november 2017

1. Privacy op de werkvloer
Zijn uw HR processen privacy proof op 25 mei 2018?
Eliette Vaal
Martin Hemmer
Eva van den Krommenacker
Pascal van Schaik

2. Agenda
1. De Algemene Verordening Gegevensbescherming (AVG)
- Inleiding
- Enkele onderwerpen uitgediept
- Boeterisico’s
- Zet Privacy op de agenda
2. Pre Employment Screening
3. Employment Screening
4. Inhoud personeelsdossier
- algemeen
- verzuim
5. En garde!

3. 1. De Algemene Verordening
Gegevensbescherming - Inleiding

4. Privacy raakt iedereen
4

5. AVG: Kernpunten privacyrecht ongewijzigd
Handvest grondrechten EU
Artikel 7 De eerbiediging van het privé-leven en van het familie- en
gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn
woning en zijn communicatie.
Artikel 8 De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met
toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag
waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde
gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
5

6. Enkele nieuwe begrippen
6
Oud Nieuw
Verantwoordelijke Verwerkingsverantwoordelijke
Bewerker Verwerker
Privacy Impact Assessment Gegevensbeschermingseffectbeoordeling
Privacy by Design / Default Gegevensbescherming door ontwerp /
standaardinstellingen

7. Belangrijkste nieuwe punten
• Register van verwerkingen
• Nieuwe rol verwerker / verwerker-overeenkomsten
• PIA’s / Privacy by design expliciet opgenomen
• Uitgebreidere informatieverplichtingen / rechten betrokkene
• Meldplicht datalekken voor heel Europa
• Boeterisico’s
• Deadline: 25 mei 2018
7

8. Nog veel onduidelijkheden
• Verordening werkt rechtstreeks
• Laat toch enige ruimte voor nationale wetgeving
• voor bijzondere gegevens
• Voor verwerking in de arbeidsverhouding (art. 88 AVG)
• Status Uitvoeringswet AVG
• Consultatieronde is afgerond
• Advies AP is uitgebracht
• nog geen definitieve tekst
8

9. Still to come: e-privacy Verordening
Wijzigingen nog onduidelijk, 25 mei 2018 zal niet worden gehaald.
9

10. Enkele onderwerpen uitgediept

11. Verwerker vs. verantwoordelijke
11
Verwerkeringsverantwoordelijke Verwerker
Werkgever Cloud provider
Uitzendbureau Loonstrookverwerker voor personeel
Overheidsinstantie die gegevens
opvraagt
Aanbieder analysetool salarissen

12. Verwerker:
Het begrip is nog altijd in beweging
Conclusie AG inzake AP Schleswig-Holstein vs. Wirtschaftsakademie (okt 2017)
12

13. Persoonsgegeven: scope
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
13

14. Verwerking bijzondere categorieën gegevens
Verwerking verboden, tenzij door bepaalde verwerkers en voor bepaalde
doeleinden of met uitdrukkelijke toestemming (enz.  zie artikel 9 lid 2 AVG)
14
• levensovertuiging of godsdienst
• politieke gezindheid,
• lidmaatschap vakbond
• ras, etniciteit
• seksuele leven
• gezondheid
• biometrische ID-gegevens met het oog op
de unieke identificatie van een persoon
• genetische gegevens
• strafrechtelijke gegevens (aparte cat.)
• BSN

15. Gegevens betreffende de gezondheid
Dit is (inmiddels) een zeer breed begrip!
Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data
about a person's intellectual and emotional capacity (such as IQ),
information about smoking and drinking habits, membership of an individual
in a patient support group (e.g. cancer support group), Weight Watchers”
Gevolgen voor:
• Assessments
• Uitgebreide personeelsdossiers
• Coaching-sessies
• Uitgebreide (Big-data) analyses van werknemersgedrag
15

