Privacy van de zieke werknemer anno 2017: Beperkingen of mogelijkheden?

Vergelijkbare documenten
Privacy van de zieke werknemer Hoe zit dat?

Privacy van de zieke werknemer anno 2018: Stand van zaken

Beleidsregels De zieke werknemer

Verscherpte interpretatie Autoriteit Persoonsgegevens over het vragen naar arbeidsmogelijkheden van een zieke werknemer door een werkgever

Privacy bij Ziekteverzuim

Taakdelegatie door de bedrijfsarts bij verzuimbegeleiding en reintegratie

Privacyverklaring Arboregionaal

Kansen met beperkingen

Workshop. 23 mei Pascal Willems Advocaat/eigenaar WVO Advocaten

Beleidsregels de zieke werknemer Wat mag wel en niet volgens de rechter?

Scoren met medezeggenschap

Taakdelegatie door de bedrijfsarts bij verzuimbegeleiding en reintegratie

Vragen en antwoorden over gegevensuitwisseling verzekeraars, werkgevers, werknemers en arbodiensten

Privacyreglement BedrijfsartsPlus BV

Privacy Verklaring. Amsterdam, 19 juli 2018 Versie Amstelveenseweg 88 99

PRIVACYREGLEMENT AANDACHT ARBO BV. A. Verwerking persoonsgegevens. Paragraaf 1: Algemene bepalingen

1. Begripsbepaling AVG Algemene verordening gegevensbescherming, of te wel de privacywetgeving. Persoonsgegevens Alle gegevens betreffende een

Whitepaper De zieke werknemer

De nieuwe Arbowet. Urmond, 16 november 2017

Privacyverklaring ArboRegionaal

Privacy Verklaring 2018 Versie 1.0. Onderdeel van

Privacy op de werkvloer. 22 maart 2018 / Emiel de Joode / Marta Stephanian

Privacyreglement 2018 WERKC

Spagaat tussen privacy en duurzame inzetbaarheid

De beleidsregels De Zieke werknemer : een streep door verzuimbegeleiding?

Taakdelegatie: wat, wie en hoe?

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Taakdelegatie. Wanneer delegeert u wel? En wat delegeert u liever niet? Kring NVAB Erwin Gorissen

Arbodiensten en het medisch beroepsgeheim

Privacyreglement Arbobutler

Verzuimprotocol Adopsa Payroll

Taakdelegatie in praktijk. Rick van Buuren Jurgen van der Baan Workshop RNVC Congres 3 oktober 2016

Verzuimprotocol Centrum Arbeid en Mobiliteit B.V.

Privacy. Organisatie voor Vitaliteit, Activering en Loopbaan Nederlandse Vereniging voor Arbeids- en Bedrijfsgeneeskunde

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Overzicht vuistregels

SEMINAR Privacy op de werkvloer: waar ligt de grens?.

Bedrijfsarts - FAQ s Bedrijfsarts of Arboarts? Bedrijfsarts versus Huisarts? Wat mag een werkgever vragen bij ziekmelding?

Second Opinion & casemanagement. VeReFi Zomermarkt 2019

Onderwerp basiscontract

Model voor verzuimprotocol

Privacyreglement Ask Me Now Caremanagement B.V.

DE AVG. privacyregels rondom het begeleiden & beoordelen van arbeidsongeschikte medewerkers.

1. Ziekmelding. 2. Bereikbaarheid

Wettelijke basis van IRIS & PIM

Verzuim & preventieprotocol

Interpolis ZekerVoorJePersoneel

Richtlijnen aanpak verzuim om psychische redenen

Rapport. Rapport over een klacht over het Uitvoeringsinstituut werknemersverzekeringen te Amsterdam. Datum: 5 juni Rapportnummer: 2012/0094

Kennissessie: besparen op uw verzuimkosten. Mei 2017

Privacy statement Immediator

Privacyreglement AMK re-integratie

Privacyreglement PDCU BV

Ziekteverzuimprotocol

Privacyverklaring Absentum Arbo

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

Even vooraf Dit is ons doel Dan maken wij gebruik van uw gegevens Dit is het doel van dit reglement

