Ziekmelding en AVG: Welke vragen mogen werkgevers wel en welke mogen ze niet stellen? En wat mag er geregistreerd worden?

De Autoriteit Persoonsgegevens (AP) heeft in 2016 strenge nieuwe richtlijnen gepubliceerd over registratie van ziekteverzuim.

Die regels blijken in de praktijk zo lastig toepasbaar dat het ministerie van SZW besloten heeft met een toelichting te komen.

Het ministerie poogt met een document meer duidelijkheid te bieden over welke vragen werkgevers volgens de privacyregels van de AVG wel en niet mogen stellen aan zieke werknemers, en wat wel en niet geregistreerd mag worden.

De toelichting heeft betrekking op de periode van de ziekmelding tot het eerste advies van de bedrijfsarts.

Verwerken van gegevens bij ziekmelding

Werkgevers mogen volgens de Algemene verordening gegevensbescherming (AVG) slechts beperkt gegevens vragen en verwerken van een werknemer in het kader van een ziekmelding of re- integratieproces.

In de beleidsregels ‘De zieke werknemer’ (1) heeft de Autoriteit Persoonsgegevens beschreven welke gegevens dat zijn: de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen.

In dat kader mag de werkgever (2) de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen (3) van de werknemer.

Het is in het belang van de werknemer om zijn werkgever bij de ziekmelding te melden dat hij door ongeschiktheid ten gevolge van ziekte niet in staat is om zijn normale werkzaamheden4 te verrichten.

De werkgever mag bij de ziekmelding vragen naar de vermoedelijke duur van het verzuim.

Terugkeer naar werk

De werkgever en de werknemer kunnen het gesprek aangaan over de manier waarop de terugkeer naar werk invulling kan krijgen. Daarbij kan de werknemer zelf aangeven of hij bepaalde (deel)taken, (deel)functies of werkzaamheden nog wel kan verrichten.

Goed werknemerschap (5) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.

De werkgever mag hier echter geen druk op uitoefenen en hier niet naar vragen.

Zo nodig kan hij de bedrijfsarts vragen welke (deel)taken, (deel)functies of werkzaamheden de werknemer nog wel kan verrichten.

Werkafspraken

Van het gesprek tussen werkgever en werknemer mag worden vastgelegd welke werkafspraken zijn gemaakt in de zin van uit te voeren taken of werkzaamheden.

Als er op initiatief van de werknemer eventueel gesproken is over functionele mogelijkheden en beperkingen of een diagnose of behandeling, dan worden die gegevens niet geregistreerd door de werkgever.

De werkgever kan de functionele mogelijkheden en beperkingen die door de bedrijfsarts zijn vastgesteld en gedeeld met werknemer en werkgever wel registreren.

Als de omstandigheden daar aanleiding toe geven, kan zowel de werkgever als de werknemer de bedrijfsarts inschakelen in een eerder stadium dan de wettelijke voorgeschreven termijn van maximaal zes weken na de ziekmelding.

Toelichting

(1 ) De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens, z2015-00774 – 23 februari 2016.

(2) En aan de werkgever gelijk te stellen functionarissen zoals casemanagers.
(3) Bijvoorbeeld: ‘hoeveel kun je nog tillen’; ‘kun je op je knieën zitten’; ‘hoe lang kun je geconcentreerd werken’; ‘is hectiek op de afdeling een probleem’; ‘kun je in een groep werken’.

(4) Hiermee wordt bedoeld “de bedongen arbeid”: in arbeidsrechtelijke zin de overeengekomen arbeidsduur en de overeengekomen inhoudelijke werkzaamheden die de werknemer verricht op grond van de arbeidsovereenkomst.

(5) Artikel 7:611 BW

Meer actueel awareness nieuws

Welke gegevens mogen op basis van de AVG nog in een personeelsdossier worden opgenomen?

Hoe zou een goed personeelsdossier er volgens de Algemene Verordening Gegevensbescherming (AVG) er moeten uitzien? Die vraag wordt vaak gesteld. Logisch, want personeelsdossiers bevatten veel persoonsgegevens.

