Inleiding

of niet? Hoe verhoudt privacy zich tot de verplichtingen op basis van de Wet verbetering poortwachter (Wvp)5 In alle lidstaten van de Europese Unie is sinds 25 mei en de Regeling Procesgang 1e en 2e ziektejaar6? 2018 de Algemene verordening Gegevensbescherming (AVG)1 rechtstreeks van toepassing. De AVG en de De Autoriteit Persoonsgegevens (AP) geeft in de bijbehorende Uitvoeringswet AVG (UAVG)2 hebben de publicatie ‘De zieke werknemer’ richtlijnen voor de Wet bescherming persoonsgegevens (Wbp) vervangen. voor re-integratie benodigde informatie-uitwisseling. De AVG is onder andere bedoeld om de bescherming Deze richtlijnen blijven ook na invoering van de AVG van natuurlijke personen in verband met de verwerking en de uitvoeringswet AVG van kracht. Net zoals de van hun gegevens te waarborgen. Behalve de AVG AP zijn NVAB en OVAL van mening dat de privacy zijn voor de bedrijfsgezondheidszorg in verband met van de werknemer en het zorgvuldig omgaan met het privacy van de werknemer ook de Wet geneeskundige medisch beroepsgeheim belangrijk zijn. Naleving van behandelingsovereenkomst (WGBO)3 en de Wet wet- en regelgeving hieromtrent is dan ook van belang, beroepen individuele gezondheidszorg (Wet BIG)4 maar in de praktijk is hier regelmatig verwarring over. onverminderd relevant. De in deze wetten beschreven rechten en plichten inzake dossierplicht, patiënten- Hoewel in diverse stukken7 aandacht wordt besteed rechten en beroepsgeheim zijn ook na invoering van aan en regels worden gegeven over het omgaan met de AVG van toepassing. privacygevoelige informatie is er behoefte aan één De AVG en enkele andere wijzigingen noopten tot duidelijke leidraad die het onderwerp privacygevoeherziening van de leidraad Bedrijfsarts en privacy lige (medische) informatie op een praktische wijze (NVAB, BoaBorea; 2011). behandelt, in het bijzonder voor bedrijfsartsen. De Nederlandse Vereniging voor Arbeids- en Bedrijfs- De aandacht voor de privacy van de werknemer en de geneeskunde (NVAB) heeft samen met OVAL deze (on)mogelijkheden van de werkgever in het bijzonder leidraad tot stand gebracht. bij ziekteverzuimbegeleiding zijn flink toegenomen

De AVG in een notendop

sinds de inwerkingtreding van de AVG. De bedrijfsarts wordt geconfronteerd met deze (on)mogelijkheden en (zie voor meer info Deel 2 ’Achtergronddocument-AVG’) is zich nog meer dan voorheen bewust van de grenzen van zijn beroepsgeheim. Met regelmaat rijzen er vragen De AVG zorgt onder meer voor: over wat wel en wat niet geoorloofd is wanneer het • versterking en uitbreiding van privacyrechten bijzondere persoonsgegevens betreft. Voor de bedrijfsvan betrokkenen; arts en ook voor de werkgever (leidinggevende en/of • meer verantwoordelijkheden voor organisaties; personeelsfunctionaris en/of andere vertegenwoor- • stevige bevoegdheden voor de toezichthouder. digers) en de werknemer is niet altijd duidelijk welke informatie wanneer mag worden uitgewisseld en met De AVG geldt in alle landen van de Europese Unie. wie. Andere vragen die spelen zijn bijvoorbeeld: Lidstaten hebben de mogelijkheid om ten aanzien van maakt het verschil of de betrokken medewerker ziek is bepaalde onderwerpen specifieke bepalingen in de

1

2

3

4

5

6

7

• KNMG-richtlijn Omgaan met medische gegevens, (KNMG, mei 2018)

• De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers (AP, 2016)

• De inrichting van bedrijfsgeneeskundige dossiers (KNMG, 2008)

• Code gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (KNMG, dec. 2007)

nationale wetgeving op te nemen. In Nederland zijn wordt uitgewerkt hoe de bedrijfsarts dient om te gaan die opgenomen in de Uitvoeringswet Algemene verormet privacygevoelige informatie, in het bijzonder met dening gegevensbescherming (UAVG). medische persoonsgegevens. Tevens wordt aandacht besteed aan een aantal bijzondere situaties. Op hoofdlijnen zijn er twee thema’s te onderscheiden, namelijk de privacyrechten van het individu (de betrok- In deel 2 vindt u juridische achtergrondinformatie met kene) inzake de verwerking van zijn persoonsgegevens een beknopte uitleg over de meest relevante elemenen de plichten voor organisaties die persoonsgegevens ten van de AVG. verwerken. Voor zover het gaat om de gegevensver- Een begrippenlijst vindt u in bijlage 1. werking zelf zijn er slechts een paar nieuwe items. Het recht op dataportabiliteit en het recht om vergeten te worden zijn twee nieuwe rechten voor het individu. Voor de rechten van cliënten/werknemers in de individuele bedrijfsgezondheidszorg zijn de veranderingen minimaal temeer daar de reeds geldende patiëntenrechten mede op grond van de WGBO al uitgebreider waren dan in de Wet bescherming persoonsgegevens (Wbp) beschreven. Deze waren al vergelijkbaar met het niveau dat de AVG verlangt met uitzondering van de nieuwe rechten. Het vernieuwende is vooral gelegen in de regels waaraan organisaties die persoonsgegevens verwerken moeten voldoen om naleving van de regels structureel te borgen en daarover verantwoording af te leggen. De sanctiemogelijkheden van de toezichthouders (voor Nederland de Autoriteit Persoonsgegevens) zijn flink verruimd. De Autoriteit Persoonsgegevens (AP) mag boetes opleggen tot maximaal € 20 miljoen of 4% van de (wereldwijde) jaaromzet indien dat cijfer hoger is dan € 20 miljoen. In deze leidraad staan de gegevensverwerking en de rechten van cliënten (hier bedoelen we de werknemers; zij zijn betrokkenen in de zin van de AVG) centraal. De verplichtingen voor organisaties (arbodiensten, maatschappen en andere samenwerkingsverbanden dan wel zelfstandige bedrijfsartsen) worden op hoofdlijnen vermeld in deel 2. Voor uitgebreide informatie verwijzen we naar de website van de AP.8

Leeswijzer

Deel 1 beschrijft het doel van de leidraad, verantwoordelijkheden van bedrijfsarts en werkgever, de rechten van cliënten (in deze ook patiëntenrechten genoemd) en geeft praktische handvatten voor de dagelijkse praktijk. Aan de hand van drie hoofdonderwerpen

8

De Leidraad

In dit deel van de leidraad vindt u in hoofdstuk 1 informatie over doelstelling en reikwijdte van de leidraad en over de verantwoordelijkheden van bedrijfsarts en werkgever wanneer het gaat om het uitwisselen van medische gegevens. Vervolgens worden in hoofdstuk 2 drie essentiële onderwerpen toegelicht die in de praktijk bepalend zijn voor het al of niet mogen verstrekken van gegevens aan derden. In hoofdstuk 3 wordt een aantal praktijksituaties besproken die knelpunten kunnen opleveren. Tenslotte komt in hoofdstuk 4 het digitaal verzenden van vertrouwelijke informatie aan bod.

Hoofdstuk 1

informatie-uitwisseling met andere partijen. De ‘Code gegevensverkeer en samenwerking bij arbeidsverzuim

1.1 Doelstelling

en re-integratie’ (KNMG, 2006) is van belang voor Het doel van deze leidraad is om duidelijkheid te gegevensuitwisseling tussen artsen (curatief werkende geven over hoe bedrijfsartsen dienen om te gaan artsen, bedrijfsartsen en verzekeringsartsen). met privacygevoelige medische informatie en in het

1.4 Vooraf

bijzonder met informatie die noodzakelijk is in verband met re-integratie van een arbeidsongeschikte werk- De AVG vereist dat verwerking van algemene en bijzonnemer. dere persoonsgegevens berust op een van de grondslagen zoals opgenomen in art. 6 AVG10. Het verwerken

1.2 Doelgroep

van bijzondere persoonsgegevens is niet toegestaan De leidraad is primair bedoeld voor bedrijfsartsen en tenzij een van de uitzonderingssituaties die in art. 9 andere artsen werkzaam in de bedrijfsgezondheids- AVG11 staan genoemd van toepassing is. In de AVG12 is specifiek benoemd dat verwerking van gezondheidszorg. Ook voor andere hulpverleners, voor werkgevers en werknemers is het interessant om van deze leidraad gegevens waaronder die voor preventieve en arbeidskennis te nemen. geneeskunde en de beoordeling van arbeidsgeschiktheid van de werknemer is toegestaan. Uitgangspunten zijn

1.5 Verantwoordelijkheid bedrijfsarts

• dat de re-integratie van de arbeidsongeschikte werknemer wordt bevorderd en niet belemmerd De verantwoordelijkheden van de bedrijfsarts zijn uitmag worden vanwege onvoldoende informatie gebreid beschreven in Kernwaarden van de Bedrijfsarts of het ontbreken daarvan; (NVAB, 2012) en het Professioneel Statuut. Voor taken • dat gegevensverwerking en dat gegevensverstreken verantwoordelijkheden bij arbeidsverzuim bestaat king plaats dient te vinden binnen de wettelijke een aparte richtlijn13. De verantwoordelijkheden die van kaders ter bescherming van de privacy. belang zijn in verband met informatieverstrekking aan werkgever en re-integratiebedrijf zijn:

1.3 Reikwijdte

Deze leidraad beperkt zich tot informatie-uitwisseling • De bedrijfsarts is adviseur voor zowel werknemer met werkgevers of voor deze werkzame personen die als werkgever. Hij houdt op zorgvuldige wijze een door de werkgever zijn ingeschakeld met het oog op medisch dossier bij (WGBO, artikel 7:454 BW)14. de re-integratie van de werknemer en informatie- • De bedrijfsarts dient de werknemer te informeren uitwisseling met re-integratiebedrijven. Informatieover zijn conclusie en advies. Hij dient zich een uitwisseling met het UWV is ook zonder toestemming oordeel te vormen over welke gegevens hij aan van de werknemer toegestaan9. Voor overige derden wie verstrekt en of hij de gerichte toestemming zoals verzekeraars, advocaten en gemachtigden geldt van de werknemer nodig heeft om zijn beroepsdat informatie-uitwisseling alleen met uitdrukkelijke geheim te mogen doorbreken. De bedrijfsarts en gerichte (ondubbelzinnige) toestemming is toegeinformeert de werknemer voorafgaand aan de staan. De specifieke regelgeving over uitwisseling feitelijke informatieverstrekking aan derden met deze derden valt buiten de reikwijdte van deze ongeacht of toestemming nodig is of niet. leidraad. Het toestemmings- en noodzakelijkheidsvereiste In de uitgave ‘De zieke werknemer’; beleidsregels (AP, vormen een belangrijk kader voor de afweging 2016), is uitgebreide informatie te vinden over van de bedrijfsarts.