Privacystatement. Pagina 1 van 8

NVAB Standpunt Taakdelegatie

Definitieve bevindingen in het ambtshalve onderzoek naar Verzuimreductie naar aanleiding van De Verzuimpolitie van Zembla

Model verzuimprotocol

MELDPLICHT DATALEKKEN

Privacyreglement. Versie 2.0 d.d

Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Week 1 t/m % Week 27 t/m 52 90% Week 53 t/m 78 80% Week 79 t/m %

Privacyreglement WIJ 3.0 Versie ; versie 1.4

Privacyreglement Verzuim Expertise Bureau. 1. Inleidende bepalingen

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

WAT TE DOEN BIJ ZIEKTE? VOOR ASSISTANTS. Confidentieel niet dupliceren zonder toestemming van de Directie Versie 11 augustus van 8

Documentnummer Verkorte inhoud document

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Privacyreglement Ask-Me-Now Caremanagement B.V.

Privacy Reglement P&O Verzuim en Advies

Arbozorg en verzuimbegeleiding verrichtingen. versie

Grip Verzuimservice. Versterkt het bedrijfsresultaat

Verzuimprotocol Mei

Re-integratieverplichting zieke ex-werknemers

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

Privacyreglement Picos B.V.

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Whitepaper Privacyregels bij

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Leidraad Samenwerking bedrijfsarts & casemanager. versie 1.0

Privacyreglement. 1. Begripsbepalingen

Model verzuimprotocol

Privacyreglement 2018

De gevolgen van de AVG

Privacyreglement personeelsinformatie gemeente Heerenveen

Privacyreglement 2018

Leidraad Samenwerking bedrijfsarts & casemanager. versie 0.1

INKOMENSADVISEUR EN DE

Privacyreglement 2019 Care for Companies B.V.

Privacyreglement Spoor3 BV

Privacyreglement Stichting Werkcarrousel

Privacystatement. Pagina 1 van 8

Van verzuim naar duurzame inzetbaarheid. Truus van Amerongen Directeur medische zaken ArboNed Dean my-academy Bedrijfsarts

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Privacyreglement Master Arbo Nederland. Maart 2018

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Transcriptie:

Privacy van de zieke werknemer anno 2017: Beperkingen of mogelijkheden? 9 juni 2017 Pascal Willems Advocaat/eigenaar WVO Advocaten 1

2

Een werkgever moet, zonder tussenkomst van een bedrijfsarts, met een zieke werknemer kunnen bespreken en vastleggen welke arbeidsbeperkingen hij/zij heeft. 3

Een werkgever moet, zonder tussenkomst van een bedrijfsarts, met een zieke werknemer kunnen bespreken en vastleggen welke arbeidstaken hij/zij nog kan doen. 4

Een werkgever moet, zonder tussenkomst van een bedrijfsarts, met werknemer die zich niet ziek gemeld heeft, kunnen bespreken en vastleggen welke arbeidstaken hij/zij nog kan doen. 5

Een werkgever moet de mogelijkheid hebben om, zonder tussenkomst van de bedrijfsarts of arbodienst, het percentage aan arbeidsongeschiktheid in het verzuimsysteem vast te leggen. 6

Een werknemer kan, vanwege afhankelijkheidsrelatie ten op zichte van de werkgever, geen vrijwillige toestemming geven om bepaalde gezondsheidsgegevens te verwerken. 7

8

EVRM Richtlijn 95/46/EG Grondwet Wbp 9

Gecompliceerd speelveld 7:610 ev BW / arbeidsrecht Grondwet CAO s Europees recht Tuchtrecht Wet Bescherming Persoonsgegevens / privacy Arbowet WIA/ZW Beleidsregels / uitvoeringsregels WGBO Richtlijnen 10

Kernbegrippen: Verantwoordelijke: degene die het doel en de middelen van de gegevensverwerking bepaalt. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Betrokkene: degene wiens persoonsgegevens worden verwerkt. Verwerking: Elke handeling met betrekking tot persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, uitwisselen en vernietigen. 11