16. Uitzonderingen voor werkgevers onder AVG
Art. 9
• Uitdrukkelijke toestemming (sub a) (hoewel: overweging 155)
• Uitoefening van specifieke rechten op het gebied van arbeidsrecht voor zover
toegestaan bij lidstatelijk recht (sub b)
• Noodzakelijk voor vitaal belang betrokkene (sub c)
• Door betrokkene duidelijk openbaar gemaakt (sub e)
• Instelling, onderbouwing of uitoefening of verdediging van een rechtsvordering (f)
• Zwaarwegend algemeen belang ogv Unie- of lidstatelijk recht (sub g)
• Arbeidsgeneeskunde /beoordeling arbeidsgeschiktheid medische diagnosen (sub h)
16

17. Uitzonderingen voor werkgevers onder de Uitv. wet
MvT: Materieel zelfde strekking als huidige artikel 21 van de Wbp.
Art, 23 Uitv, Wet: 1. Het verbod om gegevens over gezondheid te verwerken is
om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid,
onderdeel g, van de verordening dan wel om de redenen, bedoeld in artikel 9, tweede
lid, onderdelen b en h, van de verordening, niet van toepassing indien de
verwerking geschiedt door:
werkgevers [..] voor:
1°. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of
collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk
zijn van de gezondheidstoestand van de betrokkene; of
2°. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in
verband met ziekte of arbeidsongeschiktheid.
17

18. Uitzonderingen voor werkgevers onder de Uitv.wet
Art. 23 lid 2 uitvoeringswet
Indien toepassing wordt gegeven aan het eerste lid worden de gegevens alleen
verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift,
dan wel krachtens een overeenkomst, tot geheimhouding zijn verplicht.
Dit lijkt breder dan de uitzondering van art. 9 lid 3 AVG:
verwerking voor doeleinde sub h, slechts door of onder verantwoordelijkheid van een
beroepsbeoefenaar of door een andere persoon die krachtens recht of door nationale
bevoegde instanties vastgestelde regels tot geheimhouding is gehouden
Tekst is echter (ook volgens de AP) onduidelijk.
18

19. Vraag:
Zijn alcohol- en drugs controles nog toegestaan?
19

20. Vraag:
Zijn assessments nog toegestaan?
20

21. Vraag:
21
Mag Big Data analyse van
werknemersgedrag?

22. Het UNIPER rapport (22 februari 2017)
• Uniper had beleid vastgesteld om alcohol- en drugstesten in te zetten om onveilige
situaties te voorkomen.
A&D beleid:
• Ad random alcoholtesten en alcohol- en drugstesten bij vermoeden van gebruik
(uitkomsten van adem- en wangslijmtesten)
• Melding van medicijngebruik bij leidinggevenden
• Inzet drugshonden
22

23. Het Uniper-rapport
23
• Uniper beriep zich voor testen op een
zwaarwegend belang
• veiligheid / arbeidsomstandighedenwet.
• en op artikel 7:611 (goed werknemerschap) en 660 (instructiebevoegdheid
werkgever) BW
AP vond dit onvoldoende, omdat een specifieke wettelijke bepaling vereist is
voor een beroep op een zwaarwegend belang.
“AVG: voor zover toegestaan bij lidstatelijk recht”

24. Vers van de pers 21-11-2017:
24

25. Oplossingen?
- Specifiek lidstatelijk recht (mede afhankelijk van uiteindelijke Uitvoeringswet)
- Inbouwen extra waarborgen
Gegevens alleen zichtbaar voor bedrijfsarts?
25

26. Register verwerkingen
Basis voor AVG compliance
• Meldplicht AP voor verwerkingen verdwijnt  AP handhaaft niet meer tot
inwerkingtreding AVG
• Nieuwe verplichting: bijhouden register verwerkingen
• Verplichting geldt voor verwerkingsverantwoordelijke en verwerker
• Uitzondering voor organisaties < 250 werknemers, tenzij:
• verwerking risico voor de rechten en vrijheden van de betrokkenen inhoudt;
• de verwerking niet incidenteel is; of
• de verwerking bijzondere categorieën van gegevens betreft.
26

27. Register verwerkingen
Welke informatie moet erin?
• Verwerkingsdoeleinden
• Categorieën betrokkenen
• Categorieën persoonsgegevens
• Categorieën van ontvangers
• Doorgiftes buiten de EU
• Bewaartermijnen
• Beschrijving beveiliging
Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de
hand van ICT applicaties / aan de hand van bedrijfsonderdelen/processen
aan de hand van questionnaires naar de managers)
27

