FAQ: privacy & gegevensbescherming

13 vragen en antwoorden
Gerelateerd: Beroepsgeheim | Dossieroverdracht | Inzagerecht

1. Wat betekent de Algemene Verordening Gegevensbescherming (AVG) voor de bedrijfsarts?

De Algemene verordening gegevensbescherming (AVG) bevat aangescherpte privacyregels die sinds 25 mei 2018 gelden voor alle maatschappelijke sectoren, waaronder de zorg. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG is opgesteld om gegevensbescherming in de Europese Unie te reguleren. Alle landen binnen de Europese Unie hebben nu dezelfde regels rondom privacy. De regels hebben tot doel dat organisaties zorgvuldig met persoonsgegevens omgaan. Ook bedrijfsartsen hebben er dan ook zeker mee te maken. Overtredingen van de Algemene verordening gegevensbescherming (AVG) kunnen leiden tot hoge boetes.

Wat dit in de praktijk nu precies betekent voor de bedrijfsarts is afhankelijk van de organisatie waar deze werkzaam is. De Autoriteit Persoonsgegevens heeft een 10- stappenplan opgesteld dat zicht geeft op de belangrijkste AVG-thema’s.

Meer informatie:
- Website autoriteit persoonsgegevens: Algemene informatie AVG en Zorgaanbieders en de AVG
- Website KNMG: Antwoord op uw vragen over de nieuwe privacyregels AVG

« Terug naar index

2. Mogen werkgever en werknemer volgens de privacyregels over functionele mogelijkheden en beperkingen praten?

Werkgevers mogen geen medische gegevens van ziekgemelde werknemers registreren. Dat betekent volgens de AP dat de werkgever de werknemer ook niet mag vragen naar diens functionele mogelijkheden en beperkingen omdat daaruit mogelijk wel informatie over de gezondheid is te herleiden. Mits de werknemer dat in vrijheid kan doen (of laten) mogen werkgever en werknemer wel praten over taken en functies die de werknemer nog wel kan verrichten. Om iedere druk of dwang te voorkomen staat de AP erop dat dit gesprek over re-integratie alleen plaatsvindt op initiatief van de werknemer. Zo kunnen werkgever en werknemer ook zonder tussenkomst van de bedrijfsarts in gesprek gaan over re-integratie, zij het dat het gesprek beperkt moet blijven tot concrete (deel) functies of (deel) taken en alleen op initiatief van de werknemer.

De NVAB heeft in een gezamenlijke verklaring met andere partijen in het veld, de werknemers opgeroepen dat gesprek over re-integratie met de werkgever spontaan te beginnen tenzij er zwaarwegende bezwaren tegen bestaan. 

Nadat de bedrijfsarts geadviseerd heeft over de functionele mogelijkheden en beperkingen van werknemer is er meer mogelijk. Ná het advies van de bedrijfsarts kunnen werkgever en werknemer wel gerichter overleggen over de arbeidsmogelijkheden die resteren en daarbij wel de functionele mogelijkheden en beperkingen betrekken. Dit kan na een spreekuurcontact bij de bedrijfsarts of in een (bijstelling van) de probleemanalyse. De bedrijfsarts ziet er op toe dat in die rapportages geen medische gegevens terecht komen en voorts dat er alleen voor het lopende ziektegeval relevante gegevens over de belastbaarheid vermeld worden (zie NVAB-leidraad Bedrijfsarts en Privacy). Het advies van de bedrijfsarts zorgt er voor dat werkgever en werknemer gezamenlijk tot een effectief plan van aanpak kunnen komen zonder dat er medische gegevens uitgewisseld worden.

Zie ook

« Terug naar index

3. Welke informatie is werknemer verplicht te delen met de bedrijfsarts?

De werknemer is volgens het burgerlijk wetboek verplicht om bij verzuim en re-integratie die informatie te met de bedrijfsarts te delen die noodzakelijk is om het verzuim en de re-integratie te begeleiden. Dat betekent dat werknemer de verplichting heeft om de bedrijfsarts te informeren over de aard en de oorzaak van zijn ziekte, over de (voortgang van) de behandeling en zo nodig gegevens over privéomstandigheden die van invloed zijn op zijn gezondheidssituatie.

Dat maakt het voor de bedrijfsarts mogelijk om een goed eigen oordeel te vormen over de arbeids(on)mogelijkheden en hierover een advies te geven aan de werknemer en de werkgever. Meer dan dat hoeft niet, maar mag wel op vrijwillige en vertrouwelijke basis.

