FAQ: privacy & gegevensbescherming

7 vragen en antwoorden
Gerelateerd: Beroepsgeheim
| Dossieroverdracht | Inzagerecht

1. Wat betekent de Algemene Verordening Gegevensbescherming (AVG) voor de bedrijfsarts?

De Algemene verordening gegevensbescherming (AVG) bevat aangescherpte privacyregels die sinds 25 mei 2018 gelden voor alle maatschappelijke sectoren, waaronder de zorg. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG is opgesteld om gegevensbescherming in de Europese Unie te reguleren. Alle landen binnen de Europese Unie hebben nu dezelfde regels rondom privacy. De regels hebben tot doel dat organisaties zorgvuldig met persoonsgegevens omgaan. Ook bedrijfsartsen hebben er dan ook zeker mee te maken. Overtredingen van de Algemene verordening gegevensbescherming (AVG) kunnen leiden tot hoge boetes.

Wat dit in de praktijk nu precies betekent voor de bedrijfsarts is afhankelijk van de organisatie waar deze werkzaam is. De Autoriteit Persoonsgegevens heeft een 10- stappenplan opgesteld dat zicht geeft op de belangrijkste AVG-thema’s.

Meer informatie:
- Website autoriteit persoonsgegevens: Algemene informatie AVG en Zorgaanbieders en de AVG
- Website KNMG: Antwoord op uw vragen over de nieuwe privacyregels AVG

« Terug naar index

2. Mogen werkgever en werknemer volgens de privacyregels over functionele mogelijkheden en beperkingen praten?

Werkgevers mogen geen medische gegevens van ziekgemelde werknemers registreren. Dat betekent volgens de AP dat de werkgever de werknemer ook niet mag vragen naar diens functionele mogelijkheden en beperkingen omdat daaruit mogelijk wel informatie over de gezondheid is te herleiden. Mits de werknemer dat in vrijheid kan doen (of laten) mogen werkgever en werknemer wel praten over taken en functies die de werknemer nog wel kan verrichten. Om iedere druk of dwang te voorkomen staat de AP erop dat dit gesprek over re-integratie alleen plaatsvindt op initiatief van de werknemer. Zo kunnen werkgever en werknemer ook zonder tussenkomst van de bedrijfsarts in gesprek gaan over re-integratie, zij het dat het gesprek beperkt moet blijven tot concrete (deel) functies of (deel) taken en alleen op initiatief van de werknemer.

De NVAB heeft in een gezamenlijke verklaring met andere partijen in het veld, de werknemers opgeroepen dat gesprek over re-integratie met de werkgever spontaan te beginnen tenzij er zwaarwegende bezwaren tegen bestaan. 

Nadat de bedrijfsarts geadviseerd heeft over de functionele mogelijkheden en beperkingen van werknemer is er meer mogelijk. Ná het advies van de bedrijfsarts kunnen werkgever en werknemer wel gerichter overleggen over de arbeidsmogelijkheden die resteren en daarbij wel de functionele mogelijkheden en beperkingen betrekken. Dit kan na een spreekuurcontact bij de bedrijfsarts of in een (bijstelling van) de probleemanalyse. De bedrijfsarts ziet er op toe dat in die rapportages geen medische gegevens terecht komen en voorts dat er alleen voor het lopende ziektegeval relevante gegevens over de belastbaarheid vermeld worden (zie NVAB-leidraad Bedrijfsarts en Privacy). Het advies van de bedrijfsarts zorgt er voor dat werkgever en werknemer gezamenlijk tot een effectief plan van aanpak kunnen komen zonder dat er medische gegevens uitgewisseld worden.

Zie ook

« Terug naar index

3. Hoe kunnen we veilig werken met bedrijfsgeneeskundige informatiesystemen?

De NVAB heeft deze notitie opgesteld om bedrijfsartsen te informeren over hoe ze veilig kunnen werken met computers en informatiesystemen.

Heeft u vragen over deze notitie, stuur dan een mail naar vraagbaak@nvab-online.nl. Zie ook onze berichtgeving Medische gegevens werknemers niet adequaat beveiligd dd 03-06-2015 elders op deze website.

« Terug naar index

4. Aan welke eisen moeten digitale verzuimsystemen van werkgevers en arbodienstverleners voldoen?

Bij ziekteverzuimbegeleiding en re-integratie verwerken veel werkgevers en arbodienstverleners gegevens over de gezondheid van zieke werknemers in digitale verzuimsystemen. Een verzuimsysteem dient minstens te voldoen aan de volgende concrete beveiligingsvereisten128 die voortvloeien uit artikel 13 Wbp:
  • Als het systeem wordt ontsloten via internet, moet toegang tot het systeem met  ten minste twee factorauthenticatie129 worden verkregen. Dit geldt voor de gebruikers die toegang hebben tot het systeem.
  • Beveiligingsrisico’s dienen periodiek in kaart te worden gebracht, bijvoorbeeld door penetratietesten en/of securityscans.

