Veelgestelde vragen over corona en privacy

De corona crisis brengt voor werkgevers en werknemers vragen met zich. Bijvoorbeeld welke handelingen in lijn zijn met de privacywet- en regelgeving en welke daarin te ver gaan. Onderstaand een overzicht van de meest relevante vragen en antwoorden voor de werkgever – en daarmee ook voor de werknemer – op het gebied van privacy en het corona virus. Voor meer algemene vragen ten aanzien van de gevolgen van het corona virus voor de zorg, verwijzen wij u naar onze pagina corona en de zorg.

1. Mag ik als werkgever mijn zieke werknemer vragen naar de aard van diens klachten?
2. Hoe zit het met het medisch testen van een (zieke) werknemer?
3. Mag ik het vastleggen indien een werknemer (vermoedelijk) is besmet met het corona virus?
4. Hoe kunnen werknemers veilig communiceren?
5. Is het mogelijk om zorg op afstand te bieden?
6a. Is er dan echt niets mogelijk op grond van de AVG?
6b. Wat nu als er een onderzoek van de AP loopt?
7. Hoe zit het met de opname van patiëntengegevens in het Landelijk Schakelpunt?

1. Mag ik als werkgever mijn zieke werknemer vragen naar de aard van diens klachten?

Als een werknemer zich ziek meldt, kan het voor de werkgever van belang zijn om te weten of het gaat om een normale verkoudheid of om een (vermoedelijke) besmetting met het corona virus. Toch mag u als werkgever slechts een beperkt aantal vragen stellen aan uw zieke werknemer. Zo mag u alleen vragen stellen die “noodzakelijk” zijn om te weten. Hierbij kan worden gedacht aan de volgende informatie:

  • Het telefoonnummer waarop de werknemer bereikbaar is en het (verpleeg)adres;
  • Hoe lang de werknemer denkt ziek te zullen zijn;
  • Welke lopende afspraken/werkzaamheden de werknemer heeft;
  • Of de ziekte verband houdt met een arbeidsongeval.

Het vragen naar de aard van de ziekte is niet noodzakelijk en mag dus niet. Het vragen naar de aard van de ziekte is namelijk een verwerking van medische gegevens. Medische gegevens worden onder de Algemene verordening persoonsgegevens (hierna: “AVG”) gekwalificeerd als bijzondere persoonsgegevens, waarvoor in beginsel een verwerkingsverbod geldt. Uiteraard kunt u de werknemer vragen om bij symptomen van besmetting met het corona virus, thuis te blijven totdat de klachten volledig zijn verdwenen. Daarnaast kunt u, vanwege het eventuele besmettingsgevaar, de bedrijfsarts of arbodienst door laten vragen naar de aard van de ziekte.

2. Hoe zit het met het medisch testen van een (zieke) werknemer?

Het algemene advies op dit moment (18 maart 2020) is om zoveel mogelijk thuis te werken. In bepaalde sectoren, zeker de zorg, is dit echter lastig. Toch wil u als werkgever voorkomen dat een werknemer die besmet is met het corona virus aanwezig is op de werkvloer. Dit kan zijn om uw andere werknemers te beschermen, maar ook omdat uw werknemer in contact kan komen met kwetsbare personen. Maar wat kunt u doen indien een werknemer een hoestje of een loopneus heeft? Kunt u diegene dan medisch laten testen, bijvoorbeeld middels het opmeten van de temperatuur? Het uitgangspunt op grond van AVG is dat het als werkgever niet is toegestaan om een werknemer medisch te laten testen. Naar het uitgangspunt van de Autoriteit Persoonsgegevens (hierna: “AP”), geldt dit ook bij een vermoeden van besmetting met het corona virus. De uitvoering van een medische test is namelijk tevens een verwerking van medische gegevens, hetgeen – zoals bovengenoemd – op grond van de AVG in beginsel is verboden. Wel heeft het RIVM hieromtrent een inzet- en testbeleid ontwikkeld voor werknemers in de zorg, welke kan worden gevolgd indien een werknemer ziek is.