Lees meer:
Code gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (KNMG, 2007)

« Terug naar index

4. Moet een werknemer meewerken aan (lichamelijk) onderzoek door bedrijfsarts of andere professional?

Als een werknemer zijn recht op loondoorbetaling bij ziekte wenst te behouden zal hij mee moeten werken aan redelijke voorschriften van zijn werkgever. Omdat de bedrijfsarts de werknemer en de werkgever adviezen moet geven over de (on)mogelijkheden om te werken met de klacht of ziekte, is het soms nodig dat hij de werknemer lichamelijk onderzoekt of een onderzoek laat doen door een ander professional (expertise). De arts deelt de conclusie van het onderzoek mee aan de werknemer, bespreekt welke stappen er gezet moeten worden ter bevordering van herstel en re-integratie. Ook wordt er afgesproken wat er aan de werkgever wordt gecommuniceerd.

Werknemer is, zoals dat ook het geval is bij andere consulten bij een arts, niet verplicht zich te laten onderzoeken, maar er kunnen voor de werknemer wel consequenties volgen op het niet-meewerken aan het onderzoek. Wanneer de bedrijfsarts geen advies kan uitbrengen, kunnen werkgever en werknemer geen vervolgstappen zetten in het re-integratieproces. Niet meewerken aan zo’n onderzoek kan dan de loondoorbetaling wegens ziekte in gevaar brengen.

Lees meer:
Code gegevensverkeer en samenwerking bij arbeidsverzuim en re-integratie (KNMG, 2007)

« Terug naar index

5. Welke informatie mogen de leden van een functionele eenheid (behandelteam) zonder toestemming van de werknemer uitwisselen?

Een functionele eenheid (behandelteam) bestaat uit medewerkers (werkzaam binnen of buiten de arbodienst of het bedrijf) die allen rechtstreeks betrokken zijn bij de hulpverlening, behandeling en/of begeleiding van de werknemer. Deze directe betrokkenheid blijkt uit de taken die elke persoon in het traject heeft.[1] Het is daarom niet verplicht dit behandelteam op schrift of anderszins vast te leggen. Ingevolge de Wgbo en de Wbp heeft ieder lid van het team zonder voorafgaande toestemming van de werknemer toegang tot die medische gegevens die voor zijn/haar taak in dit specifieke geval noodzakelijk zijn.[2] Dat is dus niet hetzelfde als toegang tot het gehele dossier.

Bij conflicten kan vaak pas achteraf worden vastgesteld of aan de eisen is voldaan (direct betrokken bij…., alleen gegevens die nodig zijn voor…). Bij twijfel kan men beter toch toestemming vragen aan de werknemer. Die heeft immers ook belang bij het geven van toestemming.
De inzage- en uitwisselingsaspecten staan overigens los van het beroepsgeheim: dat blijft voor elke deskundige onverkort van kracht is.

Zie ook de KNMG-Code Gegevensverkeer en samenwerking bij arbeidsverzuim en reintegratie.[3] Deze geeft een richtlijn voor de gegevensuitwisseling tussen werknemers, bedrijfsartsen, werkgevers, behandelend artsen en verzekeringsartsen bij arbeidsverzuim van een patiënt/werknemer.

Noten
[1] Dat houdt dus niet in dat alle artsen die bij dezelfde arbodienst werken in alle dossiers mogen. Alleen die bedrijfsartsen die voor eenzelfde klant werken én elkaars vervanger zijn mogen als één behandelteam beschouwd worden.
[2] Art 457 lid 2 WGBO en art. 21 lid 1 onder f en sub 1 en 2 WBP.
[3] Code Gegevensverkeer en samenwerking bij arbeidsverzuim en reïntegratie (KNMG, 2007)

« Terug naar index

6. Mogen bedrijfsartsen/arbodiensten medische informatie leveren aan re-integratiebedrijven?

Bedrijfsartsen en arbodiensten mogen ingevolge de WIA en de Wet SUWI aan het re-integratiebedrijf alleen de voor de re-integratiewerkzaamheden noodzakelijke gegevens verstrekken.(1) De bedrijfsarts kan ingevolge deze wettelijke bepalingen de volgende gegevens verstrekken aan het re-integratiebedrijf:

  • persoonlijke gegevens (NAW- gegevens, burgerservicenummer)
  • bepaalde arbeidsongeschiktheidsgegevens (datum aanvang verzuim, verwachte hersteldatum zonder en met interventie, mate van arbeidsongeschiktheid)
  • de visie van de bedrijfsarts/arbodienst op de te re-integreren werknemer (zoals functionele beperkingen ten aanzien van de te verrichten arbeid, potentiële mogelijkheden voor werkhervatting, wens van de werknemer, planningstraject van de re-integratie).

