Privacy geboeid of geboeid? #4: Welke persoonsgegevens zijn er?

Privacy gaat over de bescherming van persoonsgegevens. Deze gegevens zijn er in alle soorten en vormen. In dit blog zal ik wat theorie behandelen. Ik vertel u welke persoonsgegevens er zijn en zal zes misverstanden over bijzondere persoonsgegevens ophelderen.

Algemene persoonsgegevens mag je niet zomaar verwerken

Grofweg zijn er twee soorten persoonsgegevens te onderscheiden. Algemene persoonsgegevens en bijzondere persoonsgegevens. Algemene persoonsgegevens zijn weinig gevoelige gegevens zoals een naam, telefoonnummer en emailadres. Ook medewerkersgegevens zoals cv, geboortedatum en datum in dienst vallen in deze categorie.  Hoewel ze weinig gevoelig zijn, zijn ze toch beschermd. Beschermd wil zeggen dat je deze gegevens niet zomaar mag verwerken. Verwerken is een breed begrip in de privacywetgeving. Het betekent niet alleen, opslaan en gebruiken maar ook verzamelen, verstrekken, verwijderen, kopiëren en raadplegen. Bedrijven moeten een grondslag hebben om de gegevens te verwerken. Daarnaast moeten ze deze grondslag kunnen aantonen. Particulieren mogen persoonsgegevens wel verwerken.

Bijzondere persoonsgegevens mag je niet verwerken

Dan zijn er nog de bijzondere persoonsgegevens. Denk bijvoorbeeld aan ras, seksuele geaardheid, BSN-nummer of medische gegevens. Deze gegevens zijn extra goed beschermd. Bijzondere persoonsgegevens mogen niet verwerkt worden. Behalve als je, je kunt beroepen op een wettelijke uitzondering.

Wat mag je met medische gegevens?

Bij Assist Verzuim verwerken we medische gegevens. Dit mogen we doen omdat dit noodzakelijk is ‘voor doeleinden van preventieve of (arbeids)geneeskundige aard’. Een van de wettelijke uitzonderingen. Deze wettelijke uitzondering geldt alleen voor de bedrijfsarts. Hij of zij mag medische gegevens verwerken. Deze bijzondere gegevens mogen niet verstrekt worden aan derden. Dit draagt namelijk niet bij aan de bovengenoemde uitzondering.  Voor u als werkgever betekent dit dat u deze gegevens niet onder ogen krijgt. Maar het in plaats daarvan moet doen met een nogal cryptische omschrijving zoals:

‘Meneer heeft klachten aan het bewegingsapparaat. Als gevolg daarvan is hij beperkt ten aanzien van bukken en tillen. De oorzaak is niet arbeidsgerelateerd.’

We merken dat het voor veel mensen onduidelijk is wie er inzage heeft in de medische gegevens. Ook bestaan er misverstanden over de vraag wie deze gegevens mag verzamelen. Tijd om daar iets aan te veranderen!

Zes misverstanden opgehelderd:

1. Een casemanager is geen bedrijfsarts dus mag niet vragen wat de werknemer heeft.
   Dat is niet waar. De bedrijfsarts heeft bepaalde taken gedelegeerd aan de casemanager. Daarom mag hij of zij medische gegevens verzamelen in opdracht en onder verantwoordelijkheid van de bedrijfsarts.
2. Een werknemer moet een casemanager vertellen wat hij heeft.
   Dat is gedeeltelijk waar. De werknemer hoeft alleen de bedrijfsarts te vertellen wat hij heeft. Omdat de casemanagers van Assist Verzuim werken in opdracht en onder verantwoordelijkheid van de bedrijfsarts mogen zij u ook vragen wat u mankeert. En kunt u hierop antwoorden.
3. Een werknemer moet zijn werkgever vertellen wat hij heeft.
   Dat is niet waar. Hij mag zijn werkgever dit vertellen. De werkgever mag deze gegevens niet verwerken in de breedste zin van het woord. Hij mag het dus niet uitvragen, registreren of doorsturen.
4. De huisarts mag oordelen over de arbeids(on)geschiktheid van een zieke werknemer.
   Dat is niet waar. Alleen een bedrijfsarts mag hierover oordelen. De beoordeling van de bedrijfsarts over de arbeids(on)geschiktheid is leidend. Dit biedt houvast voor een werkgever en werknemer en bepaalt bijvoorbeeld de loondoorbetalingsverlichting.
5. Alle medewerkers van Assist Verzuim hebben toegang tot het medisch dossier.
   Dat is niet waar. Slechts een paar mensen hebben toegang tot het medisch dossier. De betreffende bedrijfsarts heeft toegang tot alle medische informatie in het dossier. De casemanager heeft na het tekenen van een verklaring toegang tot het betreffende beperkt medisch dossier. Zo kan hij of zij informatie over de ziekmelding registeren en een terugkoppeling van de bedrijfsarts inzien.
6. De casemanager heeft een kopie van de medische verslaglegging van behandelaars.
   Dat is niet waar. De casemanager heeft geen inzage in de medische verslaglegging door een behandelaar (cardioloog of fysiotherapeut bijvoorbeeld). Deze informatie wordt namelijk rechtstreeks geplaatst in het dossier waar alleen de bedrijfsarts inzage in heeft.

De persoonsgegevens zijn goed beschermd  

De privacy van de zieke werknemer wordt dus goed beschermd door allerhande regelgeving. Ook technisch gezien zijn de medische gegevens bij Assist Verzuim goed beschermd. De opslag ervan voldoet aan de laatste beveiligingseisen. Dat is in elk geval weer een zorg minder.

Vragen over privacy?

Neem contact met me op, abonneer je op de blogreeks (door een email met uw emailadres te sturen naar c.kreijkes@assistverzuim.nl ) of lees meer over privacywetgeving op onze leaflet .