Werknemer Werkgever Arbodienst/bedrijfs arts 12

Wat er aan vooraf ging : - 2008: De zieke werknemer en privacy, opgesteld in opdracht van College Bescherming Persoonsgegevens, in combinatie met regelgeving vanuit NVAB/KNMG etc. 13

14

Wat er aan vooraf ging : - 23 maart 2012: Zembla zendt De Verzuimpolitie uit ondergang Verzuimreductie. - 1 januari 2016: Cbp wordt AP. - 3 maart 2016: Onderzoeksrapport Definitieve Bevindingen Abrona: Onderzoek naar de verwerking van gegevens over de gezondheid van werknemers van Abrona waarin een aantal overtredingen door werkgever Abrona benoemd worden. - 21 april 2016: Introductie Beleidsregels: De zieke werknemer door AP - 15 december 2016: Uitspraak kort geding Abrona-zaak. - 7 maart 2017: Beslissing op bezwaar Abrona-zaak 15

Even kennis maken: Autoriteit Persoonsgegevens: De taken van de Autoriteit Persoonsgegevens zijn: toezicht, advisering, voorlichting, informatieverstrekking & verantwoording en internationale taken. (bron: website AP en jaarverslag 2015) 16

Wat zijn de risico s? AP kan boete opleggen indien overtreding plaatsvindt van maximaal 820.000,00 ( 900.000,00 voor Telecombedrijven) AP moet wel eerst bindende aanwijzing geven alvorens boete kan worden opgelegd. Indien maximale boete niet voldoende impact heeft kan boete van maximaal 10% van de jaaromzet opgelegd worden. Naast boete kan AP ook last onder dwangsom opleggen 17

18

Wettelijk kader: Gegevensverwerking moet grondslag hebben en doelmatig zijn. Daarnaast ook noodzakelijk en proportioneel. Artikel 16 Wbp: Het verwerken van bijzondere persoonsgegevens (o.a. gezondheidsgegevens) is verboden tenzij. Artikel 21 Wbp:.. de verwerking geschiedt door: (f) bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor: 1. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene of 2. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. Artikel 23 Wbp: Het verbod op verwerken van bijzondere persoonsgegevens is niet van toepassing voor zover: a. dit geschiedt met uitdrukkelijke toestemming van de betrokkene; b. de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; 19

Wat zijn gezondheidsgegevens? - Diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen - Eigen subjectieve waarnemingen zowel over geestelijke als lichamelijke gezondheidstoestand; - Gegevens over therapieën afspraken met artsen, fysiotherapeuten, psychologen etc - Overige situationele problemen zoals relatieproblemen, problemen uit het verleden, verhuizingen, overlijden partner, echtscheidingen etc. 20

Wat mag een werkgever vragen/verwerken igv een zieke werknemer? Een werkgever mag, in geval van een ziekmelding vragen naar: - Telefoonnummer en verpleegadres - De vermoedelijke duur van het verzuim - De lopende afspraken en werkzaamheden - Of de werknemer onder een ZW vangnet valt - Of de ziekmelding verband houdt met een arbeidsongeval - Of er sprake is van een verkeersongeval met regresmogelijkheid 21

Wat mag een werkgever niet? - Al het overige! - De werkgever mag dus niet naar de aard en oorzaak of de beperkingen van de werknemer vragen of gezondheidsgegevens verwerken tenzij deze afkomstig zijn van de bedrijfsarts of arbodienst en de werkgever deze informatie nodig heeft vanwege de re-integratie of loondoorbetaling. - Werkgever mag wel een luisterend oor bieden. Echter, wanneer de werknemer zelf iets vertelt over zijn gezondheid, dan mag de werkgever dit niet verwerken. - Alleen de arbodienst of bedrijfsarts mag gezondheidsgegevens uitvragen bij werknemer en deze vervolgens verwerken. - De bedrijfsarts mag daarna de beperkingen wel aan de werkgever doorgeven aan de werkgever maar alleen die gegevens die hij nodig heeft voor de verzuimbegeleiding en de loondoorbetaling (noodzakelijkheidsvereiste). 22

Wat mag een bedrijfsarts aan de werkgever terugkoppelen? de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen); de verwachte duur van het verzuim; de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen); eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen. Met name tijdens kort verzuim (<6 weken) zijn de mogelijkheden van de werkgever, zonder tussenkomst van een bedrijfsarts, beperkt. 23

