep kan doen op het vitale belang indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven.

Conclusie: werkgever mag besmettingen niet registreren (maar kan nog wel een aantal zaken doen)

Mag je als werkgever corona-besmettingen van je werknemers registeren? De AVG zegt ‘nee’. Je hebt hiervoor geen grondslag.  Je mag administreren dat iemand ziek is, maar niet wat hij heeft. Ook mag je als werkgever niet aan collega’s vertellen wie er besmet is, tenzij de werknemer hiervoor toestemming geeft of dit natuurlijk zelf al heeft verteld. Je mag ook niet informeren naar het verloop van de ziekte, en alleen vragen wanneer iemand weer denkt aan het werk te kunnen. Als werkgever mag je niet gaan controleren of je medewerkers koorts hebben.

Je mag ze ook geen vragen stellen over andere klachten, zoals hoesten. Dat mag alleen een (bedrijfs)arts. Best beperkend dus. Want je bent wel verantwoordelijk voor een gezonde werkomgeving. Toch kan je een aantal zaken nog wel doen:

• Je mag best met je medewerker over zijn besmetting praten – je mag het alleen niet administreren voor eigen doeleinden. De privacywet gaat pas gelden als je medische informatie als organisatie gaat vastleggen in je eigen administratie.
• Je mag medewerkers ook vragen of ze op reis zijn geweest en waar en op basis daarvan voorzorgsmaatregelen nemen, zoals de medewerker verplichten thuis te werken.
• Je kan medewerkers instrueren over de symptomen en voorzorgsmaatregelen zoals handen wassen.
• Indien je bedrijfsarts hebt kan je in samenspraak ook extra spreekuren en controles mogelijk maken.