28. Register verwerkingen
Voorbeelden:
• Verschillende software-aanbieders
• VNG (lijst met voorgeschreven en optionele posten)
• Belgische toezichthouder  Model voor een Register van de verwerkingsactiviteiten
https://www.privacycommission.be/nl/model-voor-een-register-van-de-
verwerkingsactiviteiten
28

29. Register verwerkingen
29

30. Beveiliging
• Technisch én organisatorisch
• Passend gezien stand techniek en aard verwerkingen
• Pseudonimisering / versleuteling
• Vermogen om op permanente basis de vertrouwelijkheid, integriteit,
beschikbaarheid en veerkracht van verwerkingssystemen en diensten te
garanderen
• Tot herstel bij incident
• Een procedure om de maatregelen regelmatig te testen en te beoordelen (PLAN
DO CHECK ACT- cyclus)
30

31. Gegevensbeschermingseffectbeoordeling
• Wanneer een verwerking gelet op de aard omvang, context en doeleinden
waarschijnlijk een hoog risico inhoudt, in het bijzonder bij nieuwe technologieën
Met name bij:
- Systematische en uitgebreide beoordeling van persoonlijke aspecten van
natuurlijke personen, gebaseerd op geatomatiseerde verwerking waaronder
profilering
- Grootschalige verwerking bijzondere gegevens
- Stelselmatige monitoring van openbare ruimten
• Geldt alleen voor verantwoordelijken
31

32. Aanscherping Informatieplicht
Beknopt, eenvoudig toegankelijk en begrijpelijk
• Bewaartermijn
• Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en
portabiliteit)
• Klachtrecht bij AP
• Uitleg doeleinden en rechtsgronden verwerking
• Profilering, reden daarvan en mogelijke gevolgen
Belangrijkste uitzonderingen
• Verwerking voorgeschreven bij wet
• Onmogelijk / onevenredig
• Of informeren maakt doeleinde onmogelijk
32

33. Functionaris voor de gegevensbescherming
Verplicht voor:
• Overheden
• Niet overheden (verantwoordelijken en verwerkers) die als kerntaak hebben:
• Het uitvoeren van verwerkingen die vanwege hun aard, hun omvang en/of hun
doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen
vereisen; of
• Het uitvoeren van grootschalige verwerkingen van bijzondere categorieën van gegevens
of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten.
• Eisen
• Kan personeelslid zijn of op grond van dienstenovereenkomst
• Onafhankelijkheid  geen belangenverstrengeling
Ook op vrijwillige basis  zie beleidsregels AP
33

34. Functionaris voor de gegevensbescherming
Hoofdtaak: zorgen dat de AVG wordt nageleefd
Beleidsregels benoemen verder:
• informatie verzamelen om verwerkingswerkzaamheden te identificeren;
• analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG
voldoen;
• de verantwoordelijke of de verwerker informeren, adviseren of aanbevelingen
geven;
• FG is contactpersoon is voor de AP + samenwerken met AP.
34

35. Boeterisico’s

36. Hoge boetes
Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet!
• Bindende aanwijzing is geen onderdeel AVG
• Boetes “doeltreffend, evenredig en afschrikwekkend”(art. 83 lid 1)
• Bij boeteoplegging wordt rekening gehouden met tal van factoren:
• opzettelijke / nalatige aard
• schadebeperkingsmaatregelen
• accountability gezien beveiligingsmaatregelen (art. 83 AVG)
•  illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol
36

37. Boetes in de praktijk
AP blijkt sinds 1 januari 2016 niet heel ‘triggerhappy’
Echter: De bindende aanwijzing is geen onderdeel AVG en waarschijnlijk ook niet van
de Uitvoerinsgwet
Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State)
Biedt argument bij te goeder trouw interpretatie open normen
Boete voor bestuurder?
 opdracht / feitelijke leiding / maatregelen achterwege laten
(art.5:1 Awb juncto art. 51 Sr.)
37