Wat mag een bedrijfsarts niet aan de werkgever terugkoppelen? 24

E-mail van NVAB aan leden d.d. 1 december 2016 Of is er toch ruimte..? Het gaat de AP vooral om twee belangrijke pijlers van de privacyregelgeving: 1. Het geheimhouden van medische gegevens 2. Het zonder dwang of drang kunnen spreken (of zwijgen) door zieke werknemers over privacygevoelige onderwerpen Zo mag een werkgever niet vragen naar arbeidsbeperkingen omdat daarmee te gemakkelijk medische gegevens zijn te achterhalen. Datzelfde geldt voor het vragen naar arbeidsmogelijkheden, want dat is het complement van de arbeidsbeperkingen. Ook mag de werkgever niet zelf uit het verhaal van de werknemer opmaken welk werk de werknemer dan eventueel zou kunnen doen, want dat komt neer op een interpretatie van beperkingen en/of mogelijkheden. Deze interpretatie (beoordeling) is juist voorbehouden aan de bedrijfsarts. 25

E-mail van NVAB aan leden d.d. 1 december 2016 (vervolg) Volgens de AP moeten werkgever en werknemer nadrukkelijk wel (zonder dwang of drang) een gesprek kunnen blijven voeren over de specifieke arbeidstaken of deeltaken die een zieke werknemer denkt te kunnen doen. Daarvoor moet de werknemer in alle vrijheid kunnen aangeven welke (deel)taken van zijn eigen of eventueel ander werk hij nog denkt te kunnen doen. Bij voorkeur geeft een werknemer dat zelf spontaan aan, en niet in reactie op een vragenvuur van de werkgever. Werkgever en werknemer zouden samen een sfeer moeten creëren waarin zo n gesprek kan plaatsvinden, bijvoorbeeld door de verwachtingen over en weer vast te leggen in het verzuimreglement. Zo kunnen werkgever en werknemer op een volwassen manier zelf de door de WVP voorgeschreven re-integratiestappen bespreken; zonder standaard tussenkomst van de bedrijfsarts en zonder schending van de rechten van de werknemers. 26

27

Voorzieningenrechter Midden Nederland, 15 december 2016, ECLI:NL:RBMNE:2016:6795 Wat wordt Abrona verweten? Bij een ziekmelding (verzuimverlof) van een werknemer wordt door de betreffende leidinggevende wordt om aan te geven welke werkzaamheden hij of zij nog wel kan doen. De leidinggevende stelt daarvoor aan de zieke werknemer een aantal vragen om te beoordelen of aangepast of vervangend werk mogelijk is en welke werkzaamheden het herstel van de werknemer kunnen bevorderen. Indien een werknemer nog bepaalde taken of uren kan werken, stellen werkgever en werknemer samen vast welk percentage de werknemer nog arbeidsgeschikt is. Na dit overleg legt de leidinggevende dit percentage vast in het verzuimsysteem. De bedrijfsarts wordt pas ingeschakeld indien het verzuim langdurig dreigt te worden. 28

Voorzieningenrechter Midden Nederland, 15 december 2016, ECLI:NL:RBMNE:2016:6795 Schept de rechter duidelijkheid? Naar het oordeel van de voorzieningenrechter is het ziektepercentage of beschikbaarheidspercentage zoals verzoekster het noemt, van een werknemer aan te merken als een gezondheidsgegeven in de zin van voornoemd artikel. Het percentage legt immers een relatie met de gezondheid van de werknemer, omdat het uitdrukt in welke mate de werknemer belastbaar of ziek is. ( ) Uitgaande van deze ruime uitleg van het begrip gezondheidsgegevens heeft verweerder (AP) gelet ook op zijn taak en expertise op het gebied van het verwerken van persoonsgegevens, zich terecht op het standpunt gesteld dat het registreren van het ziektepercentage van een werknemer een gegeven betreffende zijn of haar gezondheid betreft en daarmee als een bijzonder persoonsgegeven valt onder het verbod van artikel 16 van de Wbp. 29