Bij controle op basis van de AVG blijkt dat er vaak te veel gegevens worden bewaard en ook gegevens die werkgevers niet zouden mogen hebben.

Wat mag wel en wat mag niet?

De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.

In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren.

Inhoud goed personeelsdossier

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over een werknemer kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.

Sommige gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.

De Algemene verordening gegevensbescherming stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een klein aantal mensen toegang heeft tot het personeelsdossier.

 

De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:

  • klachten;
  • waarschuwingen;
  • verzuimfrequentie (hoe vaak een werknemer er niet is);
  • verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
  • een kopie van het identiteitsbewijs;
  • het burgerservicenummer (BSN);
  • persoonlijke werkaantekeningen van de leidinggevende.

Medische gegevens mag de werkgever in principe niet opnemen in het personeelsdossier.

De AVG verplicht organisaties om beveiligingsmaatregelen tectreffen voor een digitaal personeelsdossier. Als het dossier ook toegankelijk is via internet is het bijvoorbeeld verplicht om een firewall te gebruiken. Bijvoorbeeld als werknemers online hun personeelsdossier in kunnen zien.

 

Hoe lang bewaren?

De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren. Zo moet hij gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is.

Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.

Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd.

Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.

 

Voorbeelden van dit soort gegevens zijn: verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.

Langer bewaren

De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict is (geweest) of als er een rechtszaak loopt.

 

 

Meer actueel awareness nieuws

SAP verbetert software voor hr-managers om te helpen te voldoen aan privacywet

Softwareleverancier SAP lanceert nieuwe beveiligingsopties en privacyfuncties voor de hcm-suite hcm-suite Succesfactors. De nieuwe opties moeten hr-managers helpen om eenvoudiger maken te voldoen aan de GDPR (General Data Protection Regulation) die op 25 mei 2018 ingaat.

De nieuwe functies in SAP Succesfactors dragen bij aan een zorgvuldige omgang met persoonsgegevens, van bijvoorbeeld (ex-)medewerkers en klanten,  en een betere governance.

De nieuwe functies die SAP heeft toegevoegd:

Toestemmingsbeheer: Expliciete toestemming van de betrokkene is een van de grondslagen waarop een organisatie persoonsgegevens mag verwerken. Deze functie helpt organisaties bij het instellen, beheren en accepteren van toestemmingsverklaringen. Zo kunnen recruiters verklaringen opstellen in alle talen die relevant zijn voor het bedrijf en waarborgen dat kandidaten toestemming geven voordat ze solliciteren op een functie’, aldus SAP.

Blokkeren data: Met deze functie kan de toegang tot persoonsgegevens worden beperkt en een termijn worden ingesteld, waarbij niet elke gebruiker dezelfde rechten heeft. Een voorbeeld: een medewerker van de hr-servicedesk hoeft misschien alleen gegevens van medewerkers uit het afgelopen jaar te bekijken, terwijl een hr-systeembeheerder de volledige geschiedenis van een werknemer moet kunnen inzien.

“Organisaties slaan allerlei gegevens op over werknemers en externe kandidaten”, legt SAP uit. “Van namen en adressen tot beoordelingen en informatie over hun gezondheid. Deze functie genereert een rapportage van alle persoonsgegevens van een individu in de SAP Successfactors-oplossingen. Dit is in lijn met recht op inzage: betrokkenen moeten kunnen achterhalen welke persoonsgegevens van hen worden verwerkt.”

Dataverwijdering: Als organisaties persoonsgegevens langer dan noodzakelijk bewaren, lopen ze een verhoogd risico op wetsovertredingen en datalekken. Onder de GDPR moeten persoonsgegevens permanent worden verwijderd als er geen juridische grondslag meer is om ze te bewaren. Klanten kunnen met deze functie bewaartermijnen in specifieke landen of branches definiëren en de data permanent wissen als deze termijnen aflopen.

Meer actueel awareness nieuws