De werknemer wordt in ieder geval geïnformeerd over deze gegevensoverdracht en het doel daarvan.

In specifieke situaties kan het voor de werkzaamheden van een re-integratiebedrijf noodzakelijk zijn dat ook medische gegevens worden verstrekt, bijvoorbeeld omtrent diagnose en klachtenpatroon. Voor deze gegevensoverdracht dient de patiënt/werknemer in beginsel echter wel om toestemming te worden verzocht.

Werknemers van het re-integratiebedrijf kunnen niet tot het behandelteam gerekend worden. De primaire taak om iemand aan (aangepast) werk te helpen is niet gelijk te stellen aan behandelen. De medische gegevens van een werknemer mogen daarom niet zonder toestemming van die werknemer aan een re-integratiebedrijf ter hand worden gesteld. Vaak kunnen deze bedrijven hun taak niet goed uitvoeren zonder die gegevens, maar de gegevensoverdracht is niet vrij. Indien de werknemer de overdracht weigert is dat een gegeven dat op zijn eigen gevolgen moet worden beschouwd door de verzekeraar, tegen de achtergrond van de polisvoorwaarden en de plicht tot meewerken aan herstel die elke werknemer heeft.

Noten
(1) Art. 14 lid 6 Arbeidsomstandighedenwet, 54, lid 1 en lid 3 onder c Wet SUWI. 

« Terug naar index

7. Is het toegestaan dat de bedrijfsarts bij correspondentie met het UWV het burgerservicenummer (BSN) van werknemer vermeldt?

Ja, de bedrijfsarts mag bij correspondentie in het kader van de wettelijke taken van het UWV - waaronder  beoordelingen aangaande het re-integratieproces- het burgerservicenummer (BSN) van de betreffende werknemer vermelden. Een combinatie van wettelijke artikelen vormt hiervoor de grondslag te weten art. 4 Wet BSN in de zorg, art.1d en art.11 Wet algemene bepalingen BSN.

Toelichting
Bedrijfsartsen gebruiken het BSN op basis van de wet BSN in de zorg:
Artikel 4 Een zorgaanbieder gebruikt het burgerservicenummer van een cliënt met het doel te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben.

Het UWV is een overheidsorgaan. Voor gebruik van het BSN door een overheidsorganen is de Wet algemene bepalingen burgerservicenummer (Wabb) van belang.

De wettelijke grondslag voor gebruik van het BSN bij gegevensuitwisseling tussen de bedrijfsarts en het UWV is te vinden in art. 11 lid 1:
Artikel 11 lid 1 Bij het uitwisselen van persoonsgegevens tussen gebruikers onderling, waarbij een persoonsnummer wordt gebruikt als middel om persoonsgegevens in verband te brengen met een persoon aan wie een burgerservicenummer is toegekend, wordt het burgerservicenummer van die persoon vermeld.
lid 2……

“Gebruikers” zoals hier bedoeld zijn conform art 1d Wabb:

  1. een overheidsorgaan
  2. en ieder ander dan een overheidsorgaan of degene aan wie het burgerservicenummer is toegekend, voor zover deze werkzaamheden verricht waarbij het gebruik door hem of haar van het burgerservicenummer bij of krachtens de wet is voorgeschreven.  

Het UWV is een ‘gebruiker’ op basis van art.1 lid 1 Wabb en zorgaanbieders (zoals bedrijfsartsen) zijn ‘gebruikers’ op basis van art.1 lid 2 Wabb.

Lees meer

« Terug naar index

8. Mag de bedrijfsarts een ingevuld IZP naar de werkgever sturen?

Een wezenlijk onderdeel van de werkzaamheden van de bedrijfsarts is het adviseren van werkgever en werknemer over de belastbaarheid van de werknemer. Bij ongeschiktheid van de werknemer voor bedongen arbeid moeten werkgever en werknemer weten met welke beperkingen en mogelijkheden rekening moet worden gehouden bij de re-integratie van de medewerker.

Om de belastbaarheid van werknemer te beschrijven kan een bedrijfsarts een Inzetbaarheidsprofiel (IZP) maken.