Wat is er daarnaast wél toegestaan? U kunt de werknemer uiteraard wel medisch laten testen door de bedrijfsarts of arbodienst. Ook kunt u de zieke werknemer uit voorzorg naar huis sturen. Verder is het als werkgever toegestaan om met uw werknemer (mondeling) te spreken over de corona symptomen en de werknemer te verzoeken diens gezondheid in de gaten te houden. Zolang één en ander maar niet wordt vastgelegd. Hiermee komen we ook meteen op de volgende vraag.

3. Mag ik het vastleggen indien een werknemer (vermoedelijk) is besmet met het corona virus?

Het is mogelijk dat een werknemer de symptomen van het corona virus vertoont of zelfs al is vastgesteld dat de werknemer is besmet met het corona virus. Vanwege het verwerkingsverbod van medische gegevens, mag u een vermoeden of een vaststelling van besmetting met het corona virus niet vastleggen in uw administratie. Ook niet indien uw werknemer deze informatie spontaan met u deelt. Dát de werknemer ziek is mag uiteraard wel worden vastgelegd. Daarnaast mag een (vermoeden van) besmetting met het corona virus wel geanonimiseerd worden vastgelegd.

In bepaalde gevallen is het desondanks noodzakelijk om een registratie van het aantal besmette werknemers bij te houden, teneinde een veilige werkomgeving te kunnen (blijven) bieden. Hier kan bijvoorbeeld sprake van zijn bij een ‘kwetsbare’ werkomgeving (de ouderenzorg). In dat geval is het raadzaam om de bedrijfsarts of arbodienst hiervoor in te schakelen.

4. Hoe kunnen werknemers veilig communiceren?

Doordat veel werknemers momenteel thuiswerken, zal veel communicatie digitaal verlopen. Dit geldt zowel tussen werknemers onderling als tussen werknemers en bijvoorbeeld cliënten. Het is van belang dat deze communicatie op een veilige manier verloopt, waarbij de privacy van werknemers en cliënten wordt gewaarborgd. Zo is bijvoorbeeld WhatsApp een Amerikaanse dienst en wordt deze app doorgaans niet als geheel AVG proof beschouwd. De AP heeft het gebruik van Whatsapp in de zorg dan ook afgeraden. Zie voor een overzicht van de meest gebruikte communicatiediensten en de (on)veiligheid daarvan vraag 5.

Daarnaast geeft de AP ook tips om op een veilige manier thuis te werken. Eén van de tips is het gebruik van veilige communicatiemiddelen zoals bovenstaand. Daarnaast raadt de AP het aan om te werken in een beveiligde omgeving, gevoelige documenten goed te beschermen en alert te zijn op phishingmails.

5. Is het mogelijk om zorg op afstand te bieden?

In bepaalde zorgsectoren (denk aan: logopedie, wijkverpleging etc.) is het mogelijk om de zorg – al dan niet gedeeltelijk – digitaal voort te zetten. Het waarborgen van privacy is ook bij digitale zorg van belang. Zo dient gebruik te worden gemaakt van de meest veilige communicatiediensten. Het voldoen van de communicatiedienst aan de beveiligingsnormen (NEN 7510NEN 7512 en ISO 27001) biedt een handvat om de veiligheid vast te stellen. Dit kunt u bij desbetreffende dienst nagaan of zien via dit overzicht. De AP heeft daarnaast een keuzehulp ontwikkeld, aan de hand waarvan kan worden nagegaan hoe de diensten ‘scoren’ op privacyaspecten. Voor de gezondheidszorg is met name van belang (i) dat er geen gegevens over gesprekken worden opgeslagen en (ii) dat er sprake is van end-to-end versleuteling. Beide aspecten kunt u nagaan in de keuzehulp.

Communicatiediensten zoals Skype (consumentenversie) en Zoom voldoen in ieder geval niet aan de bovengenoemde beveiligingsnormen. Deze diensten dienen zodoende slechts bij uitzondering te worden gebruikt. De (goede) zorg gaat in dat geval immers boven privacy, zo geeft de AP aan. Bij het gebruik van onveiligere diensten, dienen een aantal voorwaarden in acht te worden genomen:

  • U dient cliënten, op grond van uw informatieplicht onder de AVG, te informeren over de werkwijze van desbetreffende communicatiedienst. Dit kunt u doen door te verwijzen naar de privacyverklaring van de dienst. Daarnaast is het van belang dat de cliënt toestemming geeft voor het gebruik van de communicatiedienst en diens werkwijze. Deze toestemming kan zowel mondeling als schriftelijk (middels een toestemmingsverklaring) geschieden. Wij raden het laatste aan;
  • Bespreek zo min mogelijk gevoelige gegevens van de cliënt, zoals bijvoorbeeld diens naam of de uitgebreide medische voorgeschiedenis;
  • Bij het gebruik van een communicatiedienst die gesprekken vastlegt, dient u deze na ieder gesprek te wissen.