38. Zet privacy op de agenda

39. To do
• Startpunt = register van gegevensverwerkingen
• Kijk kritisch naar doel en noodzaak van verwerkingen.
• Kan een doel ook met minder data bereikt worden?
• Check bewaartermijnen
• Is een PIA vereist?
• Check aanwezigheid en inhoud (bewerkings)overeenkomsten:
• Check informatieplichten / procedures voor uitoefening rechten
• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht
• Meld meldingsplichtige inbreuken (implementeer meldingsprotocol)
39

40. Hulpmiddel: AKD Privacycheck
AKD Privacycheck: is uw organisatie al privacy-proof?
Vul de AKD privacychecklist in als startpunt voor compliance.
https://www.akd.nl/d/Paginas/Subpagina%27s%20Intellectual%20Property%20and%
20Technology/AKD-Privacycheck-.aspx
40

41. 2. Pre Employment Screening

42. 2. Pre Employment Screening
Wat kan dat bijvoorbeeld zijn?
• Sollicitatiegesprek
- ziekteverzuim uit het verleden ?
- strafrechtelijk verleden ?
- zwangerschap of kinderwens ?
- medicijngebruik ?
- meldplicht werknemer ?
• Referenties bij vorige werkgever(s)
• Aanstellingskeuring
• VOG
• Assessment
• Online research (“Googlen”)
42

43. 2. Pre Employment Screening
Ingezoomd: neuzen op social media
(als alternatief voor assessment?)
i. Het feit dat een profiel publiek is,
betekent niet automatisch dat het
gescreend mag worden
ii. Rekening houden met zakelijke aard
van social media (Facebook vs.
LinkedIn)
iii. Wat online te vinden is niet altijd juist,
accuraat of relevant
iv. Resultaten toetsen met sollicitant, met
uitdrukkelijke vermelding bron
43

44. 2. Pre Employment Screening
Richtlijnen
• Aard van de functie moet de screening
rechtvaardigen
• Sollicitant dient vooraf van de screening
op de hoogte te worden gesteld
(bijvoorbeeld in de vacaturetest)
• Screening dient zo beperkt mogelijk te
zijn
• Geen medische screening (tenzij
noodzakelijk voor functie en door arts)
• Instemming sollicitant is geen grondslag
• Verwijderen van gegevens zodra
procedure is afgelopen (tenzij...)
44

45. 2. Pre Employment Screening
Ingezoomd: assessments
 Betonpalenfabriek De Betonpaal wil een
selectie assessment afnemen
 De sollicitant wordt in de
wervingsadvertentie op de hoogte gebracht
van het feit dat een assessment onderdeel
is van de selectieprocedure
 De sollicitant gaat akkoord met het
selectieassessment.
 Mag dit?
45

46. 2. Pre Employment Screening
Vraag 1
Wat voor soort persoonsgegevens worden er
verwerkt (gewone of bijzondere
persoonsgegevens)?
46
Overweging 35 AVG:
‘Persoonsgegevens over gezondheid dienen alle gegevens te
omvatten die betrekking hebben op de gezondheidstoestand van
een betrokkene en die informatie geven over de lichamelijke of
geestelijke gezondheidstoestand van de betrokkene in het
verleden, het heden en de toekomst.’
Artikel 4 AVG:
‘Persoonsgegevens die verband houden met de fysieke of
mentale gezondheid van een natuurlijke persoon, waaronder
gegevens over verleende gezondheidsdiensten waarmee
informatie over zijn gezondheidstoestand wordt gegeven.’

47. 2. Pre Employment Screening
Vraag 2
Uitgaande van bijzondere persoonsgegevens: is de
uitdrukkelijke toestemming van de sollicitant
een grondslag voor verwerking?
47
Overweging 42 AVG:
‘Toestemming mag niet worden geacht vrijelijk te zijn verleend
indien de betrokkene geen echte of vrije keuze heeft of zijn
toestemming niet kan weigeren of intrekken zonder nadelige
gevolgen.’