Mag de bedrijfsarts een volledig ingevuld of IZP naar de werkgever sturen?

De algemene regels die hierbij gelden zijn beschreven in de leidraad Bedrijfsarts en Privacy. In het kader van ziekteverzuimbegeleiding bestaat voor het verstrekken van informatie over functionele mogelijkheden en beperkingen een beperkt beroepsgeheim. Er mag informatie naar de werkgever, ook zonder toestemming van de werknemer. Op de informatie die bedrijfsarts mag delen met de werkgever, arbeidsdeskundige of casemanager is het noodzakelijkheidsvereiste van toepassing. Dat houdt in dat de bedrijfsarts alleen die informatie mag verstrekken die de werkgever strikt nodig heeft om aan zijn wettelijke verplichtingen te kunnen voldoen (loondoorbetaling en re-integratie). Daarvoor is dan ook niet altijd een volledig ingevuld IZP nodig.

Bijvoorbeeld: als een werknemer knieklachten heeft en op korte termijn terug kan keren in eigen werk mag de bedrijfsarts niet ook vermelden dat er een beperking is voor hectiek of productie pieken. Die informatie is in deze fase niet strikt nodig om werknemer terug te geleiden naar zijn eigen werk. De bedrijfsarts mag alleen gegevens verstrekken die op dat moment echt nodig zijn.

Ruimer inzicht in de functionele beperkingen en mogelijkheden is pas nodig wanneer verwacht wordt dat een werknemer niet meer terug kan naar eigen werk. Dan moeten de mogelijkheden voor alternatieve functies bij eigen of andere werkgever onderzocht worden. De werkgever heeft in dat geval meer informatie nodig om in staat te zijn aan zijn re-integratieplicht te voldoen. Dan kan een volledig ingevuld IZP wél nodig zijn.

Lees meer

« Terug naar index

9. Mag bedrijfsarts aan werkgever melden dat een werknemer een beroepsziekte heeft?

Bedrijfsarts moet (het vermoeden van) een beroepsziekte anoniem melden bij het NCvB op basis van de Arbeidsomstandighedenwet art.9 lid 3. Er staat niet in de wet dat (het vermoeden van) een beroepsziekte bij werkgever gemeld moet worden. Die informatie mag daarom niet zonder toestemming naar werkgever. Deze informatie valt onder het medisch beroepsgeheim.

Het is voor werkgever voldoende om te weten of er de klachten ‘werkgerelateerd’ zijn, m.a.w. of er een relatie is tussen de klachten/ beperkingen en het werk. Dat is voldoende voor werkgever om zaken aan te passen om de re-integratie te kunnen bevorderen en zo nodig preventieve maatregelen te nemen om  gezondheidsschade bij andere werknemers te voorkomen. De bedrijfsarts zal de werkgever in een toelichting op de term werkgerelateerd steeds moeten informeren over welke factoren in het geding zijn en advies geven hoe daar een verbetering in aan te brengen. Alleen met die informatie kan de werkgever maatregelen nemen om klachten t.g.v. het werk en beroepsziekten voorkomen. Als bedrijfsarts er toch meerwaarde in ziet om de info van het vermoeden van een beroepsziekte te delen met werkgever, mag hij dat alleen met toestemming van werknemer doen.

Bij een vermoeden van beroepsziekte kan een bedrijfsarts wel aan werknemer laten weten dat er een anonieme melding wordt gedaan bij het NCvB. Dit is overigens niet verplicht. Werknemer kan, bij het vermoeden van een beroepsziekte, desgewenst zelf een claim indienen. De bedrijfsarts heeft daar geen rol in.

In verslagen zoals jaarrapportages kan wel worden aangegeven dat er x aantal keer een melding is gedaan (beleidsmatig niveau). Mits deze informatie niet herleidbaar is tot een individueel persoon.

Probleemanalyse & beroepsziekte
In de probleemanalyse mag (het vermoeden van) een beroepsziekte niet worden aangegeven, alleen de werkgerelateerdheid mag worden vermeld. Om die reden vindt de NVAB dat bedrijfsartsen het wel/niet hebben van een beroepsziekte niet (zonder expliciete toestemming) moeten invullen/ aankruisen op het probleemanalyse-formulier van het UWV.
 

Lees meer

« Terug naar index

10. Moet een vangnetsituatie bij werkgever en UWV worden vermeld?

Een werknemer die zich ziek meldt is verplicht om zelf aan zijn werkgever te melden dat er een vangnetsituatie van toepassing is (of kan zijn) maar hoeft niet te vermelden welke. 