Overigens verwijzen wij u voor de bekostiging van digitale zorg naar vraag 5 op onze pagina Corona en de zorg.

6a. Is er dan echt niets mogelijk op grond van de AVG?

De AP legt de AVG relatief streng uit. Dit is in de huidige situatie omtrent het corona virus (nog) niet anders. Echter, de European Data Protection Board (hierna: “EDPB”) kijkt hier enigszins anders naar. De EDPB is een bundeling van Europese privacytoezichthouders. In een verklaring van 16 maart jl., stelt de EDPB het volgende. Zij geven aan dat de privacywet- en regelgeving (AVG) de maatregelen, die moeten worden genomen in het kader van de corona uitbraak, niet beperken. Deze lijn heeft de EDPB nogmaals bevestigd in een verklaring van 20 maart jl. Zo geeft de EDPB aan te voorzien dat beperkingen omtrent het verwerken van bijzondere persoonsgegevens enigszins zullen worden losgelaten. In dat kader geeft de EDPB aan dat het op grond van de AVG mogelijk is om persoonsgegevens te verwerken in het geval van een epidemie, zonder hiervoor toestemming te hoeven vragen. De grondslagen die de EDPB hiervoor aandraagt zijn de bescherming van (i) het algemeen belang op het gebied van de volksgezondheid en (ii) de vitale belangen.

De EDPB blijft relatief vaag met betrekking tot de uitleg hieromtrent, maar het lijkt er dus op dat zij de werkgevers wél enige ruimte biedt. Zij geeft aan dat een verwerking van (bijzondere) persoonsgegevens door werkgevers noodzakelijk kan zijn, in het kader van de wettelijke verplichting (op grond van de Arbeidsomstandighedenwet/goed werkgeverschap) van iedere werkgever om te zorgen voor een veilige werkomgeving.

Ondanks dat de EDPB enige ruimte lijkt te bieden, is het aan de nationale toezichthouders (de AP) om invulling te geven aan de AVG. Zo is de mogelijkheid om deze bovengenoemde grondslagen in het licht van het corona virus toe te passen beperkt op grond van de Nederlandse toepassing van de AVG. Een verwerking op grond van vitale belangen mag bijvoorbeeld slechts indien een betrokkene (de werknemer) niet in staat is hiervoor toestemming te geven. Hier zal vaak geen sprake van zijn. Mocht de AP haar standpunt hieromtrent versoepelen, dan zullen wij u hierover berichten.

6b. Wat nu als er een onderzoek van de AP loopt?

De AP heeft op grond van de AVG de bevoegdheid om – ambtshalve of na een melding – onderzoek te verrichten bij organisaties naar de naleving van de privacywet- en regelgeving. In het kader van een dergelijk onderzoek kan de AP vragen uitzetten bij een organisatie. Er is vaak een deadline verbonden aan de beantwoording van deze vragen. (Zorg)organisaties hebben echter momenteel vaak wel iets anders aan het hoofd, waardoor het behalen van de deadline kan worden bemoeilijkt. De AP heeft in dat kader aangegeven deze deadlines – waar nodig – op te rekken, hetgeen per geval zal worden bezien. Hiermee wordt ruimte geboden om tijd te besteden aan de prioriteit: de zorgverlening.

7. Hoe zit het met de opname van patiëntengegevens in het Landelijk Schakelpunt?

In beginsel mogen patiëntengegevens slechts beschikbaar worden gesteld in een “elektronisch uitwisselingssysteem”, zoals het Landelijk Schakelpunt (hierna: LSP), indien een patiënt hier voorafgaand uitdrukkelijk toestemming voor heeft gegeven (opt in). Dit is zo bepaald in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Gedragscode Elektronische Gegevensuitwisseling in de Zorg.

