Hoe zit het met privacybescherming en ziekmelden?

De Algemene verordening gegevensbescherming (AVG) die in 2018 is ingegaan, vervangt de oude Wet op de privacybescherming en bevat regels voor het verwerken van persoonsgegevens. Persoonsgegevens zijn gegevens die direct over een persoon gaan of die naar een persoon zijn te herleiden. Zo vertellen naam en geboortedatum precies met welke persoon je te maken hebt, en kun je via een BSN-nummer herleiden om welke persoon het gaat.

Soms zijn gegevens gevoelig omdat ze iets zeggen over iemands seksuele leven, politieke voorkeur, iemands afkomst , religieuze overtuiging of iemands gezondheid. Dit zijn bijzondere persoonsgegevens.

Deze gegevens worden extra goed beschermd. Gegevens over ziekte en ziekmeldingen vallen daar ook onder.

Onder verwerken van persoonsgegevens verstaat de wet: het verkrijgen, verzamelen en opslaan van persoonsgegevens. Dit mag je alleen doen onder bepaalde voorwaarden die je vindt op de site van Autoriteit Persoonsgegevens. Om bijvoorbeeld het salaris van een medewerker te kunnen betalen heb je een naam, BSN en bankrekeningnummer nodig, maar je hoeft niet te weten of iemand lid is van de vakbond of man of vrouw is. En om het loon tijdens ziekte te kunnen doorbetalen, moet je wel weten dát iemand ziek is, maar je hoeft niet te weten wát iemand mankeert.

Je bent je er misschien niet bewust van, maar je weet heel veel van je medewerkers. Op het werk worden veel gegevens verzameld: namen, adressen, geboortedata, sofinummers, bankrekeningnummers, maar ook sollicitatiebrieven, verslagen van beoordelingen en verzuimgegevens. Je medewerkers staan deze gegevens aan je af en vertrouwen erop dat je er zorgvuldig mee omgaat. Door je aan de wet te houden, bevestig je dat je te vertrouwen bent. 

Persoonsgegevens bevatten gevoelige informatie die door kwaadwillenden zoals fraudeurs en cybercriminelen makkelijk te misbruiken is. Dat kan al gebeuren door een usb-stick die iemand laat slingeren. Personen, maar ook bedrijven, kunnen hierdoor beschadigd raken, denk aan imagoschade, maar ook aan identiteitsfraude of benadeling bij sollicitaties. Daarom controleert De Autoriteit Persoonsgegevens of organisaties zorgvuldig omgaan met deze gegevens.

Voor gegevens die iets zeggen over de gezondheid van personen zoals medische gegevens en gegevens over ziekte gelden strengere regels. Eigenlijk is het heel eenvoudig: het is in principe verboden om gegevens over iemands gezondheid te verwerken. En dat betekent dus dat je ook geen gegevens over iemands lichamelijke en psychische klachten of ziekte mag verzamelen, vastleggen, opslaan en delen. Er is wel een uitzondering: de werkgever mag  gezondheidsgegevens van medewerkers verwerken als dat noodzakelijk is voor de loondoorbetaling bij ziekte of voor de ziekteverzuimbegeleiding.

Omdat informatie over iemands gezondheid een bijzonder persoonsgegeven is, mag je als iemand zich ziek meldt dus niet zo heel veel vragen. Je mag niet vragen wat je medewerker mankeert en waarom hij zich ziek meldt en je mag er ook niets over vastleggen, ook niet als je medewerker daar toestemming voor geeft.

Als een medewerker zich bij jou ziek meldt en vervolgens zelf aan je vertelt wat hem mankeert, kun je hier wel een gesprek met elkaar over voeren, als je verder maar niks met die informatie doet. Je mag er dus niet achteraf iets over opschrijven in een e-mail aan HR of aan je eigen leidinggevende.

Gelukkig zijn er een paar dingen die je wel mag vragen aan je zieke medewerker. Je mag vragen om gegevens die noodzakelijk zijn om te kunnen beoordelen hoe het verder moet met de werkzaamheden van je zieke medewerker. Misschien heeft iemand afspraken staan die niet door kunnen gaan, dan kun je regelen dat die worden afgezegd. Of er is een deadline die niet verschoven kan worden, dan kun je zorgen dat iemand anders deze klus oppakt.

Je mag vragen naar:

• het telefoonnummer en (verpleeg­)-adres waar je medewerker te bereiken is;
• hoe lang iemand denkt afwezig te zijn;
• de lopende afspraken en werkzaamheden;
• of je medewerker onder één van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
• of iemand ziek is door een arbeidsongeval;
• of er sprake is van een verkeersongeval waarbij een derde is betrokken die misschien aansprakelijk gesteld kan worden (dan is er een regresmogelijkheid; je werkgever kan de schade dan misschien verhalen op degene die het ongeval heeft veroorzaakt).

Het kan lastig voelen dat je door de strenge wetgeving weinig kunt bespreken met een zieke medewerker en dat je niet mag vragen wat er aan de hand is. Maar het komt de relatie met je medewerker uiteindelijk ten goede als je de regels goed in acht neemt. Je laat daarmee zien dat je iemands privacy respecteert en dat wekt vertrouwen.

Bij een goede relatie tussen jou en je medewerker zal een gesprek bij een ziekmelding op een natuurlijke manier verlopen en zal je medewerker waarschijnlijk wel uit zichzelf vertellen wat er aan de hand is. Is dat niet het geval, beperk je dan tot de noodzakelijke vragen.

De bedrijfsarts is de enige die gegevens over de gezondheid van een medewerker mag verwerken.  Dat kan een reden zijn om hem al vroeg bij een ziekmelding te betrekken. Bijvoorbeeld als je het gevoel hebt dat er meer aan de hand is of als er ook een arbeidsconflict speelt. Ook als je het vermoeden hebt dat een ziekte langdurig kan zijn, kun je de bedrijfsarts er eerder bij betrekken dan volgens de Wet verbetering poortwachter verplicht is.   

De bedrijfsarts mag alleen noodzakelijke gegevens aan de werkgever doorgeven, zoals de gegevens die nodig zijn voor de re-integratie van de medewerker. In uitzonderlijke situaties kan hij wel medische informatie delen, maar alleen als de medewerker daar zelf toestemming voor heeft gegeven. Als een medewerker bijvoorbeeld astma heeft of een pacemaker, kan het handig zijn als dit op het werk bekend is. Dan weten collega’s en de bedrijfshulpverleners wat ze moeten doen als er een noodsituatie is.