De bedrijfsarts kan volstaan om de werknemer te wijzen op diens meldplicht zodra zich het vermoeden voordoet dat een vangnetsituatie van toepassing is (of kan zijn). Zelf melding maken van een mogelijke vangnetsituatie aan de werkgever mag de bedrijfsarts alleen doen na expliciete toestemming van de werknemer, maar ook met toestemming mag de bedrijfsarts de werkgever niet vertellen welke vangnetsituatie van toepassing is of zou kunnen zijn.
De werkgever kan de werknemer dan ziekmelden bij het UWV waarna deze een eventueel ZW recht beoordeelt.

Een ZW-uitkering in het kader van zwangerschap en bevalling kan ook met terugwerkende kracht worden verstrekt in het geval de werkgever buiten zijn schuld de ziekmelding bij het UWV pas later doet (bijvoorbeeld als een wegens zwangerschap arbeidsongeschikte werkneemster ervoor kiest haar zwangerschap nog enige tijd te verzwijgen).

Voor de andere vangnet situaties is dat minder duidelijk en mede afhankelijk van wat de werkgever wist of kon weten over de mogelijkheid van een vangnetsituatie. Daarbij speelt een rol dat de werkgever zelf, na 2 maanden dienstverband, rechtstreeks aan de werknemer mag vragen of deze een status als arbeidsgehandicapte heeft.

Zie ook

« Terug naar index

11. Hoe kunnen we veilig werken met bedrijfsgeneeskundige informatiesystemen?

De NVAB heeft deze notitie opgesteld om bedrijfsartsen te informeren over hoe ze veilig kunnen werken met computers en informatiesystemen.

Zie ook onze berichtgeving Medische gegevens werknemers niet adequaat beveiligd dd 03-06-2015 elders op deze website.

« Terug naar index

12. Aan welke eisen moeten digitale verzuimsystemen van werkgevers en arbodienstverleners voldoen?

Bij ziekteverzuimbegeleiding en re-integratie verwerken veel werkgevers en arbodienstverleners gegevens over de gezondheid van zieke werknemers in digitale verzuimsystemen. Een verzuimsysteem dient minstens te voldoen aan de volgende concrete beveiligingsvereisten128 die voortvloeien uit artikel 13 Wbp:
  • Als het systeem wordt ontsloten via internet, moet toegang tot het systeem met  ten minste twee factorauthenticatie129 worden verkregen. Dit geldt voor de gebruikers die toegang hebben tot het systeem.
  • Beveiligingsrisico’s dienen periodiek in kaart te worden gebracht, bijvoorbeeld door penetratietesten en/of securityscans.

Ook verder moeten passende organisatorische en/of technische maatregelen worden getroffen om beveiligingsrisico’s te beperken dan wel te voorkomen.130 Onder passende technische en organisatorische maatregelen verstaat de Autoriteit Persoonsgegevens onder meer het volgende:

  • De autorisaties van gebruikers moeten zodanig worden ingesteld dat het onmogelijk is dat personen die bepaalde medische gegevens niet mogen verwerken deze gegevens toch kunnen inzien.
  • De beheerder van de systemen mag de persoonsgegevens hierin niet gebruiken voor ontwikkeling en testen. Dit betekent dat de beheerder hiervoor geanonimiseerde131 of dummygegevens moet gebruiken.
  • De werkgever mag bij de ziekmelding alleen die gegevens vragen (en opnemen in het verzuimsysteem) die noodzakelijk zijn voor de begeleiding van de zieke werknemer. Dit zijn:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waar een eventueel aansprakelijke derde bij betrokken is (regresmogelijkheid).
 
