Berichten

Nieuwe beleidsregels Autoriteit Persoonsgegevens: wat mag een werkgever (niet) aan een zieke werknemer vragen?

Algemeen

Een werkgever heeft informatie over een zieke werknemer nodig, bijvoorbeeld om vast te stellen of het loon moet worden doorbetaald of om re-integratiemogelijkheden in kaart te brengen. Werkgevers mogen echter vanwege het recht op privacy van de werknemer niet informeren naar zaken als de aard en oorzaak van de ziekte. Alleen een arbodienst of bedrijfsarts mag deze medische gegevens verwerken. Werkgevers mogen enkel vragen naar informatie die noodzakelijk is om te kunnen bepalen hoe het verder moet met de werkzaamheden, zoals de (verwachte) duur van de ziekte.

De zieke werknemer kan wel uitdrukkelijk toestemming geven voor het verwerken van meer (persoons-)gegevens, maar van een dergelijke uitdrukkelijke toestemming is in de arbeidsverhouding niet snel sprake. Gelet op de gezagsverhouding tussen werkgever en werknemer zal een werknemer zich immers al snel gedwongen voelen om toestemming te verlenen.   

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens die zijn neergelegd in de Wet bescherming persoonsgegevens (Wbp). De AP kan op grond van de Wbp tegenwoordig hoge boetes opleggen bij een overtreding van de wet, wat maakt dat de werkgever belang heeft bij naleving daarvan. Eind april 2016 publiceerde de AP de beleidsregels ‘De zieke werknemer’ (Beleidsregels). Het doel is om hiermee een kader te stellen aan werknemers, werkgevers en andere partijen die gegevens over de gezondheid van zieke werknemers verwerken, zoals arbodiensten, bedrijfsartsen en het UWV.

In de Beleidsregels staat welke gegevens de werkgever en andere partijen wel en niet mogen verwerken in verschillende fasen van het arbeidsproces: de sollicitatieprocedure, de ziekmelding en de re-integratie. Ook gaan de Beleidsregels in op de bewaartermijnen van gegevens.

De sollicitatieprocedure

Een werkgever mag niet naar de gezondheid, het verzuimverleden of de kinderwens/zwangerschap van een sollicitant vragen. Een sollicitant is alleen verplicht melding te maken van gezondheidsklachten waarvan hij weet of moet begrijpen dat deze hem ongeschikt maken voor de functie. Een medische aanstellingskeuring is alleen toegestaan wanneer aan de vervulling van de functie bijzondere eisen worden gesteld voor wat betreft aan de medische geschiktheid van de sollicitant. Er gelden ook dan strikte eisen, zoals dat slechts die (medische) aspecten mogen worden onderzocht die noodzakelijk zijn voor de vervulling van de functie.

De ziekmelding

De werkgever mag bij de ziekmelding slechts een beperkt aantal gegevens over de gezondheid van de zieke werknemer vragen en registreren:

  • telefoonnummer en (verpleeg)adres;

  • vermoedelijke duur van het verzuim;

  • lopende (werk)afspraken en werkzaamheden;

  • of de werknemer onder één van de vangnetbepalingen van de Ziektewet valt;

  • of de ziekte verband houdt met een arbeidsongeval;

  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

De re-integratie

De werkgever beoordeelt of een zieke werknemer recht heeft op loondoorbetaling en baseert zich daarbij op het advies van de bedrijfsarts/arbodienst. De bedrijfsarts/arbodienst mag aan de werkgever een beperkt aantal gegevens over de gezondheid van de zieke werknemer verstrekken:

  • De werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;

  • De verwachte duur van het verzuim;

  • De mate waarin de werknemer arbeidsongeschikt is;

  • Eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

De bedrijfsarts/arbodienst mag dus bijvoorbeeld geen informatie verstrekken over de specifieke klachten, therapieën, afspraken met artsen of privéproblemen. 