Voorzieningenrechter Midden Nederland, 15 december 2016, ECLI:NL:RBMNE:2016:6795 Gelet hierop acht de voorzieningenrechter het standpunt van verweerder dat ook bij kortdurend verzuim het vaststellen van het ziekte- dan wel aanwezigheidspercentage, dat wil zeggen hoeveel tijd een ziek werknemer kan werken, uitsluitend door een bedrijfsarts mag worden bepaald, dan ook juist. De werkgever mag de ziekmelding van zijn werknemer wel registreren, maar het is vervolgens aan de bedrijfsarts om een oordeel te geven over de inzetbaarheid van de werknemer. Die beoordeling mag verzoekster niet zelf doen. ( ) Het staat verzoekster vrij om ten aanzien van een werknemer met een sportblessure die zich niet ziek heeft gemeld, buiten het ziekteverzuimregistratiesysteem om, zonder vermelding van de reden wel vast te leggen dat die werknemer i) een periode aangepaste werkzaamheden verricht of ii) minder of tijdelijk niet werkt, bijvoorbeeld omdat een medewerker onbetaald gedeeltelijk verlof heeft als een naaste op sterven ligt of omdat de werknemer een tijdelijke piekbelasting heeft in verband met mantelzorg voor een derde. In die gevallen houdt de vastlegging van de inzetbaarheid van de werknemer geen verband met de ziekte van de werknemer. 30

Alternatief: Vrijwillig verstrekking gegevens aan werkgever? Wat zeggen de Beleidsregels? 4.7. Vrijwillig verstrekte gegevens over aard en oorzaak van de ziekte De werkgever mag, met uitzondering van bovenstaande gegevens, in principe geen andere gegevens over de gezondheid van de werknemer in zijn eigen administratie registreren en/of doorgeven aan de bedrijfsarts/arbodienst. Ook niet als deze gegevens vrijwillig door de werknemer zijn verstrekt. Het noodzakelijkheidsvereiste geldt namelijk ook wanneer gegevens over de gezondheid vrijwillig aan de werkgever zijn verstrekt. In een enkel geval kan het echter wel noodzakelijk zijn om vrijwillig verstrekte gegevens over de gezondheid in de administratie op te nemen, bijvoorbeeld als een werknemer in ernstige mate last heeft van suikerziekte of epilepsie en dit zelf of via de bedrijfsarts heeft aangegeven bij de werkgever. Het kan dan noodzakelijk zijn dat de directe collega s van de zieke werknemer op de hoogte zijn van de ziekte en wat zij in geval van nood moeten doen. 31

vervolg: Voorzieningenrechter Midden Nederland, 15 december 2016, ECLI:NL:RBMNE:2016:6795 Dat de werknemer zelf zijn mate van beschikbaarheid aan de werkgever doorgeeft, betekent niet dat hij daarmee ook uitdrukkelijk zijn of haar toestemming heeft gegeven voor de registratie daarvan in het verzuimsysteem als bedoeld in artikel 23, eerste lid, onder a, van de Wbp. Gelet op de definitie van het begrip toestemming van de betrokkene in artikel 1, aanhef en onder i, Wbp en de toelichting daarop moet het gaan om een vrije, expliciet gegeven toestemming die de werknemer slechts kan geven als hij vooraf is ingelicht over het doel, de inhoud en de mogelijke consequenties van de gegevensverwerking. Daarbij heeft verweerder terecht betrokken, naar hiervoor is geoordeeld, dat verzoekster zonder tussenkomst van de bedrijfsarts het ziektepercentage van haar werknemers niet mag vaststellen en vastleggen. Van een rechtsgeldige toestemming kan dan ook geen sprake zijn als de werknemer onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot zijn leidinggevende, tot toestemming is overgegaan. 32