48. 2. Pre Employment Screening
Vraag 3
Is er dan een andere grondslag die gebruikt kan
worden?
48
Is de verwerking noodzakelijk met het oog op de uitvoering van
verplichtingen en de uitoefening van specifieke rechten van de
verwerkingsverantwoordelijke of de betrokkene op het gebied van het
arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht?
Is de verwerking noodzakelijk om redenen van zwaarwegend
algemeen belang (...) waarbij de evenredigheid met het
nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het
recht op bescherming van persoonsgegevens wordt geëerbiedigd en
passende en specifieke maatregelen worden getroffen ter bescherming
van de grondrechten en de fundamentele belangen van de
betrokkene?

49. 2. Pre Employment Screening
Vraag 4
Is er dan een andere grondslag die gebruikt kan
worden?
49
Is de verwerking noodzakelijk voor doeleinden van preventieve
of arbeidsgeneeskunde, voor de beoordeling van de
arbeidsgeschiktheid van de werknemer, medische
diagnosen, het verstrekken van gezondheidszorg of sociale
diensten of behandelingen dan wel het beheren van
gezondheidszorgstelsels en -diensten of sociale stelsels en
diensten, op grond van Unierecht of lidstatelijk recht?

50. 2. Pre Employment Screening
Vraag 5
Zijn assessments dan verboden?
50
Artikel 88 AVG:
‘Bij wet of bij collectieve overeenkomst kunnen de lidstaten
nadere regels vaststellen ter bescherming van de rechten en
vrijheden met betrekking tot de verwerking van de
persoonsgegevens van werknemers in het kader van de
arbeidsverhouding, in het bijzonder met het oog op
aanwerving, de uitvoering van de arbeidsovereenkomst, met
inbegrip van de naleving van wettelijke of uit collectieve
overeenkomsten voortvloeiende verplichtingen, het beheer, de
planning en de organisatie van de arbeid, gelijkheid en
diversiteit op het werk, gezondheid en veiligheid op het werk,
bescherming van de eigendom van de werkgever of de klant
dan wel met het oog op de uitoefening en het genot van de met
de arbeidsverhouding samenhangende individuele of collectieve
rechten en voordelen, en met het oog op de beëindiging van de
arbeidsverhouding.’

51. 3. Employment Screening

52. 3. Employment Screening
Heeft een werknemer eigenlijk recht op
privacy op het werk?
Ja…..
- Recht op privacy strekt zich ook uit tot de
werkplek
- Beperkte privé contact tijdens werktijd moet de
werkgever toestaan, indien geen concreet
aanwijsbare nadelige invloed op het werk
- Beperkingen op basis van instructierecht >
gedragscode
52

53. 3. Employment Screening
…maar controle is mogelijk. Algemene richtlijnen?
• Kenbaarheidsvereiste: (in principe) screening vooraf bekend maken (heimelijk alleen in bijzondere
gevallen)
• Doel moet gerechtvaardigd zijn> noodzakelijk voor…
Instemming werknemer is géén grondslag
• Middel moet proportioneel zijn (bijvoorbeeld contentfilter, steekproefsgewijs, gerichte controle alleen bij
concreet vermoeden)
• Doel mag niet met minder vergaande middelen ook te bereiken zijn
• Dataminimalisatie
• Doorgaans instemming Ondernemingsraad noodzakelijk
• (voorafgaand met OR afgestemd) Privacyreglement/gedragscode met
- doel en inzet controle middelen
- op welke wijze wordt gecontroleerd
- consequenties bij overtreding
• Achteraf (ook) informeren
53

54. 3. Employment Screening
…maar controle is mogelijk. Wat kan dat bijvoorbeeld zijn?
• Social Media controle
- overwegende lijn is: geen privésfeer vanwege overwegende publieke toegankelijkheid
- “Facebook uitspraken”: Werknemer beledigt werkgever op Facebookpagina leidt tot ontbinding
“Pff is deze werkdag al om? Ik wil verlost worden van deze ******* wat een gek zeg!
#wil***weekend” (LJN BV 9483)
• Internet- en emailcontrole
- Zie: Goed werken in Netwerken (CBP) (scheid zakelijke en privé email, beperk de controle, ontzie
de geprivilegieerde informatie van bedrijfsartsen en OR)
- “Hot mail”: secretaresse laat hotmailaccount open staan met discutabele emailwisseling tussen
haar en ex collega (JAR 2010/93)
- Pornosurfen blijft klaarblijkelijk populair
- geen gedragscode, geen waarschuwing: geen ontbinding
- gedragscode, waarschuwing en ontzegging toegang internet: ontbinding zonder
vergoeding
- geen gedragscode, geen waarschuwing, general manager die urenlang per dag
pornsosurft: OSV
- Werknemer stuurt zakelijke documenten naar zijn zakelijk emailadres> gerechtvaardigde inbreuk
(ECLI:NL:RBLIM:2017:1296)
54