Lang niet iedereen heeft een keuze gemaakt voor een dergelijke beschikbaarstelling van medische gegevens. Hierdoor is veel noodzakelijke medische informatie niet (direct) beschikbaar. De Minister van VWS heeft in dit kader in een brief aan de Tweede Kamer eerder aangegeven – middels een tijdelijke regeling – af te willen wijken van dit toestemmingsuitgangspunt. De minister heeft aangegeven dat het gedurende de corona crisis mogelijk zou moeten om huisartseninformatie automatisch beschikbaar te stellen voor de Huisartsenpost (hierna: HAP) en de spoedeisende hulp (hierna: SEH), tenzij een patiënt hier bezwaar tegen maakt (opt out).

De AP heeft zich in een brief aan de minister uitgesproken over deze voorgestelde constructie. Zo heeft de AP kenbaar gemaakt dat het toestemmingsvereiste leidend blijft en een aantal voorwaarden verbonden aan de voorgestelde constructie:

  • De medewerkers van de HAP/SEH moeten de patiënt ter plekke om (mondelinge/schriftelijke) toestemming vragen, tenzij de patiënt niet in staat is om toestemming te geven;
  • Iedere zorgverlener moet ervan op de hoogte zijn dat er een groep patiënten is van wie gegevensuitwisseling plaatsvindt, zonder toestemming;
  • Vervolgens mogen slechts de betrokken medewerkers deze medische gegevens inzien en alleen indien dat noodzakelijk is voor de behandeling van een (mogelijke) besmetting met het corona virus.

Inmiddels (8 april jl.) heeft de minister overleg gepleegd met onder andere de AP, het Openbaar Ministerie en de Inspectie Gezondheidszorg en Jeugd ten aanzien van deze constructie. De minister kondigt in een brief aan de Tweede Kamer de volgende noodmaatregelen aan:
De huisarts mag – in afwijking van de Wabvpz – het medisch dossier van patiënten beschikbaar stellen in een elektronisch uitwisselingssysteem, ook indien de patiënt hier (nog) geen uitdrukkelijke toestemming voor heeft gegeven;

  • Het is voldoende dat de medewerkers van de HAP/SEH de patiënt ter plekke om mondelinge toestemming vragen voor de raadpleging van de huisartseninformatie (“Corona-opt in”), tenzij de patiënt niet in staat is om toestemming te geven. In dat geval mag toestemming worden verondersteld als raadpleging noodzakelijk is voor de behandeling;
  • Eenieder moet de mogelijkheid behouden om (voorafgaand) bezwaar te maken tegen de beschikbaarstelling van medische gegevens (opt out-mogelijkheid).

De minister heeft aldus aansluiting gezocht bij het advies van de AP. Daarnaast betreft het slechts een tijdelijke regeling gedurende deze corona crisis.

Tot slot

Ondanks het feit dat de AVG, ook in het licht van het corona virus, beperkt wordt uitgelegd door de AP, lijkt de EDPB ruimte te bieden. Het is in ieder geval raadzaam om – in het kader van bovengenoemde vragen – als werkgever zelf een afweging te maken en deze afweging vast te leggen. Indien er bijvoorbeeld wordt gewerkt met een kwetsbare groep, zoals zieken en ouderen, kan er meer ruimte zijn om medische gegevens van werknemers te verwerken. Een werkgever heeft ook een zorgplicht voor personeel en cliënten en dat kan in de praktijk soms zwaarder wegen dan de theorie van de privacyregels. In deze tijden is het van belang dat iedereen zijn of haar gezond verstand gebruikt en transparant communiceert.

Wij houden de ontwikkelingen omtrent het corona virus en de AP nauwgezet in de gaten en zullen u informeren indien er veranderingen opreden.

  • Meld u nu aan voor onze nieuwsbrief!
    Wilt u op de hoogte worden gehouden van de laatste ontwikkelingen en veranderingen op juridisch gebied? Via onze nieuwsbrief krijgt u automatisch de laatste nieuwtjes via de e-mail toegestuurd.
  • Inschrijven nieuwsbrief