Artikel 54 Wet structuur uitvoeringsorganisatie werk en inkomen

10 Art. 6 AVG “Rechtmatigheid van de verwerking”

11 Art. 9 sub b en Art. 9 sub h AVG en Art. 30 UAVG

12 Art.9 AVG lid 2 sub h AVG

13 Taken en verantwoordelijkheden van de bedrijfsarts in het kader van de verzuimbegeleiding en re-integratie (KNMG, 2009)

14 De bedrijfsarts is adviseur voor zowel werknemer als werkgever. Hij houdt op zorgvuldige wijze een medisch dossier bij (WGBO, artikel 7:454 BW).

• De bedrijfsarts verstrekt aan de werkgever die informatie die deze nodig heeft om het recht van de arbeidsongeschikte werknemer op loondoorbetaling te kunnen vaststellen en om aan zijn re-integratieverplichtingen te kunnen voldoen. • Indien vereist in het kader van het uitwisselen van gezondheidsgegevens dient de cliënt zijn toestemming vrijwillig en doelgericht, schriftelijk of mondeling te geven (informed consent). De cliënt geeft zijn toestemming bij voorkeur schriftelijk15. Van mondeling verkregen toestemming maakt de bedrijfsarts een aantekening in het dossier van de betreffende werknemer.

1.6 Patiëntenrechten

In de AVG zijn de rechten voor betrokkenen omschreven. Deze zijn uitgebreider dan onder de Wet bescherming persoonsgegevens (Wbp). In de WGBO zijn rechten voor patiënten beschreven die in lijn zijn met de rechten op basis van de AVG en derhalve ook onder de AVG van toepassing blijven. In de praktijk van de individuele gezondheidszorg zijn de veranderingen op dit punt minimaal. Het gaat om onder meer de volgende rechten: • Recht op informatie • Recht op inzage en verbetering • Recht op verwijdering en vergetelheid • Recht op dataportabiliteit (overdraagbaarheid) • Recht op bezwaar en beperken van de verwerking Zie deel 2 voor meer informatie over deze rechten.

15 Zie deel C sub 1 van de Code gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (KNMG, 2007). Informatie-uitwisseling

waarvoor de werknemer gerichte toestemming dient te geven vereist een schriftelijke vraagstelling (machtiging). Voor mondeling overleg is apart schriftelijke toestemming noodzakelijk. Hier wordt bedoeld informatie-uitwisseling met de curatieve sector.

Hoofdstuk 2

Let op: Soms is er sprake van een vrijwillig spreekuurcontact tijdens een ziekteverzuimperiode18. De wegens ziekte In dit hoofdstuk komen de verschillende situaties waarin verzuimende werknemer kan op eigen verzoek komen: de bedrijfsarts privacygevoelige gegevens verwerkt • met een vraag die niet te maken heeft met zijn ter sprake. Om vast te stellen hoe om te gaan met die ziekteverzuim óf privacygevoelige gegevens dient de bedrijfsarts in • hij komt op eigen verzoek voordat de werkgever ieder geval rekening te houden met onderstaande onderopdracht heeft gegeven voor een consult. werpen: Als de werknemer een afspraak in het kader van de ziekte- • Vrijwillig of verplicht spreekuurcontact verzuimbegeleiding verzet of de bedrijfsarts raadpleegt • De vereiste toestemming, doelbinding en in verband met zijn ziekteverzuim nadat de ziekteverzuimminimale gegevensverwerking begeleiding is gestart is dit een consult in opdracht. • Noodzakelijke informatie voor derden (bijv. werkgever) in het kader van verzuimbegeleiding en Een spreekuur op verzoek van de werkgever vanwege re-integratie frequent verzuim van de werknemer of om andere redenen vindt veelal plaats buiten de verzuimperiodes. In het navolgende deel worden deze items uitgewerkt Dit spreekuur is dan te beschouwen als een vrijwillig zodat de bedrijfsarts in staat is zelf te beoordelen hoe spreekuurcontact aangezien de werknemer niet arbeidsin een concrete situatie te handelen. ongeschikt gemeld is.

2.1 Vrijwillig of verplicht

spreekuurcontact

2.1.2 Verplicht contact

De wijze waarop privacygevoelige gegevens verkregen Van een verplicht contact is sprake wanneer de zijn is belangrijk om vast te stellen of de WGBO onverwerknemer de bedrijfsarts bezoekt in opdracht kort van toepassing is of beperkt. Dat laatste houdt in van de werkgever zoals bij ziekteverzuimbegeleiding voor zover het in de specifieke relatie arts-cliënt past16. of verplichte medische keuringen. De WGBO is dan beperkt van toepassing. Dit betekent in de praktijk

2.1.1 Vrijwillig contact

dat de bedrijfsarts het beroepsgeheim niet volledig en onverkort handhaaft, hij mag beperkt informatie Wanneer sprake is van een vrijwillig contact met de uitwisselen ook zonder toestemming van werknemer. werknemer geldt de WGBO onverkort. De bedrijfsarts mag op grond van zijn medisch beroepsgeheim Wanneer de werknemer zichzelf arbeidsongeschikt (art. 7:457 BW)17 geen informatie met de werkgever heeft gemeld en de werkgever accepteert de ziekmelof andere derden uitwisselen. Dit mag hij alleen ding niet en stuurt die werknemer naar het spreekuur, doen met de uitdrukkelijke, gerichte en vrijwillig dan valt dat onder een verplicht contact. gegeven toestemming van de werknemer. Toelichting op verschillende situaties Van een vrijwillig contact is sprake als een werknemer Ziekteverzuimbegeleiding zelf om dat contact verzoekt zoals bij: • een arbeidsomstandighedenspreekuur óf De bedrijfsarts dient zich steeds te beperken tot • als de werknemer vrijwillig deelneemt aan een datgene wat noodzakelijk is in verband met het doel PMO óf waarvoor de gegevens worden uitgewisseld, ook als • bij andere vrijwillige spreekuurcontacten.

16 Artikel 464 Burgerlijk Wetboek Boek 7 ‘Indien in de uitoefening van een geneeskundig beroep of bedrijf anders dan krachtens een behande-

lingsovereenkomst handelingen op het gebied van de geneeskunst worden verricht, zijn deze afdeling alsmede de artikelen 404, 405 lid 2 en 406 van afdeling 1 van deze titel van overeenkomstige toepassing voor zover de aard van de rechtsbetrekking zich daartegen niet verzet.’

17 Artikel 457 Burgerlijk Wetboek Boek 7

18 CTG 2007/153, beschreven in artikel ‘één casus, 2 bedrijfsartsen, 8 lessen geleerd’; TBV, jan. 2009

hij toestemming heeft van de werknemer. De ming van de werknemer. Zelfs met toestemming mag bedrijfsarts dient zich ook dan in te spannen het de bedrijfsarts de werkgever niet vertellen welke vangmedisch beroepsgeheim zoveel mogelijk te bewaren, netsituatie van toepassing is of zou kunnen zijn. bijvoorbeeld door in algemene bewoordingen te verwijzen naar behandelaren en interventies, zelfs al Regres betaalt de werkgever deze. Het melden van een mogelijkheid voor regres is niet de verantwoordelijkheid van de bedrijfsarts. De werk- Het gaat bij ziekteverzuimbegeleiding doorgaans om gever mag zelf aan de werknemer vragen of er sprake verplichte contacten op verzoek van de werkgever. is of kan zijn van regres naar aanleiding van een ver- De bedrijfsarts mag in dat kader bepaalde gegevens keersongeval. doorgeven die van belang zijn voor de inzetbaarheid van de werknemer zoals beperkingen, mogelijkheden

Keuringen

en verwachte duur van verzuim. Het gaat om gegevens Aanstellingskeuring 19 die de werkgever nodig heeft om het recht op loondoorbetaling vast te stellen en de re-integratie vorm te geven. Op aanstellingskeuringen is de Wet op de medische keuringen van toepassing. Deelname aan een aan- Ook al hoeft de werknemer niet akkoord te gaan met stellingskeuring geschiedt op vrijwillige basis. de inhoud van dit bericht aan de werkgever, aangezien De uitslag mag uitsluitend met toestemming van de dit het professioneel oordeel van de bedrijfsarts bekeurling wordt meegedeeld aan opdrachtgever (de treft, is het zeker wel de bedoeling dat de werknemer potentiële werkgever) in termen van geschikt, ongeop de hoogte is van de strekking/inhoud van dit advies. schikt of geschikt onder voorwaarden. De bedrijfsarts dient de strekking van zijn advies met werknemer te bespreken vóór verzending aan de