Bewaartermijnen

Voor administratieve verzuimgegevens (zoals de datum van de ziekmelding, de verwachte duur van het verzuim en de datum van herstel) is meestal geen wettelijke bewaartermijn. De werkgever moet deze gegevens verwijderen zodra ze niet meer noodzakelijk zijn. Aangenomen wordt als redelijke bewaartermijn dan maximaal twee jaar nadat de werknemer uit dienst is. Let echter wel: als de werkgever eigenrisicodrager is voor de Ziektewet, dan geldt dat de werkgever de gegevens vijf jaar voor het UWV moet bewaren (en de bedrijfsarts tien jaar). Voor eigenrisicodragerschap WGA mogen de gegevens voor de duur van het WGA-traject bewaard blijven (tien jaar).

Slot

De Beleidsregels bieden op zich heldere richtlijnen en de AP heeft tegenwoordig meer handhavingsbevoegdheden. Dit betekent dat het voor een werkgever belangrijk is om zorgvuldigheid te betrachten teneinde boetes en schadevergoedingsclaims te voorkomen. Tegelijkertijd loopt het in de praktijk veelal niet zo’n vaart omdat werkgevers en werknemers zich vaak niet bewust zijn van wat er wel en niet gevraagd mag worden. Wellicht brengt de publicatie van de (vernieuwde) Beleidsregels hier verandering in. 

Vergeet mij toch maar liever wel

Het “Google arrest” van het Europese Hof van Justitie (Hof van Justitie EU 13 mei 2014, zaaknummer C-131/12) deed vorig jaar veel stof opwaaien. Doordat het Hof van Justitie vaststelde dat het “recht om vergeten te worden” ook geldt voor zoekmachines was de angst dat de informatievrijheid in het geding zou komen en er “internetcensuur” zou ontstaan.

Container kwestie

Dat Google niet alle resultaten “censureert” blijkt onder meer uit een recent vonnis van de rechtbank Amsterdam. Het ging in dit geval over een partner van accountantskantoor KPMG dat een geschil had met zijn aannemer die zijn woonhuis had verbouwd. De partner had een rekening van 200.000 euro niet betaald omdat hij ontevreden was over het schilderwerk. Vervolgens verving de aannemer de sloten van het huis waardoor de partner en zijn gezin langere tijd in “containers” bij het huis moesten wonen.

De Telegraaf pikte het geschil op en vervolgens werd dit min of meer breed uitgemeten in een aantal andere (landelijke) media. Natuurlijk kwamen daardoor allerlei artikelen naar voren in de Google resultaten als de naam van de man werd ingetoetst. De man vroeg daarom om de links naar de artikelen te verwijderen. De man stelde bij de rechter dat het geschil twee en half jaar oud was, dat zijn gezin regelmatig met de kwestie werd geconfronteerd en dat het slecht was voor zijn professionele profiel en carrière.

De rechter gaat hier niet in mee.

Relevantie zoekresultaten

Opvallend is dan dat de rechter zegt dat het bij de toepassing van het zogenoemde ‘verwijderingsrecht’ vooral gaat om de relevantie van de gevonden zoekresultaten, en niet zozeer om de vraag of de inhoud van (in dit geval) de gevonden artikelen zelf ontoereikend, irrelevant of bovenmatig is. Als de man wilde dat de artikelen werden verwijderd dan had hij dat moeten verzoeken op grond van onrechtmatige perspublicatie want het verwijderingsrecht is niet bedoeld om onwegevallige maar niet onrechtmatige artikelen aan het zich van het publiek te onttrekken, aldus de rechter.

Dit is volgens mij in strijd met het oordeel van het Hof van Justitie dat het recht op verwijdering ook bestaat als de artikelen zelf rechtmatig zijn (r.o. 88 arrest). Het Hof zei dit omdat de media zich vaak kunnen beroepen op een wettelijke uitzondering voor het verwerken van persoonsgegevens. Zoekmachines kunnen dat dus juist niet want zij bedrijven geen journalistiek.

Daarnaast: als de inhoud van de artikelen niet relevant is bij de beoordeling of de resultaten relevant zijn, hoe kan dan worden beoordeeld of die resultaten nog relevant zijn? Dat lijkt mij niet juist.