Beslissing op bezwaar Abrona-zaak, 7 maart 2017 (p.8) Met de voorzieningenrechter meent de AP dat het in dit kader moet gaan om een vrije, expliciet gegeven toestemming die de werknemer slechts kan geven als hij vooraf is ingelicht over het doel, de inhoud en de mogelijke consequenties van de gegevensverwerking (voornoemde uitspraak van 15 december 2016, overweging 12). In dit geval kan naar het oordeel van de AP geen sprake zijn van een dergelijke vrij gegeven toestemming. Deze conclusie houdt verband met de relatie van de werknemer en de werkgever, die naar zijn aard wordt gekenmerkt door afhankelijkheid. Als gevolg daarvan kan een werknemer in beginsel geen vrije toestemming geven. Het onthouden of intrekken van toestemming door de werknemer voor het verwerken van persoonsgegevens kan immers nadelige gevolgen hebben voor zijn loopbaan. Wat vindt u? 33

Hoe omgaan met.. Verwerking van BSN nummers in verzuimsystemen: Brief van AP aan Oval d.d. 2 december 2016 34

35

En het open spreekuur dan? 36

37

Aandachtspunten tbv verzuimsystemen Verzuimsystemen dienen te voldoen aan concrete beveiligingseisen (artikel 13 Wbp): Als het systeem ontsloten wordt via internet, dan moet toegang tot het systeem met ten minste tweefactorauthenticatie verkregen worden (bijvoorbeeld token en wachtwoord). Beveiligingsrisico s dienen periodiek in kaart te worden gebracht, bijvoorbeeld door penetratietesten en/of securityscans Tevens dienen passende organisatorische en/of technische maatregelen getroffen te worden om beveiligingsrisico s te beperken/voorkomen. Autorisatie van gebruikers moet worden ingesteld dat alleen die personen toegang hebben tot gezondheidsgegevens die dat ook mogen indien/verwerken. De beheerder van systemen mag de persoonsgegevens die er in zitten niet gebruiken voor testdoeleinden. De werkgever mag bij een ziekmelding alleen de gegevens opnemen in het systeem die de AP toestaat (dus ook geen meerkeuze opties of vrije invoervelden). Het moet voor de werkgever onmogelijk zijn om rapporten uit te draaien waarin medische persoonsgegevens staan die hij niet mag verwerkn Als een (zelfstandige) bedrijfsarts in opdracht van een werkgever de verzuimbegeleiding uitvoert, moet het medisch gedeelte volledig afgesloten zijn van de werkgever, dus ook niet via de systeembeheerder van de werkgever. De werkgever mag zelf geen inlogcodes uitgeven voor toegang tot medische gegevens. 38

Aandachtspunten tbv verzuimsystemen De verantwoordelijke: Dient toe te zien om de naleving van de beveiligingseisen, inclusief controle op de verwerking van gezondheidsgegevens in het niet-medisch deel; Dient bewerkersovereenkomsten te sluiten met bewerkers (bijvoorbeeld in de overeenkomsten van opdracht/inleenovereenkomst); Dient de melding van datalekken te coördineren; Loopt het risico op boetes en schadevergoedingen in geval van overtreding van de relevante (privacy) wetgeving; 39

Wie is dan de verantwoordelijke? De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. Relevante factoren: - Wie bepaalt welke gegevens worden verwerkt? - Wie bepaalt welke informatie met de werkgever wordt gedeeld? - Wie bepaalt welk verzuimsysteem gebruikt wordt? - Wie bepaalt hoe het verzuimsysteem wordt ingericht en op welke manier er in gewerkt wordt? - Nb: voor het medische deel van het verzuimsysteem kan alleen de bedrijfsarts/gecertificeerde arbodienst verantwoordelijke zijn! 40

Voorbeelden: Onderzoek Humanet, 2 juni 2015 Abrona-rapport, 3 maart 2016 41

Voorbeelden: Onderzoek Verzuimreductie, 3 juli 2012 42

Conclusie: - De bedrijfsarts dient, als verantwoordelijke voor het medisch gedeelte van het systeem, altijd een bewerkersovereenkomst te sluiten als hij/zij gebruik maakt van een verzuimsysteem dat beheert wordt op een externe server. - Indien een bedrijfsarts in het kader van de verzuimbegeleiding een verplicht verzuimsysteem mee verkoopt of aanbiedt, dan is de kans dat de bedrijfsarts verantwoordelijke is voor het niet-medisch gedeelte ook groter bewerkersovereenkomst met werkgever. - Een bedrijfsarts mag het medisch dossier niet aanleggen in een verzuimsysteem dat volledig beheerd wordt door de werkgever. - Let op bij overdracht van (medische) dossiers bij opvolgende bedrijfsartsen. 43