Verplichte medische keuringen van werknemers tijdens

werkgever en de werknemer. Het vaststellen van de hun dienstverband 20 belastbaarheid blijft een professioneel oordeel. Gerichte toestemming is nodig wanneer de bedrijfsarts: De verplicht medische keuringen van werknemers • nadere onderbouwing van zijn advies wil geven tijdens hun dienstverband zijn gebaseerd op wetof regelgeving of op bepalingen in cao’s. De uitslag en daarvoor het verstrekken van gezondheidsgegevens nodig is; mag ook zonder toestemming van de keurling • interventies adviseert die al dan niet door de worden meegedeeld aan opdrachtgever (werkgever) werkgever worden betaald, voor zover en indien in termen van geschikt, ongeschikt of geschikt onder uit de aard van de interventie de aard van de voorwaarden. achterliggende problematiek te herleiden is; • vangnetsituaties of regresmogelijkheden wil De definitie van verplichte medische keuringen is als melden. volgt: ieder medisch onderzoek van een werknemer tijdens zijn dienstverband dat is gebaseerd op een

Vangnetsituaties

wettelijke verplichting of verplichting op basis van een Ten aanzien van het melden van vangnetsituaties geldt cao waaraan een werknemer zich in opdracht van zijn het volgende. werkgever dient te onderwerpen en waaraan rechtsge- De bedrijfsarts heeft geen wettelijke plicht de werkgever volgen zijn verbonden en dat niet wordt verricht in het over een mogelijke vangnetsituatie te informeren. Hij kan kader van ziekteverzuimbegeleiding. volstaan om de werknemer te wijzen op diens meldplicht zodra zich het vermoeden voordoet dat een vang-

Andere keuringen, PMO, intredeonderzoeken, vaccinaties

netsituatie van toepassing is (of kan zijn). Zelf melding maken van een mogelijke vangnetsituatie aan de werk- Bij de overige keuringen gaat het om vrijwillige congever mag de bedrijfsarts alleen na expliciete toestemtacten/onderzoeken. Daarop is de WGBO onverkort

19 Artikel 10 Wet op de medische keuringen

20 Leidraad Verplichte medische keuringen van werknemers tijdens hun dienstverband, NVAB, 2007

van toepassing. Er mag geen uitslag naar de werk- Het verstrekken van (bijzondere) persoonsgegevens gever tenzij met toestemming van de werknemer. ook een vorm van verwerken is maken we daar in paragrafen 2.2.1.A en 2.2.1.B een onderscheid, aangezien in

Andere opdrachtsituaties

de toestemmingsvereisten enkele verschillen zitten. Een voorbeeld van een andere opdrachtsituatie is het verplichte medische onderzoek van een ambtenaar

2.2.1.A Het verwerken van bijzondere

persoonsgegevens waar het bevoegd gezag om vraagt. Op basis van wetgeving kan het bevoegd gezag in bepaalde situaties om een dergelijk onderzoek vragen. Meestal is de Het verwerken van bijzondere persoonsgegevens werknemer/ambtenaar verplicht mee te werken aan bij vrijwillige contacten een dergelijk onderzoek en mag de uitslag aan de opdrachtgever worden meegedeeld. Wanneer u wordt De toestemming van de werknemer is niet nodig om verzocht een dergelijk onderzoek te doen vraag de de gegevens te mogen verwerken (zoals verzamelen opdrachtgever dan op basis van welke regelgeving hij en vastleggen) met uitzondering van het verstrekken tot zijn verzoek komt. Raadpleeg de betreffende regelvan deze gegevens aan derden. geving (bijvoorbeeld het Algemeen Rijksambtenarenreglement (ARAR)). De vermelding van een verplichting Om persoonsgegevens te mogen verwerken moet om deel te nemen aan een gezondheidskundig onderaan een van de grondslagen uit art. 6 AVG voldaan zoek in een intern beleidsstuk vormt daarentegen een zijn. Bijzondere persoonsgegevens mogen niet worden onvoldoende wettelijke basis. verwerkt tenzij een van uitzonderingen beschreven in art. 9 AVG van toepassing is. Zowel de algemene

2.2 Toestemming, doelbinding en

minimale gegevensverwerking grondslag (art.6 AVG)10 als de uitzonderingssituatie op het verwerkingsverbod (art.9 AVG en art 30 UAVG)11 zijn dus van belang voor een rechtmatige verwerking De vereisten toestemming, doelbinding en minimale van gezondheidsgegevens. gegevensverwerking bepalen of en welke informatie de bedrijfsarts mag verwerken en of en welke infor- In de hiervoor besproken situaties van vrijwilligheid matie hij mag uitwisselen met werkgevers of andere van contact vormt het aangaan door de werknemer hulpverleners. van de behandelingsovereenkomst de grondslag uit art 6.1.b en 6.1.c AVG21 voor het mogen verwerken Hieronder volgt per item een toelichting. In paragraaf van persoonsgegevens van de betrokken werknemer. 2.2.1 worden achtereenvolgens de vereisten voor het Het aangaan van de behandelingsovereenkomst verwerken (zoals het verzamelen, vastleggen en heeft tot gevolg dat op de bedrijfsarts een wettelijke gebruiken) en voor het verstrekken van persoonsdossierplicht rust op grond van de WGBO14. gegevens aan derden nader omschreven en toegelicht. Voor de dossiervoering heeft een bedrijfsarts dus Voor iedere verwerking gelden de beginselen van geen toestemming nodig van de werknemer. eisen voor doelbinding (paragraaf 2.2.2) en minimale gegevensverwerking (paragraaf 2.2.3). Het verwerken van bijzondere persoonsgegevens bij vrijwillige contacten berust op de noodzaak goede

2.2.1 Toestemming als grondslag voor

de verwerking van persoonsgegevens, met name het verwerken van bijzondere persoonsgegevens, zoals gezondheidsgegevens zorg te verlenen aan de werknemer dan wel op het beheer van de beroepspraktijk22. Deze noodzaak levert tevens de uitzondering op waarop gezondheidsgegevens mogen worden verwerkt als bedoeld in art. 9 lid 2 sub h AVG.23

21 Art. 6.1.b en 6.1.c AVG “Rechtmatigheid van de verwerking”; De verwerking is noodzakelijk voor de uitvoering van de geneeskundige

behandelingsovereenkomst en “de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust’

22 Artikel 30.3.a UitvoeringswetAVG

Het verwerken van bijzondere persoonsgegevens bij actieve handeling hem betreffende verwerking van verplichte contacten persoonsgegevens aanvaardt’ (art.4 sub 11 AVG). In deze definitie ligt een aantal eisen besloten waaraan Ook bij niet-vrijwillige contacten is geen expliciete toetoestemming dient te voldoen om van een rechtsgelstemming nodig om de gegevens te mogen verwerken dige toestemming te kunnen spreken. In de praktijk (zoals verzamelen en vastleggen) met uitzondering betekent dit het volgende; van het verstrekken van deze gegevens aan derden. De werknemer dient bekend te zijn met: De verwerking van persoonsgegevens in het kader van • doel, aard en omvang van de te verwerken dan verplichte contacten zoals bij ziekteverzuimbegeleiding wel de te verstrekken gegevens; berust op een wettelijke grondslag24. Ook in dit geval is • de reden waarom die informatie wordt verwerkt geen expliciete toestemming nodig om de gegevens te dan wel verstrekt aan derden; mogen vastleggen. De dossierplicht berust op de wet- • eventuele consequenties van het al dan niet vertelijke verplichting tot het bijhouden van een dossier en werken dan wel verstrekken van die informatie; de plicht tot het leveren van goede en verantwoorde • aan wie de informatie wordt verstrekt; zorg uit de WGBO14 die bij niet-vrijwillige contacten van • hoe lang de gegevens worden bewaard. overeenkomstige toepassing is. Deze noodzaak levert tevens de uitzondering op waarop gezondheidsgege- De bedrijfsarts dient zorg te dragen dat deze toestemvens mogen worden verwerkt als bedoeld in art. 9.2 ming aantoonbaar is. sub h AVG23. De werknemer dient daarnaast zijn toestemming in Toestemmingsvereiste vrijheid, met andere woorden zonder dwang of drang te kunnen geven. Als dit niet het geval is, is er geen Toestemming kan nodig zijn als de bedrijfsarts meer sprake van een rechtsgeldige toestemming en kan of andere bijzondere persoonsgegevens wil vastlegde verwerking dus onrechtmatig zijn. Bedrijfsarts kan gen dan strikt noodzakelijk is voor het doel van het werknemer er expliciet op wijzen dat deze niet verplicht vrijwillige dan wel het verplichte contact. is om toestemming te verlenen. We doelen hier op de toestemming als bedoeld in de

2.2.1.B Communicatie

(verstrekken van gegevens aan derden) AVG en UAVG als grondslag om bijzondere persoonsgegevens te mogen verwerken in de zin van verzame- Hoewel het verstrekken van gegevens ook een vorm len, vastleggen, gebruiken e.d. (met uitzondering van van verwerken is gelden onderstaande specifieke regels verstrekken25) (art.9.2.a AVG en art.22.2.a UAVG). met betrekking tot communicatie met derden. Dit kan het geval zijn wanneer de bedrijfsarts vanuit

Vrijwillige contacten

een PMO weet heeft van een essentieel gezondheidsgegeven dat ook van belang is voor de ziekteverzuimbege- In verband met het verstrekken van gegevens aan leiding. De AVG hanteert als definitie voor toestemming derden heeft de bedrijfsarts bij vrijwillige contacten van betrokkene: ‘elke vrije, specifieke, geïnformeerde toestemming nodig om het beroepsgeheim te en ondubbelzinnige wilsuiting waarmee de betrokkene mogen doorbreken. Deze toestemming berust op door middel van een verklaring of ondubbelzinnige de WGBO (art. 7:457 BW).26

23 Art.9 lid 2 sub h AVG; ‘de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de

arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen’

24 art. 30.1.b UAVG, art. 9.2.b AVG en art. 6.1.c AVG

25 Zie daarover paragraaf 2.2.1.B over Communicatie.

26 Artikel 457 Burgerlijk Wetboek Boek 7

Verplichte contacten

van de werknemer tot de werkgever. Ook met toestemming van de werknemer dient de bedrijfsarts daarom Voor communicatie van de bedrijfsarts met de werkterughoudend te zijn met het verstrekken van gezondgever inzake verplichte medische contacten heeft de heidsgegevens / medische informatie. bedrijfsarts geen expliciete toestemming nodig voor zover het gegevens betreft die de werkgever nodig Om ondubbelzinnig aantoonbaar te maken dat een heeft in het kader van het doel van het verplichte werknemer toestemming heeft gegeven om informatie contact. uit te wisselen met derden zoals de werkgever verdient het aanbeveling deze toestemming door middel van Wanneer de bedrijfsarts andere of meer bijzondere een schriftelijke machtiging te laten geven. Draag er persoonsgegevens wilt verstrekken heeft hij daarvoor zorg voor dat uit die machtiging tenminste duidelijk wel expliciete, gerichte toestemming nodig van de blijkt om welke informatie het gaat, wie de ontvanger werknemer. is, wat het doel van de informatieverstrekking is en de datum.