Google en rechter: te grote nieuwswaarde om te verwijderen

Vervolgens gaat de rechter wel ín op de inhoud van de artikelen. Google heeft allerlei redenen aangevoerd waarom de artikelen nieuwswaarde hebben en de resultaten niet zouden moeten worden aangepast. Zij zegt onder andere dat de artikelen verband houden met de discussie over de financiële moraal van topmannen uit het bedrijfsleven, waartoe eiser kan worden gerekend als partner bij KPMG – er staat alleen niet vast dat deze partner ook betrokken was bij de KPMG fraude. En omdat de artikelen zijn verschenen in diverse nationale media vond Google dat het kennelijk zo veel nieuwswaarde had dat de resultaten niet moesten worden verwijderd. Ook zegt Google dat de artikelen nog relevant zijn omdat ze stammen uit de periode 2012-2014. Terzijde: er is volgens mij niet veel nieuwswaarde nodig om in de Telegraaf te worden genoemd en de artikelen hebben meer weg van leedvermaak dan daadwerkelijke nieuwswaarde.

De rechter volgt de argumenten van Google en zegt dat, hoewel het goed voorstelbaar is dat eiser het onprettig vindt om steeds door kennissen of zakelijke contacten te worden geconfronteerd met de ‘container-kwestie’, dit niet opweegt tegen “het recht van Google op informatievrijheid”. Daarbij speelt voor de rechter een rol dat niet valt in te zien dat de genoemde artikelen, zoals de man stelt, onnodig diffamerend zijn voor hem. Dat hij een geschil had met een aannemer, zoals de verschillende media berichten, zegt niets over zijn verwijtbaarheid. Ook valt niet in te zien dat het feit dat de man langer dan nodig in een noodwoning met containers heeft moeten wonen diffamerend is voor hem, “hij woonde daar immers al maanden”.

Doorstaat het oordeel de toets van het Google arrest?

Hoewel het oordeel van de rechter niet verrassend is, mede gezien de storm van kritiek na het Google arrest omdat het internet gecensureerd zou worden maar ook wel door de manier waarop de KPMG-partner in de media neer wordt gezet (als een “rode bretels drager” die veel geld uit geeft), denk ik niet dat het in dit geval de toets van het Google-arrest van het Hof van Justitie zal doorstaan.

Wat vooral opvallend is, is dat de rechter de volgende algemene overweging maakt, die ook al eerder in een uitspraak van de Amsterdamse rechter terugkwam:

“Allereerst wordt overwogen dat terughoudendheid is geboden bij het opleggen van beperkingen aan de werking van een zoekmachine als Google Search. Zoekmachines als Google Search vervullen immers een belangrijke maatschappelijke functie. De functie van catalogus, die de zoekmachine in feite is, zou ernstig worden belemmerd indien strenge beperkingen aan de werking ervan zou worden opgelegd en daarmee zou de zoekmachine aan geloofwaardigheid inboeten. Het ‘verwijderingsrecht’is een uitzondering op het algemene uitgangspunt op het recht van Google Inc op informatievrijheid, waaraan strenge eisen worden gesteld.”

Dit staat volgens mij lijnrecht tegenover de interpretatie die het Hof van Justitie in het Google arrest aan de afweging van de belangen geeft.

Het Hof stelde daarin eerst vast dat Google zoekresultaten de persoonlijke levenssfeer ernstig kunnen aantasten omdat daardoor op eenvoudige wijze wereldwijd een min of meer gedetailleerd profiel van een persoon kan worden verkregen. Dit wordt nog versterkt door de rol die zoekmachines spelen in de moderne maatschappij. Gelet op de potentiële ernst van de inmenging moet worden vastgesteld dat zij niet kan worden gerechtvaardigd door louter het economisch belang dat de exploitant van een dergelijke zoekmachine bij deze verwerking heeft.

Maar, omdat de verwijdering van de koppelingen uit de resultatenlijst, naargelang van de betrokken informatie, gevolgen kan hebben voor het gerechtvaardigde belang van de internetgebruikers die potentieel toegang daartoe willen krijgen (het Hof van Justitie zegt hier niet het “grondrecht” op “informatievrijheid” van internetgebruikers of van Google), moet worden gezocht naar een juist evenwicht tussen dat belang en het recht op eerbiediging van de persoonlijke levenssfeer.

Van belang is dat het Hof vervolgens vaststelt dat in de regel het recht op eerbiediging van de levenssfeer voorrang heeft boven de belangen van internetgebruikers en in bijzondere gevallen daar een uitzondering voor kan worden gemaakt. Of dat het geval is zal afhangen van de aard van de betrokken informatie en de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze persoon in het openbare leven speelt.

Het uitgangspunt is dus eerbiediging van de persoonlijke levenssfeer en daarop kan een uitzondering op worden gemaakt in het belang van het publiek op toegang tot de informatie. De rechtbank draait dit dus om en zegt dat “het recht van Google op informatievrijheid” als uitgangspunt geldt waar bovendien “strenge eisen” aan worden gesteld (niet duidelijk is wat die eisen dan zijn) en – in feite – de eerbiediging van de persoonlijke levenssfeer als uitzondering geldt.

Persoonlijke mening

Als je in dit geval de impact bekijkt op de privé-sfeer van de KPMG-partner en van zijn familie en op zijn professionele leven: het gaat om een privé-geschil dat niet relevant is voor zijn professionele leven, het is min of meer toevallig dat er in die periode een affaire was rond het kantoor waar hij partner is (maar waar hij kennelijk niet betrokken bij was) en het is inderdaad niet bepaald bevordelijk voor je professionele profiel als dit soort artikelen naar voren komen wanneer klanten je naam intoetsen – dan lijkt mij die impact vele malen groter dan het belang van het publiek om iets te weten over een eigenlijk oninteressante privékwestie van een KPMG partner, dat al twee en half jaar eerder is opgelost. Bovendien kunnen mensen die wel geïnteresseerd zijn in de kwestie de artikelen via Google vinden met zoekwoorden als “KPMG-partner” en “container” (probeer het maar eens) dus de informatievrijheid komt daardoor naar mijn mening niet in het geding.

Registratie bij zwarte lijst telecomproviders niet altijd juist

Waarschijnlijk heeft iedereen wel eens een telefoonrekening niet betaald. Ofwel omdat hij het niet kan, of omdat hij is verhuisd, of omdat er een fout is gemaakt in de rekening of omdat hij het om een andere reden niet eens is met de rekening. Soms, of misschien vaker dan soms, volgt dan registratie in de zwarte lijst van de Stichting Preventel.

Wat is Preventel?

Telecomproviders hebben blijkbaar met zoveel wanbetalers te maken dat er een aparte stichting voor is opgezet met de naam Preventel. Preventel houdt een zwarte lijst bij waarin wanbetalers worden opgenomen. Als de wanbetaler dan bij een van de aangesloten operators een contract wil afsluiten kan hij vanwege de registratie bij Preventel als klant worden geweigerd. Dat op zich kan behoorlijk vervelend zijn en is al helemaal niet terecht als je geen “echte” wanbetaler bent.

Het schijnt bijzonder lastig te zijn om contact te krijgen met Preventel, en ook lang te duren voordat er antwoord komt met inzicht in de eigen. Ik ken iemand die daarvoor drie brieven moest schrijven. Brenno de Winter schreef er in 2009 al een artikel over op Webwereld.

Niet alleen echte wanbetalers worden aangemeld

Het probleem met Preventel is dat telecomproviders niet alleen maar de echte wanbetalers in de zwarte lijst laten zetten. Ook wanneer er een goede reden is om een rekening niet te betalen gebeurt dat. Met het gevolg dat je onterecht wordt “achtervolgd” door de Preventel registratie en geen telefoonabonnement meer af kan sluiten.

Dit overkwam ook een bedrijf uit Beek. Het bedrijf had een geschil met Vodafone over de vraag of er wel of niet een overeenkomst tot stand was gekomen. Vodafone stuurde facturen die het bedrijf betwistte. Na vijf aanmaningen waar geen betaling op volgde werd het bedrijf bij Preventel aangemeld. Met als gevolg dat ze geen telefoonabonnement af kon sluiten bij een andere provider.