Hoe omgaan met. Taakdelegatie De bedrijfsarts draagt taken binnen diens eigen deskundigheid op aan anderen. De bedrijfsarts blijft (eind)verantwoordelijk voor deze taken. Wettelijke basis: artikel 36 en 38 wet BIG en artikel 7:457 BW (WBGO) Een waarnemer van de bedrijfsarts heeft, net als de bedrijfsarts zelf, volledige toegang tot het medisch dossier. Voor alle overige personen dient de toegang beperkt te zijn. 44

Voorwaarden aan taakdelegatie volgens AP: 1. De gedelegeerde is voldoende opgeleid en bekwaam. 2. De bedrijfsarts heeft de kennis en vaardigheden van de gedelegeerde getoetst 3. Er zijn functiegerichte protocollen. 4. De gedelegeerde moet altijd de bedrijfsarts kunnen raadplegen. 5. In individuele gevallen kunnen de grenzen van de delegatie in werkafspraken worden vastgelegd. 6. Er is structureel persoonlijk overleg tussen de gedelegeerde en de bedrijfsarts. 7. Overleg, toetsing en overname door de bedrijfsarts is altijd mogelijk. 8. De werknemer is begrijpelijk ingelicht over de taakdelegatie en de mogelijkheid om altijd de bedrijfsarts te consulteren. 9. Bij taakdelegatie aan een niet-big geregistreerde is er sprake van een opdracht zonder eigen beslisruimte. Bij taakdelegatie aan een BIG-geregistreerde is sprake van beslis- en interpretatieruimte binnen de grenzen van diens interpretatieruimte. Zie ook: NVAB Leidraad Casemanagement bij verzuimbegeleiding NVAB Leidraad Samenwerking bedrijfsarts en casemanagement 45

Wat betekent taakdelegatie voor de privacy? De gedelegeerde voert taken van de bedrijfsarts uit onder dienst instructie, begeleiding en verantwoordelijkheid, dus onder diens (persoonlijk) beroepsgeheim; De gedelegeerde mag alleen beschikken over die informatie die hij/zij nodig heeft voor de taak die aan hem/haar is gedelegeerd let op inrichting dossier etc. De gedelegeerde mag ook alleen die informatie met de werkgever uitwisselen die de bedrijfsarts mag uitwisselen noodzakelijk, legitiem, proportioneel Gedelegeerde die de actieve verzuimbegeleiding als taak heeft, mag alleen toegang tot de informatie hebben die daarvoor nodig is. Gedelegeerde die faciliterende en coördinerende taken heeft mag alleen informatie verwerken die daarvoor nodig is. geen medisch inhoudelijk maar wel bijvoorbeeld bezoeken aan een behandelaar. Mogen activiteiten voor de verzuimbegeleiding en taakdelegatie door dezelfde persoon worden uitgevoerd? 46

Wat betekent dit voor de samenwerking met andere arbodienstverleners? Professionals met een eigen afgebakend inhoudelijk werkgebied, zoals bedrijfsmaatschappelijk werkers, arbeidsdeskundigen etc vallen voor hun eigen taken/deskundigheid niet onder de taakdelegatie: Zij mogen niet-medische gegevens ontvangen die zij nodig hebben voor hun taak Medische gegevens mogen zij alleen ontvangen met gerichte toestemming van de werknemer of voor zover noodzakelijk voor diens taak (bijv re-integratiebedrijven) Andere collega s binnen een arbodiensten hebben ook geen toegang tot het medisch dossier, tenzij zij werken binnen hetzelfde behandelteam! Casemanagers van de arbodienst die ingehuurd worden door de werkgever worden privacy-technisch beschouwd als medewerkers van de werkgever. 47

Eenduidigheid en Duidelijkheid? Of toch niet? NVAB, Leidraad Casemanagement bij Ziekteverzuimbegeleiding, juni 2013 48

VRAGEN? 49

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback