Overal in het land treffen werkgevers maatregelen om de verspreiding van het coronavirus te beperken. Vooral werknemers die tot de risicogroepen behoren, willen zij dan ook beschermen. ER zijn echter veel vragen over in welke mate zij volgens de privacywetgeving gezondheidsgegevens mogen raadplegen en verwerken in het kader van hun beslissingen. Mogen ze bijvoorbeeld de temperatuur afnemen bij medewerkers of mogen ze hen een medische vragenlijst laten invullen? Hieronder vind je de belangrijkste privacyregels die de werkgever in acht moet nemen. Bovendien worden een aantal praktische vragen beantwoord.
Rechtmatigheidsgronden binnen de privacywetgeving
De eerste vraag die zich stelt is of je als werkgever gegevens van je medewerkers mag verwerken om op eigen houtje te bepalen wie al dan niet tot een risicogroep behoort en dus dienstvrijstelling krijgt. Opdat je persoonsgegevens mag verwerken, moet je je op een van volgende rechtmatigheidsgronden beroepen:
- Toestemming van de betrokkene
- Noodzakelijkheid voor de uitvoering van de overeenkomst
- Noodzakelijkheid om te voldoen aan een wettelijke verplichting
- Noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen
- Noodzakelijkheid ter vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen
- Noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke.
Niet mogelijk ter bescherming van vitale belangen
Ondernemingen die zich willen beroepen op de vitale belangen van de betrokkene of andere natuurlijke personen komen op dit moment van een kale reis terug. In het kader van de laatste informatie die door de FOD Volksgezondheid werd gepubliceerd, volstaat deze grond niet voor het verwerken van de persoonsgegevens van werknemers. Daarom is het aangewezen om steeds toestemming te vragen aan de betrokkene.
Uitdrukkelijk verbod op verwerking gezondheidsgegevens
Verder dien je er rekening mee te houden dat er ten aanzien van gezondheidsgegevens een verwerkingsverbod wordt opgelegd. Voor ondernemingen is het enkel mogelijk om gezondheidsgegevens te verwerken indien er voldaan is aan de eisen van artikel 9, lid 2, i) AVG:
i) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;”
Het verwerken van gezondheidsgegevens is met andere woorden enkel mogelijk indien de bevoegde overheden uitdrukkelijke richtlijnen opleggen. Als werkgever ben je dan ook steeds afhankelijk van de gegevens die al dan niet door de arbeidsgeneesheer worden verstrekt.
| Mag de werkgever zijn werknemers verplichten om een (medische) vragenlijst in te vullen? |
| Indien de werknemer daarvoor zijn toestemming geeft, mag de werkgever aan de werknemer vragen om een aantal vragen te beantwoorden. Zo kan de werkgever vragen of de werknemer risicovolle reizen heeft gemaakt tijdens de recente verlofperiode. De werknemer kan echter niet gedwongen worden om de vragen te beantwoorden.
Het laten invullen van een medische vragenlijst is niet toegestaan. De werknemer moet zelf proactief contact opnemen met de arbeidsgeneesheer wanneer hij meent symptomen te hebben. |
Algemene beginselen bij gegevensverwerking
Wanneer het voor de werkgever mogelijk is om persoonsgegevens te verwerken, bijvoorbeeld op basis van de toestemming van de betrokkene, moet de werkgever nog steeds een aantal algemene beginselen respecteren:
- De verwerking van de persoonsgegevens moet proportioneel zijn met het na te streven doel;
- De verwerking van de persoonsgegevens mag niet verder gaan dan wat minimaal noodzakelijk is om het doel te bereiken;
- De verwerking van de persoonsgegevens moet transparant Als werkgever moet je de werknemers voldoende informeren over de verwerkingsdoeleinden en de bewaartermijn van de persoonsgegevens;
- Je moet de nodige beveiligingsmaatregelen nemen om de persoonsgegevens te beschermen.
| Mag je als werkgever systematisch de lichaamstemperatuur van werknemers opnemen bij het betreden van bedrijven? |
| Dergelijke maatregelen zijn niet proportioneel en behoren toe aan de arbeidsgeneesheer, wanneer hij een vermoeden heeft dat een werknemer aan het coronavirus werd blootgesteld. De werkgever mag geen systematische controles uitvoeren. |
| Mag je de identiteit van besmette collega’s bekendmaken? |
| Zo’n bekendmaking gaat verder dan wat minimaal noodzakelijk is, namelijk het beschermen van de collega’s. De werkgever mag hoogstens communiceren dat iemand in het bedrijf besmet was, zonder de identiteit van de betrokkene kenbaar te maken. |