Vereisten voor toestemming bij communicatie

De vereisten voor toestemming zijn voor zowel vrijwil-

Samenvattend voor de praktijk

lige als verplichte contacten als volgt. Het verstrekken We maken onderscheid in toestemming voor het van (bijzondere) persoonsgegevens, zoals gezondheidsverwerken van (bijzondere) persoonsgegevens en het gegevens, aan derden mag alleen als aan de volgende verstrekken daarvan. In de toestemmingsvereisten criteria is voldaan27; zitten enkele verschillen. Voor communicatie met de • De werknemer geeft zijn toestemming schriftelijk werkgever of een andere derde die niet valt onder of mondeling. Van mondeling gegeven toestemde uitzonderingssituatie (onderzoek in opdracht; zie ming maakt de bedrijfsarts een aantekening hoofdstuk 2.1.2) of die niet noodzakelijk is op basis van in het medisch dossier28. Voor uitwisseling van een wettelijke verplichting dient de bedrijfsarts: informatie met de curatieve sector is schriftelijke • de werknemer goed te informeren en toestemming nodig29. • zich te vergewissen van de actieve, vrijwillige toe- • De toestemming dient in vrijwilligheid te worden stemming van betrokken werknemer gegeven. • geen informatie uit te wisselen wanneer hij geen • De werknemer begrijpt waarvoor hij toestemming toestemming heeft of twijfelt over de rechtsgelgeeft en de consequenties daarvan30. digheid van de gegeven toestemming • De bedrijfsarts dient de werknemer vooraf in te • zijn eigen afweging te maken over relevantie van lichten over het doel, de inhoud en de mogelijke de te verstrekken informatie. Met andere woorconsequenties van de gegevensverstrekking. den: toestemming is geen vrijbrief om alle beschikbare informatie prijs te geven. Voor deze toestemming geldt dat vrijwilligheid in een • aan de hand van de criteria doelbinding en dataarbeidsrelatie niet snel mag worden aangenomen31 minimalisatie de omvang van de te verstrekken aangezien er sprake is van een afhankelijkheidsrelatie informatie te bepalen.

27 Zie ‘De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers (AP, 2016)

p. 15 en 25

28 Door aantekening te maken in het dossier wordt de mondelinge toestemming ‘aantoonbaar’ (art. 7.1 AVG).

29 Richtlijn het omgaan met medische gegevens (KNMG, jan 2018)

30 Art. 7.2 AVG ‘Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden

betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.’ grond 42 ‘Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.’

31 Zie ‘De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers’ (AP, 2016)

2.2.2 Doelbinding

• het bestaan van passende waarborgen. Als u bijvoorbeeld de persoonsgegevens heeft versleu- Het doel bepaalt welke informatie noodzakelijk is om teld of gepseudonimiseerd zullen deze eerder te verwerken dan wel te verstrekken of op te vragen. voor andere doelen mogen worden gebruikt dan Gegevens die niet noodzakelijk zijn voor het vastwanneer geen waarborgen zijn getroffen. gestelde doel mogen niet worden verwerkt (art. 5 lid 1 sub b AVG)32. Gegevens verzameld voor Ook wanneer de werknemer toestemming heeft gegeven het ene doel mogen alleen met toestemming van voor verdere verwerking (ook in het geval dat het doel betrokkene, dan wel onder een van de andere van de verdere verwerking niet verenigbaar is met het voorwaarden zoals genoemd in artikel 6 lid 4 AVG10 oorspronkelijke doel) mogen persoonsgegevens verder voor een ander doel worden verwerkt.33 worden verwerkt, mits die toestemming ‘vrij’ is gegeven. Persoonsgegevens mogen alleen voor welbepaalde,

Een voorbeeld

uitdrukkelijk omschreven en gerechtvaardigde doelen Ziekteverzuimbegeleiding en een keuring dienen ieder worden verwerkt. De persoonsgegevens mogen dan een ander doel. Daarom zijn de persoonsgegevens die voor dat doel of die doelen gebruikt worden. voor een van deze doelen zijn verzameld niet zonder meer uitwisselbaar. Met toestemming van betrokkene Persoonsgegevens mogen verder worden verwerkt mogen persoonsgegevens van een keuring wel worden voor andere doelen, als die doelen verenigbaar zijn gebruikt voor ziekteverzuimbegeleiding of andersom met het oorspronkelijke verzameldoel (art. 6 lid 4 wanneer die gegevens noodzakelijk zijn voor en verenig- AVG10). Om te bepalen of een nieuw doel verenigbaar baar zijn met (“niet onverenigbaar”) het andere doel. is met het oorspronkelijke doel, moet worden gekeken naar een aantal elementen:

2.2.3 Minimale gegevensverwerking

• het verband tussen het nieuwe doel en het oorspronkelijke doel. Hoe dichter de twee doelen bij Onder minimale gegevensverwerking wordt verstaan elkaar liggen, hoe eerder de verdere verwerking dat niet meer gegevens worden verwerkt dan strikt noodvan persoonsgegevens verenigbaar is met het zakelijk voor het beoogde doel en dat deze niet langer oorspronkelijke doel. dan de wettelijke bewaartermijn worden bewaard. • de context waarin de persoonsgegevens zijn verzameld. Hierbij moet met name worden ge- Voorheen was dit het noodzakelijkheidsvereiste. Onder keken naar de relatie tussen u en de betrokkene de AVG wordt ook wel gesproken van dataminimalisatie. in kwestie en de redelijke verwachtingen die de In het kader van ziekteverzuimbegeleiding betekent betrokkene heeft ten aanzien van het verdere dataminimalisatie dat alleen gegevens mogen worden gebruik van zijn persoonsgegevens door u. verwerkt die noodzakelijk zijn voor een goede diagnose- Verwacht de betrokkene bijvoorbeeld dat gegestelling/behandeling of begeleiding en re-integratie vens die zijn verzameld in de context van ziektevan de arbeidsongeschikte werknemer en voor beantverzuimbegeleiding hergebruikt worden om zijn woording van de vraag of er zich een uitzondering op verzekeringspremies te berekenen? de loondoorbetalingsverplichting voordoet conform art • de aard van de persoonsgegevens. Wanneer 7:629 lid2 BW.34 het bijvoorbeeld bijzondere persoonsgegevens betreft, geldt dat deze een hoger beschermingsniveau verdienen en dat deze minder snel voor andere doelen mogen worden gebruikt. • de mogelijke gevolgen van de verdere verwerking voor betrokkenen.

32 Art. 5 AVG “Beginselen inzake verwerking van persoonsgegevens”

33 Handleiding Algemene verordening gegevensbescherming en UAVG (Ministerie van Justitie en Veiligheid, 2018)

34 Artikel 629 Burgerlijk Wetboek Boek 7

2.3 Noodzakelijke informatie voor der-

den in het kader van verzuimbegeleiding en re-integratie zal in staat gesteld dienen te worden passende maatregelen te nemen. De werknemer is zelf verantwoordelijk voor het melden In de communicatie over noodzakelijke adviezen van: ten behoeve van arbeidsongeschikte werknemers • een ander verblijf- of verpleegadres; is het gebruik van algemeen gebruikelijke termen • mogelijkheid van regres; toegestaan mits die niet specifiek naar een bepaalde • vangnetsituatie. aandoening verwijzen en geen specifieke overige privacygevoelige informatie verschaffen en die in De bedrijfsarts bespreekt met de werknemer dat het de dagelijkse omgang gebruikelijk zijn (termen als van belang is voor de werkgever om bovenstaande ziekenhuis, medische behandeling, bezoeken behaninformatie van de werknemer te verkrijgen. Voor zover delaar). de bedrijfsarts inzicht heeft in de consequenties van het al dan niet melden aan de werkgever bespreekt hij De bedrijfsarts adviseert in het kader van verzuimbegedie met de werknemer. leiding en re-integratie om de werkgever en werknemer in staat te stellen om deze zo optimaal mogelijk vorm Wanneer de bedrijfsarts het noodzakelijk vindt de werkte geven. De vraag is echter welke informatie voor de gever andere en meer dan de toegestane informatie werkgever strikt noodzakelijk is om als goed werkgever te verschaffen ten behoeve van de re-integratie dan aan zijn re-integratie-verplichtingen te voldoen, terwijl bespreekt hij dit met de werknemer. Daaronder valt anderzijds recht wordt gedaan aan het privacybelang ook het advies over interventies die door de werkgever van de werknemer. worden gefaciliteerd (o.a. financieel, mogelijkheid bieden om andere deskundigen/hulpverleners in het Noodzakelijke informatie om op verantwoorde wijze de bedrijf te consulteren). De bedrijfsarts vraagt de werkre-integratie vorm te geven omvat: nemer gericht toestemming om die informatie die hij • functionele beperkingen en implicaties daarvan noodzakelijk acht aan de werkgever mee te delen. voor het soort arbeid dat de werknemer nog kan De werknemer dient zijn toestemming vrijwillig en verrichten (functionele mogelijkheden). doelgericht, schriftelijk of mondeling te geven (infor- • werkzaamheden waartoe de werknemer nog wel, med consent). De schriftelijke machtiging bewaart hij of juist niet meer in staat is. in het dossier. • het verwachte einddoel van de re-integratie Van mondeling verkregen toestemming maakt de (geschiktheid voor eigen werk, passend werk of bedrijfsarts een aantekening in het dossier van de betreffende werknemer. re-integratie tweede spoor) met zo mogelijk een indicatie van de verwachte duur van de beperkingen of arbeidsongeschiktheid. • eventuele aanpassingen, werkvoorzieningen of activiteiten die in het belang zijn van de re-integratie. • advies over technische interventies die door de werkgever worden gefaciliteerd zoals bijvoorbeeld werkplekonderzoek en/of –aanpassingen, inschakelen arbeidsdeskundige of re-integratiebedrijf. • aanwezigheid van verstoorde arbeidsrelatie welke oplossing behoeft om de re-integratie te bevorderen. • werkgerelateerde oorzaken voor de arbeidsongeschiktheid, die bij terugkeer in de eigen werksituatie opnieuw arbeidsongeschiktheid of gezondheidsschade kunnen opleveren. De werkgever

Leidraad Bedrijfsarts en privacy anno 2019

stemming van werknemer mag bedrijfsarts werkgever hierover informeren.