De overige gegevens (zoals aard en oorzaak van de ziekte en medische behandelingen) mag de werkgever niet verwerken en registreren in het systeem. Dit betekent dat er geen (meerkeuze)mogelijkheden in het systeem mogen zitten die in strijd zijn met deze vereisten. Bij eventuele open invulvelden voor de werkgever moet duidelijk zijn aangegeven dat deze hier geen medische gegevens in mag registreren, zoals aard en oorzaak van de ziekte. Bij voorkeur staan er geen open velden in het systeem voor de werkgever.
  • Het moet voor de werkgever onmogelijk zijn om rapportages uit te draaien waarin medische persoonsgegevens staan die hij niet mag verwerken.
  • Als een (zelfstandige) bedrijfsarts in opdracht van een werkgever de verzuimbegeleiding uitvoert, mag de module waarin de arts de (medische) gegevens registreert op geen enkele manier toegankelijk zijn voor de werkgever, dus ook niet voor de systeembeheerder die in dienst is bij de werkgever.
  • De werkgever mag niet zelf inlogcodes uitgeven voor de toegang tot gegevens die hij niet mag verwerken. De uitgifte van deze inlogcodes impliceert namelijk dat de werkgever toegang heeft tot deze gegevens. De beheerder van het systeem of de arbodienst moet daarom deze inlogcodes uitgeven.
_________________________________
128 CBP december 2014, z2012-00288, Onderzoek naar de beveiliging van Humannet Starter en Humannet Verzuim door VCD Humannet B.V.
129 Authenticatie moet bestaan uit ten minste twee afzonderlijke kenmerken, bijvoorbeeld een token in combinatie met een wachtwoord. Zie ook CBP augustus 2013, z2012-00623, Onderzoek naar het gebruik van waarneemdossiers bij Stichting Gezondheidscentra Haarlemmermeer.
130 CBP 2 juni 2015, Brief aan verzuimbeheerders:https://autoriteitpersoonsgegevens.nl/nl/nieuws/humannet-past-beveiliging-verzuimsysteem-aanna-onderzoek-cbp 
131 Zie advies 5/2014 over anonimiseringstechnieken (WP 216) van de Groep gegevensbescherming artikel 29. http://ec.europa.eu/justice/dataprotection/
article-29/documentation/opinion-recommendation/files/2014/wp216_nl.pdf.
 
Bron

« Terug naar index

13. Mag een bedrijfsarts werken in het digitaal verzuimsysteem van de opdrachtgever (of een andere derde)?

Naast vragen over de inrichting, toegang en beheersaspecten van het bedrijfsgeneeskundig dossier, zijn er ook regelmatig vragen van leden over het werken in het digitaal verzuimsysteem van de opdrachtgever (of welke andere derde). De Autoriteit Persoonsgegevens 1 beschrijft aan welke eisen moet worden voldaan als een bedrijfsarts de (medische) gegevens registreert in het digitaal verzuimdossier van de opdrachtgever (of welke andere derde). 

De NVAB kan niet vaak genoeg herhalen dat je als bedrijfsarts NOOIT moet werken in het dossier van de opdrachtgever (of welke andere derde) als niet is voldaan aan de voorschriften van de Autoriteit Persoonsgegevens. Als je als bedrijfsarts zelf verantwoordelijk (en tuchtrechtelijk aansprakelijk) bent voor de medische dossiervoering kun je het beheer van je dossier niet aan anderen overlaten. 

Het KNMG-Advies voor inrichting en overdracht van het bedrijfsgeneeskundig dossier heeft een advies voor diegenen die wel voor deze werkwijze kiezen (citaat pag 12 e.v.:

"….. In sommige gevallen werkt de bedrijfsarts in het geautomatiseerde systeem voor gegevensverwerking van de werkgever, die de bedrijfsarts of de arbodienstverlener waarvoor deze werkt heeft ingeschakeld. Ook in deze gevallen zijn de bedrijfsarts en eventueel ook de arbodienstverlener waar de bedrijfsarts voor werkt aan te merken als ‘medeverantwoordelijke’ voor zover het gaat om verwerking van gegevens in het bedrijfsgeneeskundig dossier. Het spreekt voor zich dat juist in dergelijke gevallen met extra aandacht gekeken moet worden naar technische en organisatorische beveiligingsmaatregelen, die moeten voorkomen dat onbevoegden toegang hebben tot het bedrijfsgeneeskundig dossier. Hierover worden bij voorkeur schriftelijke afspraken gemaakt. Indien het bedrijfsgeneeskundig dossier wordt bijgehouden in het automatiseringssysteem van de werkgever zullen daarnaast duidelijke – bij voorkeur schriftelijke – afspraken gemaakt moeten worden over overdracht van de gegevens, indien de werkgever overgaat naar een andere bedrijfsarts of arbodienstverlener en voor het geval de werkgever door faillissement of anderszins ophoudt te bestaan. Voor de regels die gelden bij overgang van het bedrijfsgeneeskundig dossier naar een andere arbodienstverlener zie hierna onder 5."

1 Zie paragraaf 5.4 van De zieke werknemer. Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke  werknemers (Autoriteit Persoonsgegevens, 2016)

« Terug naar index