55. 3. Employment Screening
• Cameragebruik
- wordt gezien als meest privacy bedreigende personeelsvolgsysteem
- grondslag (noodzakelijk voor…) + prop. en subs. + belangenafweging wn vs wg
(bijvoorbeeld bewegingssensor of geen gezichtsherkenning)
> Transportbedrijf (2016): voortdurend opnemen is niet proportioneel (andere
manieren mogelijk om rijgedrag te verbeteren)
- verborgen cameratoezicht > in principe niet, tenzij….
- mogelijk zelfs strafbaar
• Alcohol en Drugs
- verwerken bijzondere gegevens
- HR Hyatt (JAR 2007/250): toelaatbaarheid drugstest voor hotelmedewerkers
Serveerster op staande voet ontslagen wegens cocaïne sporen in bloed
HR: gerechtvaardigde inbreuk, gezien bedrijfsbelang hotel, representatieve functie en lastige
bewijspositie wg, drugsgebruik in vrije tijd kan werk effectueren
- Uniper: geen gerechtvaardigde inbreuk
55

56. 4. Het Personeelsdossier

57. 4. Het Personeelsdossier - algemeen
Wat mag er (niet) in?
Hoofdregel
• De werkgever mag niet meer persoonsgegevens verzamelen, gebruiken, opslaan en
bewaren dan absoluut noodzakelijk voor het doel van de verwerking. Het
minimum is ook meteen het maximum
• De AVG, Wbp of de Uitvoeringswet (wetvoorstel) kent (nog) geen concrete
bewaartermijnen
• De richtlijn voor de bewaartermijn betreft twee jaar na einde dienstverband, tenzij
een andere wettelijke bewaartermijn geldt
• Zie Vrijstellingsbesluit Wbp
57

58. 4. Het Personeelsdossier - algemeen
Stelt u zich eens voor…
Annewil Kip is sinds 2003 bij uw organisatie in dienst. Annewil doet haar best, maar
heeft een wat temperamentvol karakter dat nog weleens resulteert in een
akkefietje links of rechts. Dat heeft in 2005 zelfs geleid tot een incident met geweld
op de werkvloer, waarvoor zij een waarschuwing heeft gehad. Zij heeft ook een
waarschuwing in 2010 gehad met betrekking tot een niet gewelddadig incident.
De laatste jaren lijkt Annewil wat rustiger te zijn geworden en
zijn er geen noemenswaardige incidenten meer, maar
persoonlijk komt u haar liever niet alleen tegen
in de fietsenstalling na 17.00 uur.
58

59. 4. Het Personeelsdossier - algemeen
Is het (nog) noodzakelijk….
1. Om de waarschuwing aan uit 2010, ziende op onacceptabel gedrag, in dossier te
hebben?
2. Is dat anders als er zich door de jaren heen
verschillende incidenten ten aanzien van houding en
gedrag zich hebben voorgedaan?
3. En wat doet u met de waarschuwing uit 2005?
59

60. 4. Het Personeelsdossier – verzuim
Wat zijn gezondheidsgegevens? Is een gezondheidsgegeven….
1. …..de melding aan mijn werkgever dat ik als werknemer naar de dermatoloog ben
geweest?
2. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben?
3. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben vanwege
stress?
Mag je als werkgever bij een ziekmelding van de werknemer vragen….
1. ….wanneer hij verwacht weer te kunnen hervatten?
2. ….wat hij denkt wel aan taken te kunnen verrichten ?
60