Aandachtspunten en bijzondere situaties

De bedrijfsarts dient zich ook in deze situatie te realiseren dat toestemming mogelijk niet in vrijheid

3.1 Voor de dagelijkse praktijk is een

aantal aandachtspunten te benoemen is gegeven. Ook als de bedrijfsarts met expliciete toestemming informatie betreffende een interventie met de werkgever deelt, betekent dat niet dat de specifieke In alle hieronder besproken situaties geldt voor interventie in combinatie met de naam van betrokkene het verstrekken van gegevens dat, indien vereist, op een factuur mag komen te staan. de werknemer zijn toestemming vrijwillig en doelgericht, schriftelijk of mondeling dient te geven 3. Wat nu als de werkgever al door de werknemer (informed consent). Van mondeling verkregen zelf is geïnformeerd? toestemming maakt de bedrijfsarts een aantekening Ook in die situatie mag de bedrijfsarts geen medein het dossier van de betreffende werknemer. delingen doen over aard en inhoud van het medische probleem. Indien er sprake is van een toegevoegde 1. Arbeidsongeschiktheid ten gevolge van waarde kan de bedrijfsarts expliciet toestemming zwangerschap, vangnetsituaties en regres vragen om de werkgever te mogen informeren. De bedrijfsarts mag zonder toestemming van betrok- De bedrijfsarts kan werknemer er expliciet op wijzen kene niet melden aan diens werkgever dat er sprake dat toestemming verlenen niet verplicht is. is van een vangnetsituatie. De voor de werkgever financieel nadelige gevolgen hiervan zijn geen reden 4. De bedrijfsarts heeft wel toestemming van de het beroepsgeheim te doorbreken. werknemer om de werkgever te informeren Voor een vangnetsituatie in verband met zwangerschap Desondanks behoudt de bedrijfsarts toch een eigen geldt dat de werkgever de mogelijkheid heeft met verantwoordelijkheid om te bepalen welke gegevens terugwerkende kracht deze te melden zodra hij kennis hij verstrekt aan derden. De bedrijfsarts dient steeds krijgt van deze situatie. rekening te houden met het doel waarvoor hij de gege- Dit recht heeft de werkgever niet wanneer er andere vens heeft ontvangen en weer verstrekt én het vereiste redenen zijn voor een beroep op vangnet. Voor regresvan data-minimalisatie. Toestemming en verstrekken zaken gelden vergelijkbare beperkingen. De bedrijfsarts van nadere gegevens kan gebruikt worden voor draagmag geen mededelingen doen tenzij met gerichte, vlakverbreding om maatregelen te doen nemen met uitdrukkelijke en in vrijheid gegeven toestemming het doel re-integratie te bevorderen en verder verzuim van betrokkene. In deze situaties is de werkgever te voorkomen. niet uitsluitend van de bedrijfsarts afhankelijk om de benodigde informatie te verkrijgen. De werknemer 5. Probleemanalyse dient zelf de werkgever te informeren. Kiest hij ervoor In de probleemanalyse behoort geen medische inforom dat niet te doen vanwege voor hem of haar matie te worden vermeld. moverende redenen, dan is dat voor de bedrijfsarts geen reden dat voor de werknemer te doen. 6. Werken met een standaard verklaring van toestemming of het geen-bezwaarsysteem tenzij 2. Projecten die de werkgever financiert bijvoorde werknemer dit expliciet kenbaar maakt beeld interventies door andere hulpverleners zoals Bij deze vormen van toestemming is niet zonder fysiotherapeut, psycholoog en/of bedrijfsmaatschapmeer aan te nemen dat de toestemming gericht en in pelijk werker vrijheid wordt gegeven. Tevens houdt op deze wijze De bedrijfsarts mag geen mededelingen doen over de omgaan met toestemming in dat er een automatisme aard van de in te zetten interventie. Voor de werkgever kan ontstaan en onvoldoende informatie over doel en is dit veelal niet acceptabel. Deze wil weten waarvoor noodzaak wordt verstrekt. hij betaalt en tenminste enig inzicht hebben in de plausibiliteit van het advies. En hij zal rekeningen willen 7. ERD-ziektewet kunnen controleren. Echter alleen met expliciete toe Begeleiding geschiedt op een vergelijkbare wijze als voor werknemers die nog wel een dienstverband met

3.2 Bijzondere situaties

de werkgever hebben. Voor de communicatie met de werkgever of derden gelden dan ook dezelfde regels In een aantal bijzondere situaties kan de werkgever als bij verzuimbegeleiding voor einde dienstverband. de bedrijfsarts vragen of deze op de hoogte was Let op: er zijn enkele bijzonderheden, zie de Werkwijzer van de medische situatie. Moedwilligheid of bewust ‘Handelen van de bedrijfsarts op verzoek van eigenniet vermelden van medische problemen wordt in risicodragers Ziektewet’35. de rechtspraak niet snel aangenomen: een goede onderbouwing is noodzakelijk. Dit betekent dat de bedrijfsarts zich zéér terughou- 8. ERD-WGA In deze situatie doet de bedrijfsarts meestal een herdend dient op te stellen wanneer het gaat om het beoordeling na 1 of meer jaren na een WIA-keuring. verstrekken van informatie aan de werkgever in de De bedrijfsarts mag met opdrachtgever zijn conclusie hieronder genoemde situaties. over de duurzaamheid van de beperkingen, de beperkingen en mogelijkheden met opdrachtgever commu- • Bij een aanstellingskeuring bewust verzwijgen niceren. Medische informatie valt hier niet onder. van zodanige informatie die, als de keurend arts Zie de Werkwijzer ‘Handelen van de bedrijfsarts op hiermee bekend was geweest, tot een andere verzoek van eigenrisicodragers WGA’36. uitkomst van de aanstellingskeuring zou hebben geleid.39 40 41 9. Informatie verstrekken aan UWV in het kader • Moedwillig niet meewerken of zelfs tegenwerken van DO/WIA-aanvraag herstel. De bedrijfsarts is in deze situaties verplicht37 die • Verzwijgen van medische problemen bij een solligerichte medische informatie aan het UWV te verstrekcitatie terwijl betrokkene wist of redelijkerwijs kon ken die de verzekeringsarts nodig heeft om het benoweten dat deze in de weg staan aan een goede digde onderzoek te doen. Betrokkene dient hierover te uitoefening van de functie. worden geïnformeerd maar hoeft geen toestemming te verlenen. In overige situaties is het goed na te gaan wat precies de opdracht is en of er sprake is van een wettelijk opgedragen taak waarvoor de informatie van de bedrijfsarts noodzakelijk is.38 10. Overige situaties zoals bijvoorbeeld keuringen in het kader van de Participatiewet, WMO e.a. Deze worden hier niet verder besproken vanwege verschillende regimes die van toepassing zijn. Wanneer de bedrijfsarts in opdracht van een gemeente of verzekeraar keuringen of medische onderzoeken uitvoert is het aan te raden vooraf na te gaan welke regelgeving van toepassing is en wat de consequenties zijn voor de rechten van betrokkene en de communicatie met opdrachtgever.

35 Werkwijzer ‘Handelen van de bedrijfsarts op verzoek van eigenrisicodragers Ziektewet’ (NVAB, 2014)

36 Werkwijzer ‘Handelen van de bedrijfsarts op verzoek van eigenrisicodragers WGA (NVAB, 2014)

37 Artikel 54 Wet structuur uitvoeringsorganisatie werk en inkomen

38 Artikel 13.2 sub e AVG

39 Zie www.aanstellingskeuringen.nl

40 Wet op de medische keuringen

41 Artikel 629 lid 3 sub a Burgerlijk Wetboek Boek 7

Hoofdstuk 4

regelen worden tevens verstaan de voorzieningen die bekend staan onder de verzamelnaam Pri-

Digitaal verwerken en verstrekken van privacy-

vacy-Enhancing Technologies (PET). Technische gevoelige informatie maatregelen betreffende het netwerk omvatten: diverse beveiligingsschillen aanbrengen, (fire-

Situatieschets

wall, up-to-date virusscanner, recente patches De bedrijfsarts verstuurt naar aanleiding van een voor de gebruikte software). spreekuurcontact meestal gelijktijdig een advies naar - Zo mogelijk gebruik maken van Virtual Private de werknemer, diens leidinggevende en/of personeels- Networks en een ‘secure’ verbinding. functionaris. Dit gebeurt schriftelijk per post en/of per - Logfile aanleggen zodat kan worden nagegaan e-mail via internet of intranet. wie, wanneer een dossier of document heeft geraadpleegd dan wel verwerkt. Juridisch is onderscheid maken tussen verzenden van Zie voor meer informatie ‘De Nederlandse bijzondere persoonsgegevens per post of per e-mail in Technische Afspraak (NTA) 7516’, de veldnorm feite niet relevant: met bijzondere persoonsgegevens die kaders stelt voor e-mailen in de zorg.42 dient te allen tijde zorgvuldig te worden omgegaan. • Organisatorische maatregelen zijn maatregelen In beide situaties is een aantal vergelijkbare risico’s te ten behoeve van de inrichting van het systeem benoemen. Voor e-mailverkeer bestaan er daarnaast zoals (logische processen die helpen fouten te nog enkele bijkomende risico’s. Denk bijvoorbeeld aan voorkomen) en voor het verwerken van persoonsinzage al dan niet bewust door onbevoegden, verkeergegevens zoals toekenning en deling van verantde adressering, e-mails zijn gemakkelijk door te sturen woordelijkheden en bevoegdheden, instructies, en te hacken. Verifiëren van echtheid van afzender en trainingen en calamiteitenplannen. ontvanger kan zeker bij e-mail problematisch zijn. • Verder valt te denken aan het geven van voor- Indien deze gegevens door onbevoegden kunnen worlichting in de organisatie hoe om te gaan met den ingezien betekent dit een datalek en schending van privacygevoelige informatie waarbij aandacht voor de privacy die de bedrijfsarts kan worden aangerekend. onderwerpen als toegang, opslaan en bewaren Hij is tuchtrechtelijk aansprakelijk, en kan ook civielvan gegevens, rechten van werknemers betreffenrechtelijk worden aangesproken om de geleden schade de de over hem/haar opgeslagen gegevens. te verhalen. • Alle medewerkers (vast, tijdelijk, ingeleend) in de eigen organisatie laten tekenen van een docu-

Mogelijke oplossingen

ment waarin de geheimhoudingsplicht is vastgelegd kan hierbij ondersteunen. Zo ook periodiek In de AVG is vastgelegd dat moet worden voorzien instructie geven als een reminder. in voldoende technische en organisatorische maat- • Communiceren via een beveiligd domein waarbij regelen om een passend beveiligingsniveau voor de cliënt een eigen (tijdelijke) toegang heeft tot de verwerking van persoonsgegevens te bereiken. een afgeschermd deel van de server met aldaar Zowel bij verzending per post als bij emailverkeer het voor hem bestemde bericht. De toegang kan dient een voldoende beveiligingsniveau te zijn geregeregeld zijn met een wachtwoord of bij voorkeur aliseerd en geborgd. Verzending van gezondheidsvia twee-factor authenticatie. • Alleen gebruik maken van veilig e-mail42. gegevens valt in een verhoogde tot hoge risicoklasse en vereist dan ook een hoog beveiligingsniveau. • Zie ook de Richtlijn online arts-patiëntcontact (herziene versie, KNMG 2007) • Technische maatregelen zijn de logische en • Zie ook de website AVG Helpdesk Zorg en fysieke maatregelen in en rondom de informatie- Welzijn43. systemen (zoals toegangscontroles, vastlegging van gebruik en back-up). Onder technische maat

42 NTA 7516:2019, Hoofdstuk 6, Richtlijnen voor professionals

43 https://www.avghelpdeskzorg.nl/onderwerpen/e-mail-om-persoonsgegevens-te-delen

Door de bedrijfsarts zelf te nemen voorzorgsmaatregelen De bedrijfsarts dient zich ook in zijn dagelijkse praktijk bewust te zijn van mogelijke privacyrisico’s en de mogelijkheden deze risico’s te minimaliseren. Van de individuele bedrijfsarts − indien niet zijnde de verwerkingsverantwoordelijke in de zin van de AVG − mag worden verwacht dat hij zich op de hoogte stelt of die maatregelen zijn genomen, die redelijkerwijs verwacht kunnen worden volgens de stand der techniek om voor het systeem een afdoende beschermingsniveau te realiseren. Voor zowel bedrijfsarts of voor hem werkende personen als ontvanger gaat het om de volgende mogelijkheden die al dan niet in combinatie toepasbaar zijn: • instellen van schermbeveiliging met wachtwoord • controleren en verifiëren van adres- en e-mailgegevens • documenten voorzien van wachtwoord • encryptie • digitale handtekening • verifiëren van zender en ontvanger • ontvangstbevestiging instellen. De ontvanger is verantwoordelijk voor zijn eigen e-mailaccount en de beveiliging daarvan. Voor de opslag van bijzondere persoonsgegevens gelden dezelfde eisen als voor de papieren verslagen.

DEEL 2

Achtergronddocument Algemene verordening gegevensverwerking (AVG)

Hoofdstuk 5

• Data protection impact assessment (DPIA) • Functionaris gegevensbescherming (FG) Algemene informatie AVG • Procedure afhandeling datalekken De Algemene verordening gegevensverwerking (AVG) is een Europese verordening die in alle lidstaten van De sanctiemogelijkheden van de toezichthouder de Europese Unie rechtstreeks van toepassing is sinds • Aanscherping van de maatregelen 25 mei 2018. De AVG vervangt in Nederland de Wet bescherming persoonsgegevens, deze is dan ook niet De in dit document gebruikte term organisaties staat meer geldig. De AVG is bedoeld om in alle lidstaten van voor verwerkingsverantwoordelijke in zowel arbode Europese Unie (EU) twee belangen te waarborgen: diensten als maatschappen of andere vormen van de bescherming van natuurlijke personen in verband samenwerkingsverbanden van bedrijfsartsen. met de verwerking van hun gegevens en het vrije De verwerkingsverantwoordelijke is degene die doel verkeer van persoonsgegevens binnen de EU. In iedere van en de middelen voor de verwerking van persoonslidstaat is eenzelfde niveau van bescherming op basis gegevens vaststelt. Hij dient zorg te dragen dat aan van de AVG gegarandeerd, aan specifieke bepalingen de AVG wordt voldaan. Dit kan ook de individuele mogen lidstaten een eigen invulling geven door middel zelfstandige bedrijfsarts (de ZZP’er) zijn. van een Uitvoeringswet. De uitvoeringswetten kunnen De in dit deel verstrekte informatie is informatie op dan ook per land verschillen. hoofdlijnen, bedoeld om de lezer attent te maken op de kern en aandachtspunten van en voor het omgaan Dit achtergronddocument is geschreven vanuit de Nemet persoonsgegevens in het kader van de bedrijfsderlandse situatie en rekening houdend met de alhier gezondheidszorg. Wat betreft de verplichtingen voor geldende uitvoeringswet. de verwerkingsverantwoordelijke is het zeker geen uitputtende handleiding hoe te voldoen aan de eisen De AVG is waar het gaat om de rechten van betrokkedie de AVG stelt. Wel zijn de beginselen en maatregelen nen vooral een neerslag van hetgeen al gold op basis beschreven. Het hangt van de specifieke situatie af van voorgaande EU-richtlijnen en jurisprudentie. hoe het beleid en management inzake het omgaan Enkele rechten zijn toegevoegd. Voor de gezondmet privacy van cliënten dient te worden ingericht. heidszorg zijn de veranderingen ten aanzien van de patiëntenrechten beperkt. De WGBO en wet BIG gingen verder dan de eisen op basis van de Wbp. In hoofdstuk 5.1 zijn de rechten van betrokkenen beschreven. De meest ingrijpende veranderingen betreffen de eisen die aan organisaties die persoonsgegevens verwerken, worden gesteld. In hoofdstuk 5 treft u hierover meer informatie aan. Rechten betrokkenen zijn het recht op: • Toegang tot gegevens, inzage in gegevens • Rectificatie van gegevens • Vergetelheid • Beperking van verwerking • Kennisgeving • Dataportabiliteit Privacymanagement of wel de belangrijkste verplichtingen voor organisaties in trefwoorden • Accountability ofwel de verantwoordingsplicht • Het nemen van technische en organisatorische maatregelen

Hoofdstuk 6

De volgende rechten zijn nieuw in de AVG: Toelichting op de verschillende rechten Recht op vergetelheid (art.17 AVG) Het recht op informatie (Art. 13 en 14 AVG) Het recht op vergetelheid is een nieuw recht in de AVG. Dit recht omvat het recht informatie te krijgen over Dit recht lijkt op het recht op correctie en verwijdering44 de volgende items uit de WGBO maar is breder. In de bedrijfsartsen-prak- • voor welke doeleinden de persoonsgegevens tijk geldt het recht op vergetelheid niet voor medische worden verwerkt; dossiers.45 • hoe lang zij worden bewaard; • van wie de organisatie de persoonsgegevens Recht op dataportabiliteit (art.20 AVG) ontvangt; Dit houdt in dat betrokkene het recht heeft op zijn • aan wie de organisatie de persoonsgegevens verzoek de vastgelegde gegevens te ontvangen en deze verstrekt; door te mogen geven naar een andere organisatie. • de eventuele automatische verwerking van de Dataportabiliteit is het recht om in een gestructureerd, persoonsgegevens. gangbaar, machineleesbaar en interoperabel formaat de verwerkte gegevens te verkrijgen en die aan een Toegang, inzage (art.15 AVG) andere verwerkingsverantwoordelijke door te zenden. Betrokkene heeft het recht om kennis te kunnen Het recht op dataportabiliteit geldt alleen onder de nemen van de gegevens die over hem zijn verwerkt volgende voorwaarden: (opgeslagen). Hij heeft recht op een afschrift van die • Gegevens zijn verwerkt op basis van toestemming gegevens. van betrokkene • of op basis van een overeenkomst met hem Rectificatie (art.16 AVG) zoals gegevens ontleend aan vrijwillige deelname Betrokkene heeft het recht onjuiste gegevens te aan PMO (periodiek medisch onderzoek), aan doen corrigeren en onvolledige gegevens aan te vrijwillige spreekuurcontacten of aan vrijwillige vullen voor zover nodig en passend bij de doeleinden keuringen. van de verwerking. Hij mag daartoe een aanvullende • Betrokkene heeft de gegevens zelf verstrekt. verklaring verstrekken. Het gaat om digitale gegevens, dus niet om papieren Dataminimalisatie (Art. 5 AVG) dossiers. Dit betekent dat de bedrijfsarts niet meer gegevens verwerkt dan noodzakelijk voor het doel van de regis- Verbod op profilering (Art 22 AVG) Van profilering is sprake wanneer een profiel van tratie. Dit is vergelijkbaar met doelbinding en noodzakelijkheidsvereiste onder Wbp. betrokkene opgesteld wordt op basis van verzamelde gegevens. Een dergelijk profiel kan allerlei persoonlijke Klachtrecht (Art. 77 AVG) aspecten betreffen. De verzamelde persoonsgegevens Betrokkene heeft het recht om over de vermeende worden geanalyseerd en gebruikt om voorspellingen onjuiste verwerking van zijn persoonsgegevens (zijn te doen over iemand (bijv. koopgedrag, interesses, rechten zijn geschonden) of als zijn verzoeken niet gezondheid, economische situatie). Profilering aan de goed zijn afgehandeld bij de Autoriteit Persoonshand van bijzondere persoonsgegevens is verboden gegevens (AP) een klacht in te dienen. Of hij kan tenzij met uitdrukkelijke toestemming van betrokkene ervoor kiezen en rechtszaak te starten. De AP dient of op basis van een wettelijke regeling. klachten in behandeling te nemen en betrokkene binnen drie maanden te informeren over de voortgang Als aan profilering rechtsgevolgen zijn verbonden of als profilering anderszins een grote impact voor betrokkene en de uitkomst daarvan. heeft, mag een besluit niet alleen op geautomatiseerde Leidraad Bedrijfsarts en privacy anno 2019 verwerking gebaseerd worden. In die situatie is een Wat te verwachten van de verwerkingsverantwoordelijke als het gaat om het uitoefenen van de menselijke tussenkomst (beoordeling) vereist, Dit is niet nodig wanneer verwerking geschied op basis van rechten? toestemming of een overeenkomst met betrokkene. De verwerkingsverantwoordelijke dient mogelijk te Vraagt betrokkene toch om menselijke tussenkomst maken dat betrokkenen hun rechten kunnen uitoefen dan heeft hij daar recht op. (art.12 AVG). Enkele aandachtspunten voor de organisatie in deze zijn: Het recht van bezwaar uit te oefenen (Art 21 AVG) Betrokkenen hebben het recht bezwaar te maken • Het is belangrijk betrokkene goed en volledig te tegen verwerking van hun persoonsgegevens wanneer informeren over de verwerking van zijn persoonseen organisatie deze gegevens verwerkt op grond van gegevens en zijn rechten. De informatieverstrekeen taak van algemeen (overheidstaak) of van een king aan betrokkene dient gerechtvaardigd belang. De organisatie moet dan de beknopt te zijn; verwerking stoppen en/of een heroverweging van de in duidelijke, begrijpelijke, eenvoudige taal; belangen maken. en in een transparante, begrijpelijke en toegankelijke vorm te worden gegeven. Beperking van verwerking (art.18 AVG) • Om welke informatie het gaat staat in art.13 en In bepaalde situaties kan betrokkene de organisatie 14 AVG. Er wordt onderscheid gemaakt tussen vragen de gegevens niet te verwerken. Met uitzondeinformatie die van betrokkene zelf is verkregen ring van het opslaan mag de organisatie niets doen met en informatie over betrokkene die van derden is deze gegevens zonder toestemming van betrokkene. verkregen. • Binnen maximaal 1 maand na ontvangst van het Toestemming verzoek informeert de organisatie betrokkene over de afhandeling. Ook als de organisatie be- De verwerkingsverantwoordelijke moet kunnen aansluit geen gevolg te geven aan het verzoek dient tonen dat de betrokkene toestemming heeft gegedeze betrokkene hierover met redenen omkleed ven voor de verwerking van zijn persoonsgegevens. te informeren. • Voor het verschaffen van afschriften, vernietigen Daarnaast moet de toestemming duidelijk worden onderscheiden van toestemming voor andere aanen uitoefenen van zijn overige rechten mogen gelegenheden. Het intrekken van de toestemming geen kosten in rekening worden gebracht. In moet even eenvoudig zijn als het geven ervan. uitzonderlijke gevallen (bijv. excessieve verzoeken) mogen administratiekosten in rekening worden Twee van de eisen die de AVG stelt aan ‘toestemgebracht of mag de organisatie weigeren aan het ming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ verzoek te voldoen. gegeven is. Om geldige toestemming aan te tonen is • De organisatie mag bij twijfel aan de identiteit van het dan ook essentieel dat aantoonbaar is op basis verzoeker om nadere informatie ter bevestiging van welke informatie betrokkene de toestemming van de identiteit (legitimatie) vragen. heeft gegeven. Het is onvoldoende om alleen de toestemming zelf vast te leggen. Voor een rechtsgeldige toestemming is het tevens noodzakelijk dat deze actief en in volledige vrijheid is gegeven. Dit wordt niet snel aangenomen omdat er een afhankelijkheidsrelatie is tussen werkgever en werknemer.46

46 Groep gegevensbescherming artikel 29 Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679

Hoofdstuk 7

Leidraad Bedrijfsarts en privacy anno 2019 te zijn gebaseerd. Deze rechtsgronden zijn gelegen in: 1. een overeenkomst met betrokkene, ter voorbe- Het gegevensverwerkende proces: welke eisen reiding of uitvoering daarvan stelt de AVG aan privacy-management? 2. een wettelijke verplichting De AVG benoemt een aantal beginselen, een zestal 3. het levensbelang voor iemand grondslagen en een aantal maatregelen ten 4. de juiste vervulling van een overheidstaak behoeve van de verwerking van persoonsgegevens. 5. het belang van de verwerkingsverantwoordelijke De beginselen en grondslagen zijn onder meer dat zwaarder weegt dan het belang van betrokverwerkt in de maatregelen en behoren in het privacykenen beleid en -reglement dat organisaties hanteren terug 6. toestemming van betrokkene. te komen. In dit hoofdstuk vindt u een toelichting op genoemde items op hoofdlijnen en zoveel mogelijk In art. 9 AVG lid 1 is een verbod opgenomen inzake gericht op de bedrijfsgezondheidszorg. het verwerken van bijzondere persoonsgegevens. Gegevens die een (bedrijfs)arts verzamelt over de

Beginselen

gezondheid van een cliënt zijn dergelijke bijzondere In de AVG zijn de beginselen opgenomen waaraan persoonsgegevens. Niet alleen gegevens over iemands iedere verwerking van persoonsgegevens moet gezondheid maar ook over zijn ras en etnische afkomst, voldoen. Organisaties dienen aantoonbaar aan deze religie en een aantal andere aspecten vallen onder dit beginselen (art. 5 lid1en 2) te voldoen. Het gaat om verbod. de volgende beginselen: • Rechtmatigheid: verwerken van persoonsgege- In art. 9 lid 2 zijn uitzonderingen opgenomen op grond vens heeft een gerechtvaardigde grondslag. waarvan verwerking van bijzondere persoonsgegevens • Transparantie: betrokkene is op de hoogte en wel is toegestaan. Artikel 9 lid 2 sub b bevat een heeft − indien van toepassing − aantoonbaar uitzondering om bijzondere persoonsgegevens te motoestemming gegeven voor het verwerken van gen verwerken ter uitvoering van verplichtingen zijn persoonsgegevens. op het terrein van het arbeidsrecht en sociale zeker- • Behoorlijkheid: een niet concreet omschreven heidsrecht. Onder art. 9 lid 2 sub h is specifiek opgeeis die nauw verbonden is met rechtmatigheid nomen dat verwerking van gezondheidsgegevens en transparantie. waaronder die voor preventieve en Arbeidsgenees- • Doelbinding: gegevens worden verzameld/ kunde en de beoordeling van arbeidsgeschiktheid verwerkt met een expliciet omschreven doel en van de werknemer is toegestaan. Deze uitzonderingen worden niet zonder meer aangewend voor andere zijn nader uitgewerkt in art. 30 UAVG. doeleinden. • Gegevensbeperking (dataminimalisatie): er

Maatregelen

worden niet meer gegevens verwerkt dan strikt Organisaties hebben op grond van de AVG een aantal noodzakelijk voor het omschreven doel. specifieke verplichtingen (maatregelen genoemd). • Juistheid: correcte gegevens, periodieke actuali- De maatregelen geven uitvoering aan genoemde sering kan nodig zijn. beginselen en zijn een noodzaak om aan te tonen • Bewaarbeperking: niet langer dan strikt noodhoe een organisatie met persoonsgegevens omgaat. zakelijk voor het doel, tenzij wettelijke plicht. De verplichte maatregelen die de AVG concreet noemt, • De juiste organisatorische en technische maatzijn: regelen, privacy by design en privacy by default. 1. het bijhouden van een register van verwerkings- • De verwerkingsverantwoordelijke moet kunnen activiteiten; aantonen dat aan de wettelijke verplichtingen 2. indien van toepassing het uitvoeren van een data vanuit de AVG wordt voldaan (accountability). protection impact assessment (DPIA); 3. het bijhouden van een register van datalekken

De rechtsgronden voor verwerking

die zijn opgetreden; Iedere verwerking van persoonsgegevens dient op een 4. het aantonen dat een betrokkene daadwerkelijk van de in de art. 6 AVG genoemde zes rechtsgronden toestemming heeft gegeven voor een gege- Leidraad Bedrijfsarts en privacy anno 2019 vensverwerking wanneer voor een verwerking die vallen onder de categorie bijzondere toestemming nodig is; persoonsgegevens, zoals gegevens over 5. wanneer onduidelijk is of een organisatie verplicht godsdienst, gezondheid en politieke voorkeur is om een Functionaris gegevensbescherming of strafrechtelijke gegevens. aan te stellen, is een goede onderbouwing nodig Verder is het verplicht logbestanden bij te waarom ervoor gekozen is al dan niet een FG aan houden.49 te stellen. • Organisaties kunnen verplicht zijn een data protection impact assessment (DPIA) uit te Aanvullende maatregelen, niet verplicht wel sterk aanbevolen, zijn: voeren. Dit houdt in dat zij volgens een methodiek 6. het aansluiten bij een gedragscode; privacy-risico’s van gegevensverwerking in kaart 7. het behalen van een bepaald certificaat47; brengen. Daarop dient de organisatie maatrege- (nog niet ontwikkeld voor zover bekend) len te baseren om de risico’s te verkleinen. 8. het hanteren van een specifiek ICT-beveiligings- Er zijn 9 criteria om te beoordelen of een DPIA beleid; noodzakelijk is. Wanneer aan 2 van de 9 criteria 9. het afleggen van verantwoording over de verwerwordt voldaan is een DPIA noodzakelijk, in king van persoonsgegevens in uw jaarverslag of in overige situaties wordt het aangeraden maar niet een speciaal privacy-jaarverslag. verplicht. Voor de bedrijfsgezondheidszorg zijn de meest relevante criteria de volgende: Toelichting bij een aantal begrippen en -