Het bedrijf vordert bij de Rechtbank Maastricht dat Vodafone en Preventel de registratie van het bedrijf uit de zwarte lijst halen. De Rechtbank geeft het bedrijf gelijk: de registratie moet worden verwijderd. Preventel schrijft zelf op haar website dat zij een maatschappelijk doel dient, namelijk om mensen en bedrijven tegen zichzelf te beschermen en niet verplichtingen aan te gaan die zij niet na kunnen komen. Hieruit volgt volgens de rechtbank dat aanmelding bij Preventel alleen kan worden gedaan wanneer de wanbetaling het gevolg is van financieel onvermogen van de aanvrager. Daar valt niet “wanbetaling” onder die verband houdt met een zakelijk conflict over de verschuldigdheid van abonnementskosten. Vodafone heeft ook tijdens de rechtszaak niet de indruk weg kunnen nemen dat oneigenlijk gebruik is gemaakt van de Preventel registratie om het bedrijf tot betaling te dwingen.

Telecomproviders moeten gerechtvaardigd belang hebben

Het oordeel van de rechtbank lijkt mij juist. De telecomproviders moeten op grond van de Wet Bescherming Persoonsgegevens een gerechtvaardigd belang hebben bij het aanmelden van niet-betalingen en dat belang moet bovendien zwaarder wegen dan het belang van de niet-betaler. Naar mijn mening weegt dat gerechtvaardigd belang van de telecomprovider zwaarder bij echte wanbetaling zonder reden of als gevolg van financieel onvermogen. Maar dat belang weegt niet zwaarder wanneer iemand niet betaalt omdat hij een factuur betwist of om andere goede redenen. De telecomprovider mag dan niet bij Preventel aanmelden en handelt naar mijn mening in strijd met de Wet Bescherming persoonsgegevens door dat wel te doen.

Extra zorgvuldigheid geboden bij branche-brede zwarte lijsten

Bij zwarte lijsten die binnen een branche worden gedeeld moet extra terughoudend met aanmeldingen worden omgegaan omdat iemand dan volledig van een bepaalde dienst kan worden uitgesloten. In de zaak van Vodafone gaf Vodafone zelf toe dat, als je eenmaal in de zwarte lijst bent opgenomen, geen van de aangesloten providers nog een contract met je wilt sluiten. Ook gaf Vodafone toe dat er na 5 aanmaningen automatisch een aanmelding bij Preventel volgt, blijkbaar ongeacht de reden voor het niet betalen.

De telecomproviders zouden intern dus een (betere) procedure moeten hebben om vast te stellen wanneer iemand bij Preventel mag worden aangemeld of niet. Ook moeten ze de betreffende persoon informeren over het feit dat ze hem hebben aangemeld bij Preventel. Anders voldoen zij niet aan de Wet Bescherming Persoonsgegevens. Wellicht iets voor het College Bescherming Persoonsgegevens om eens een onderzoek naar te doen, nu ze toch al met de telecomproviders bezig zijn?

Melding Preventel bij het CBP kennelijk niet compleet

Interessant is nog dat de melding van Preventel bij het College Bescherming Persoonsgegevens (zie hier) kennelijk niet volledig en actueel is. In die melding staat dat alleen KPN, Vodafone, T-Mobile, Orange (valt nu onder T-Mobile) en Debitel aangesloten zijn terwijl Preventel op de website zelf schrijft zij dat ook Telfort, Tele2, RaboMobiel, Yes Telecom, Ben (bestaat dat nog?) en Connect-it aangesloten zijn.

Uitspraak Rechtbank er bij pakken

Dus: degene die er achter komt dat hij ten onrechte door een telecomprovider bij Preventel is geregistreerd kan deze uitspraak van de Rechtbank Maastricht er bij pakken om te beargumenteren dat die registratie niet geldig was, en dat hij uit het register moet worden verwijderd. Wie weet helpt dat.