Privacy Nieuws
Assessment-platform BrainCompass heeft na een onderzoek van de Autoriteit Persoonsgegevens (AP) zijn werkwijze drastisch moeten aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Het assessmentbureau verwerkt niet langer persoonsgegevens over ras en gezondheid. Dat gebeurde wel, bleek uit onderzoek van de AP. Het verwerken van deze bijzondere gegevens is in strijd met de privacywet.
Toestemming deelnemers aasesment niet op juiste manier verkregen
De Autoriteit Persoonsgegevens concludeerde in 2017 dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens.
Ook het beveiligingsbeleid van persoonsgegevens was niet op orde.
BrainCompass heeft verbeteringen doorgevoerd, zodat de overtredingen nu zijn beëindigd.
Assessment op basis van DNA
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.
De AP besloot een onderzoek in te stellen nadat er signalen waren opgevangen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.
Verbetermaatregelen
Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming.
BrainCompass heeft nu waarborgen ingebouwd waardoor de toestemming aan BrainCompass voldoende vrij is.
Zo is er een raamovereenkomst opgesteld voor de werkgever, deelt BrainCompass geen informatie over de deelnemer met de werkgever en worden de assessments niet meer in groepssessies afgenomen.
Geen bijzondere gegevens meer nodig voor assessment bij BrainCompass
Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en worden klanten nu op de juiste manier geïnformeerd bij het vragen om toestemming.
Daarnaast heeft BrainCompass een beveiligingsbeleid opgesteld.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft in 2016 strenge nieuwe richtlijnen gepubliceerd over registratie van ziekteverzuim.
Die regels blijken in de praktijk zo lastig toepasbaar dat het ministerie van SZW besloten heeft met een toelichting te komen.
Het ministerie poogt met een document meer duidelijkheid te bieden over welke vragen werkgevers volgens de privacyregels van de AVG wel en niet mogen stellen aan zieke werknemers, en wat wel en niet geregistreerd mag worden.
De toelichting heeft betrekking op de periode van de ziekmelding tot het eerste advies van de bedrijfsarts.
Verwerken van gegevens bij ziekmelding
Werkgevers mogen volgens de Algemene verordening gegevensbescherming (AVG) slechts beperkt gegevens vragen en verwerken van een werknemer in het kader van een ziekmelding of re- integratieproces.
In de beleidsregels ‘De zieke werknemer’ (1) heeft de Autoriteit Persoonsgegevens beschreven welke gegevens dat zijn: de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen.
In dat kader mag de werkgever (2) de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen (3) van de werknemer.
Het is in het belang van de werknemer om zijn werkgever bij de ziekmelding te melden dat hij door ongeschiktheid ten gevolge van ziekte niet in staat is om zijn normale werkzaamheden4 te verrichten.
De werkgever mag bij de ziekmelding vragen naar de vermoedelijke duur van het verzuim.
Terugkeer naar werk
De werkgever en de werknemer kunnen het gesprek aangaan over de manier waarop de terugkeer naar werk invulling kan krijgen. Daarbij kan de werknemer zelf aangeven of hij bepaalde (deel)taken, (deel)functies of werkzaamheden nog wel kan verrichten.
Goed werknemerschap (5) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.
De werkgever mag hier echter geen druk op uitoefenen en hier niet naar vragen.
Zo nodig kan hij de bedrijfsarts vragen welke (deel)taken, (deel)functies of werkzaamheden de werknemer nog wel kan verrichten.
Werkafspraken
Van het gesprek tussen werkgever en werknemer mag worden vastgelegd welke werkafspraken zijn gemaakt in de zin van uit te voeren taken of werkzaamheden.
Als er op initiatief van de werknemer eventueel gesproken is over functionele mogelijkheden en beperkingen of een diagnose of behandeling, dan worden die gegevens niet geregistreerd door de werkgever.
De werkgever kan de functionele mogelijkheden en beperkingen die door de bedrijfsarts zijn vastgesteld en gedeeld met werknemer en werkgever wel registreren.
Als de omstandigheden daar aanleiding toe geven, kan zowel de werkgever als de werknemer de bedrijfsarts inschakelen in een eerder stadium dan de wettelijke voorgeschreven termijn van maximaal zes weken na de ziekmelding.
Toelichting
(1 ) De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens, z2015-00774 – 23 februari 2016.
(2) En aan de werkgever gelijk te stellen functionarissen zoals casemanagers.
(3) Bijvoorbeeld: ‘hoeveel kun je nog tillen’; ‘kun je op je knieën zitten’; ‘hoe lang kun je geconcentreerd werken’; ‘is hectiek op de afdeling een probleem’; ‘kun je in een groep werken’.
(4) Hiermee wordt bedoeld “de bedongen arbeid”: in arbeidsrechtelijke zin de overeengekomen arbeidsduur en de overeengekomen inhoudelijke werkzaamheden die de werknemer verricht op grond van de arbeidsovereenkomst.
(5) Artikel 7:611 BW