61. 4. Het Personeelsdossier – verzuim
61
Doeleinde Persoonsgegevens dat mag
worden verwerkt (volgens
AP)
Niet toegestaan Richtlijn
bewaartermijn
De ziekmelding  Het telefoonnummer en
(verpleeg)adres;
 De vermoedelijke duur van
het verzuim;
 De lopende afspraken en
werkzaamheden;
 Of de werknemer onder een
van de vangnetbepalingen
van de Ziektewet valt (maar
niet onder welke
vangnetbepaling hij valt);
 Of de ziekte verband houdt
met een arbeidsongeval;
 Of er sprake is van een
verkeersongeval waarbij een
eventueel aansprakelijke
derde betrokken is
(regresmogelijkheid).
Overig zoals
 de mogelijkheden of
beperkingen van de
werknemer
 de aard en oorzaak
van het verzuim
tenzij vrijwillig
verstrekt én verband
houdend met een
ziekte waarbij het
noodzakelijk kan zijn
dat directe collega’s
in geval van nood
weten hoe te
handelen
(bijvoorbeeld bij
epilepsie of
suikerziekte).
Kortdurend verzuim
Zolang noodzakelijk, doch uiterlijk 2
jaar na einde dienstverband
Langdurig verzuim
Zolang noodzakelijk, doch uiterlijk 2
jaar na de laatste dossier handeling
tenzij blijvende afspraken zijn
gemaakt.
De werkgever die eigen risicodrager
ZW of WGA is  afwijkende
bewaartermijn.

62. 4. Het Personeelsdossier – verzuim
Let op
Dat betekent dus ook dat de
ongevraagd medegedeelde ziekteoorzaak
(maar ook verschijnselen, klachten, etc)
verboden is te verwerken
(toestemming werknemer “telt” niet)
62

63. 4. Het Personeelsdossier – verzuim
63
Ziekteverzuim-
begeleiding/
re-integratie
Persoonsgegevens dat mag
worden verwerkt (volgens AP) Niet toegestaan
Richtlijn
bewaartermijn
Gegevens die de
bedrijfsarts/arbodienst
heeft verstrekt over:
 de werkzaamheden waartoe de
werknemer niet meer of nog wel
in staat is (functionele
beperkingen, restmogelijkheden
en implicaties voor het soort
werk dat de werknemer nog kan
doen);
 de verwachte duur van het
verzuim;
 de mate waarin de werknemer
arbeidsongeschikt is (gebaseerd
op functionele beperkingen,
restmogelijkheden en implicaties
voor het soort werk dat de
werknemer nog kan doen);
 eventuele adviezen over
aanpassingen,
werkvoorzieningen of
interventies die de werkgever
voor de re-integratie moet
treffen.
Alle overige
gezondheidsgegevens
zoals
 de aard en oorzaak van de
ziekte, zoals diagnoses,
benamingen van ziektes
 specifieke klachten of
pijnaandoening
 subjectieve waarnemingen
over de gezondheidstoestand
 gegevens over therapieën en
afspraken met therapeuten
en/of psychologen
 overige situationele
problemen (zoals
relatieproblemen, stress
etc.)
Zolang noodzakelijk, doch
uiterlijk 2 jaar na de laatste
dossier handeling tenzij
blijvende afspraken zijn
gemaakt.
De werkgever die eigen
risicodrager ZW of WGA is
 afwijkende
bewaartermijn.

64. Op de werkvloer
En garde!
Checklist Privacy op de werkvloer
1. Breng de dataprocessen van de verwerking van persoonsgegevens van uw
personeel (werknemers maar ook ingeleenden, tijdelijk, ZZP’ers etc.) in kaart middels een overzicht
2. Bepaal per verwerking of er een verwerkingsgrond is
3. Bepaal per verwerking of deze in lijn is met de verwerkingsbeginselen
4. Alles wat niet in lijn is met stap 2 of 3: verwijder en/of pas aan en schoon daarmee op
5. Zie het eventuele privacy reglement na conform stap 2 en 3 en pas eventueel
aan of stel een nieuw privacyreglement op in lijn met stap 2 en 3
5. Betrek de OR wanneer een nieuw of gewijzigd privacyreglement ingevoerd
wordt (instemmingsrecht)
64

65. Wij houden liever geen afstand
Borrel?