Bijzondere persoonsgegevens

maatregelen - Grootschalige gegevensverwerking; •

De verantwoordingsplicht (accountability)

• Gegevens over kwetsbare personen. Personen Organisaties hoeven verwerkingen van persoonsdie niet in vrijheid toestemming hebben gegevens niet meer te melden bij de Autoriteit kunnen geven vanwege ongelijke machts- Persoonsgegevens. Organisaties hebben daarverhoudingen (bijvoorbeeld werknemers, entegen een grotere verantwoordingsplicht kinderen en patiënten). gekregen (accountability). Dit houdt in dat de verwerkingsverantwoordelijke met documenten Een DPIA is een continu proces. Deze dient dan ook remoeten kunnen aantonen hoe wordt voldaan gelmatig te worden herhaald. Aanleiding om een DPIA aan de AVG, bijvoorbeeld dat de juiste organisate herhalen bestaat onder andere als de omgeving torische en technische beveiligingsmaatregelen wijzigt of het doel van de verzameling of technologie zijn genomen. ingrijpend verandert. • Een van de verplichtingen in dit kader is ook het • Organisaties kunnen verplicht zijn een functiobijhouden van een verwerkingsregister. Een vernaris gegevensbescherming (FG) aan te stellen. werkingsregister is verplicht voor alle organisaties Een FG is verplicht voor organisaties die zorg met meer dan 250 medewerkers. Organisaties verlenen en voor organisaties die op grote schaal met minder dan 250 medewerkers dienen een bijzondere persoonsgegevens verwerken en dit register bij te houden wanneer de verwerking een kernactiviteit is. Deze FG heeft een belangrijke persoonsgegevens betreft: taak bij gegevensbescherming. De FG is niet die een hoog risico inhouden voor de rechten eindverantwoordelijk voor het privacybeleid. en vrijheden van de betrokkenen en/of; De FG heeft een onafhankelijke positie binnen waarvan de verwerking niet incidenteel is48 de organisatie. Zijn taken zijn toezicht houden, en/of; signaleren en adviseren in het kader van privacy.

47 De AVG stimuleert het ontwikkelen van gedragscodes (bv per branche), die gecertificeerd worden door de AP. Art. 40-43 AVG

48 aldus geldt dus voor vrijwel alle verwerkingen dat ze in een register moeten worden opgenomen (behalve als ze echt incidenteel zijn),

dus ook in organisaties met <250 medewerkers.

49 NEN7513:2018

De FG is contactpersoon voor de AP. Hij geniet Voor meer gedetailleerde informatie zie de site van de ontslagbescherming vergelijkbaar met OR-leden. AP: https://autoriteitpersoonsgegevens.nl

Criteria op grote schaal

Criteria ter bepaling of er sprake is van verwerken op grote schaal: het aantal betrokkenen (de mensen van wie gegevens worden verwerkt); de hoeveelheid gegevens die worden verwerkt; de duur van de gegevensverwerking; de geografische reikwijdte van de verwerking. Verwerking van bijzondere persoonsgegevens door individuele artsen (de eenpitters) valt niet onder grootschalige verwerking. De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de Autoriteit Persoonsgegevens (AP) altijd als grootschalig. Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem.50

Datalekken

Een inbreuk op de beveiliging van persoonsgegevens kan bewust of onbewust / per ongeluk gebeuren. Een hacker is bewust uit op het maken van een datalek, een verkeerd verstuurde mail is meestal een onbedoeld datalek. Elke organisatie of verwerkingsverantwoordelijke is verplicht een registratie van datalekken bij te houden en moet deze meestal melden aan de AP en in bepaalde gevallen ook aan betrokkene(n), namelijk wanneer het lek waarschijnlijk een hoog risico betekent voor diens rechten en vrijheden, bijvoorbeeld vanwege de mogelijkheid van chantage of identiteitsfraude. De criteria om te beoordelen of er sprake is van een hoog risico zijn nog in ontwikkeling. Op de site van de AP zijn voorbeelden opgenomen die behulpzaam kunnen zijn bij de beoordeling of een datalek aan de AP en/of aan betrokkene(n) moet worden gemeld.51

Aanscherping van de maatregelen

Een aanscherping van de maatregelen die de AP kan opleggen bij overtreding (max. € 20 miljoen of 4% van de wereldwijde jaaromzet).

50 Bron: Autoriteit Persoonsgegevens, ‘Uitleg begrip ‘grootschalig’ verduidelijkt voor alle zorgaanbieders’.

Nieuwsbericht, 11 december 2018. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/uitleg-begrip-%E2%80%98 grootschalig%E2%80%99-verduidelijkt-voor-alle-zorgaanbieders.

51 Voorbeeldlijst wel/niet melden datalek (AP, 2019): https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2019_voorbeeldlijst_wel_

niet_melden_datalek_def.pdf

Definities (art.4 AVG)

Onderstaand een aantal voor de bedrijfsgezondheidszorg belangrijke definities in kernwoorden. Voor de letterlijke tekst zie genoemd artikel. • Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn • Betrokkene: een identificeerbaar natuurlijk persoon • Bijzondere persoonsgegevens: gevoelige gegevens genoemd in art.9 lid 1 AVG • Ontvanger: degene of de organisatie aan wie persoonsgegevens worden verstrekt • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon • Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt. • Verwerking: alle bewerkingen m.b.t. persoonsgegevens zoals verzamelen, vastleggen, verwijderen al dan niet via geautomatiseerde procedés uitgevoerd. • Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die/dat ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. • Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die/dat alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt

Overig

• Client: In deze leidraad bedoelen we met de term cliënt de werknemer. De werknemer/cliënt is de betrokkene in de zin van de AVG.

Lijst van afkortingen

AP Autoriteit Persoonsgegevens ARAR Algemeen Rijksambtenarenreglement AVG Algemene Verordening Gegevensbescherming BA Bedrijfsarts BIG Beroepen in de individuele gezondheidszorg CAO Collectieve arbeidsovereenkomst DO Deskundigen oordeel DPIA Data protection impact assessment ERD Eigenrisicodrager EU Europese Unie FG Functionaris gegevensbescherming ICT Informatie- en communicatietechnologie KNMG Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst NVAB Nederlandse Vereniging voor Arbeids- en Bedrijfsgeneeskunde OR Ondernemingsraad OVAL Organisatie voor Vitaliteit, Activering en Loopbaan PET Privacy-Enhancing Technologies PMO Preventief medisch onderzoek SUWI Wet structuur uitvoeringsorganisatie werk en inkomen UAVG Uitvoeringswet Algemene Verordening Gegevensbescherming UWV Uitvoeringsinstituut werknemersverzekeringen Wbp Wet bescherming persoonsgegevens WGA Regeling werkhervatting gedeeltelijk arbeidsgeschikten WGBO Wet geneeskundige behandelingsovereenkomst WIA Inkomensvoorziening Volledig Arbeidsongeschikten WMO Wet maatschappelijke ondersteuning Wvp Wet verbetering poortwachter ZZP Zelfstandige zonder personeel

Literatuur/ geraadpleegde bronnen

• Grip op de AVG, de nieuwe privacywet voor niet-juristen; dr. Koen Versmissen CIPP/E; mr. Drs. Jeroen Terstegge CIPP-E/US; Natalja Krijgsman MSc CIPM; Wolters Kluwer, 2017 • Sdu Commentaar AVG, editie 2019; mr.drs. T.F.M. Hooghiemstra; mr.dr. S. Nouwt; Sdu Uitgevers bv Den Haag, 2019

Richtlijnen en leidraden

• Leidraad Verplichte medische keuringen van werknemers tijdens hun dienstverband (NVAB, 2007) • Kernwaarden van de Bedrijfsarts (NVAB, 2012) • Het Professioneel Statuut van de bedrijfsarts (NVAB, 2003) • Richtlijn inzake het omgaan met medische gegevens (KNMG, 2018) • Code gegevensverkeer en samenwerking bij arbeidsverzuim en reïntegratie (KNMG, 2007) • Richtlijn online arts-patiëntcontact, herziene versie (KNMG, 2007) • Taken en verantwoordelijkheden van de bedrijfsarts in het kader van de verzuimbegeleiding en re-integratie (KNMG, 2009) • Werkwijzer ‘Handelen van de bedrijfsarts op verzoek van eigenrisicodragers Ziektewet’ (NVAB, 2014) • Werkwijzer ‘Handelen van de bedrijfsarts op verzoek van eigenrisicodragers WGA (NVAB, 2014) • NTA 7516:2019, Hoofdstuk 6, Richtlijnen voor professionals • NEN7513:2018

Wet- en regelgeving

m.b.t. AVG & UAVG: • L 119/1 Publicatieblad van de Europese Unie (27 april 2016) • Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming (Ministerie van Justitie en veiligheid, 2018) & Memorie van toelichting Uitvoeringswet Algemene verordening gegevensbescherming • Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) m.b.t. AP: • De zieke werknemer. Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers (AP, 2016) • Website van de Autoriteit Persoonsgegevens (AP); https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving • AVG helpdesk; https://www.avghelpdeskzorg.nl/onderwerpen/e-mail-om-persoonsgegevens-te-delen

Overig:

• Wijzigingswet Burgerlijk Wetboek, enz. (geneeskundige behandelingsovereenkomst) (WGBO) • Wet op de beroepen in de individuele gezondheidszorg (wet BIG) • Wet verbetering poortwachter (Wvp) • Regeling procesgang eerste en tweede ziektejaar • Wet structuur uitvoeringsorganisatie werk en inkomen (wet SUWI) • Wet op de medische keuringen • Burgerlijk Wetboek Boek 7