Ook verder moeten passende organisatorische en/of technische maatregelen worden getroffen om beveiligingsrisico’s te beperken dan wel te voorkomen.130 Onder passende technische en organisatorische maatregelen verstaat de Autoriteit Persoonsgegevens onder meer het volgende:

  • De autorisaties van gebruikers moeten zodanig worden ingesteld dat het onmogelijk is dat personen die bepaalde medische gegevens niet mogen verwerken deze gegevens toch kunnen inzien.
  • De beheerder van de systemen mag de persoonsgegevens hierin niet gebruiken voor ontwikkeling en testen. Dit betekent dat de beheerder hiervoor geanonimiseerde131 of dummygegevens moet gebruiken.
  • De werkgever mag bij de ziekmelding alleen die gegevens vragen (en opnemen in het verzuimsysteem) die noodzakelijk zijn voor de begeleiding van de zieke werknemer. Dit zijn:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waar een eventueel aansprakelijke derde bij betrokken is (regresmogelijkheid).
 
De overige gegevens (zoals aard en oorzaak van de ziekte en medische behandelingen) mag de werkgever niet verwerken en registreren in het systeem. Dit betekent dat er geen (meerkeuze)mogelijkheden in het systeem mogen zitten die in strijd zijn met deze vereisten. Bij eventuele open invulvelden voor de werkgever moet duidelijk zijn aangegeven dat deze hier geen medische gegevens in mag registreren, zoals aard en oorzaak van de ziekte. Bij voorkeur staan er geen open velden in het systeem voor de werkgever.
  • Het moet voor de werkgever onmogelijk zijn om rapportages uit te draaien waarin medische persoonsgegevens staan die hij niet mag verwerken.
  • Als een (zelfstandige) bedrijfsarts in opdracht van een werkgever de verzuimbegeleiding uitvoert, mag de module waarin de arts de (medische) gegevens registreert op geen enkele manier toegankelijk zijn voor de werkgever, dus ook niet voor de systeembeheerder die in dienst is bij de werkgever.
  • De werkgever mag niet zelf inlogcodes uitgeven voor de toegang tot gegevens die hij niet mag verwerken. De uitgifte van deze inlogcodes impliceert namelijk dat de werkgever toegang heeft tot deze gegevens. De beheerder van het systeem of de arbodienst moet daarom deze inlogcodes uitgeven.
_________________________________
128 CBP december 2014, z2012-00288, Onderzoek naar de beveiliging van Humannet Starter en Humannet Verzuim door VCD Humannet B.V.
129 Authenticatie moet bestaan uit ten minste twee afzonderlijke kenmerken, bijvoorbeeld een token in combinatie met een wachtwoord. Zie ook CBP augustus 2013, z2012-00623, Onderzoek naar het gebruik van waarneemdossiers bij Stichting Gezondheidscentra Haarlemmermeer.
130 CBP 2 juni 2015, Brief aan verzuimbeheerders:https://autoriteitpersoonsgegevens.nl/nl/nieuws/humannet-past-beveiliging-verzuimsysteem-aanna-onderzoek-cbp 
131 Zie advies 5/2014 over anonimiseringstechnieken (WP 216) van de Groep gegevensbescherming artikel 29. http://ec.europa.eu/justice/dataprotection/
article-29/documentation/opinion-recommendation/files/2014/wp216_nl.pdf.
 
Bron

« Terug naar index

5. Mag een bedrijfsarts werken in het digitaal verzuimsysteem van de opdrachtgever (of een andere derde)?

Naast vragen over de inrichting, toegang en beheersaspecten van het bedrijfsgeneeskundig dossier, zijn er ook regelmatig vragen van leden over het werken in het digitaal verzuimsysteem van de opdrachtgever (of welke andere derde). De Autoriteit Persoonsgegevens 1 beschrijft aan welke eisen moet worden voldaan als een bedrijfsarts de (medische) gegevens registreert in het digitaal verzuimdossier van de opdrachtgever (of welke andere derde). 

De NVAB kan niet vaak genoeg herhalen dat je als bedrijfsarts NOOIT moet werken in het dossier van de opdrachtgever (of welke andere derde) als niet is voldaan aan de voorschriften van de Autoriteit Persoonsgegevens. Als je als bedrijfsarts zelf verantwoordelijk (en tuchtrechtelijk aansprakelijk) bent voor de medische dossiervoering kun je het beheer van je dossier niet aan anderen overlaten. 

Het KNMG-Advies voor inrichting en overdracht van het bedrijfsgeneeskundig dossier heeft een advies voor diegenen die wel voor deze werkwijze kiezen (citaat pag 12 e.v.:

"….. In sommige gevallen werkt de bedrijfsarts in het geautomatiseerde systeem voor gegevensverwerking van de werkgever, die de bedrijfsarts of de arbodienstverlener waarvoor deze werkt heeft ingeschakeld. Ook in deze gevallen zijn de bedrijfsarts en eventueel ook de arbodienstverlener waar de bedrijfsarts voor werkt aan te merken als ‘medeverantwoordelijke’ voor zover het gaat om verwerking van gegevens in het bedrijfsgeneeskundig dossier. Het spreekt voor zich dat juist in dergelijke gevallen met extra aandacht gekeken moet worden naar technische en organisatorische beveiligingsmaatregelen, die moeten voorkomen dat onbevoegden toegang hebben tot het bedrijfsgeneeskundig dossier. Hierover worden bij voorkeur schriftelijke afspraken gemaakt. Indien het bedrijfsgeneeskundig dossier wordt bijgehouden in het automatiseringssysteem van de werkgever zullen daarnaast duidelijke – bij voorkeur schriftelijke – afspraken gemaakt moeten worden over overdracht van de gegevens, indien de werkgever overgaat naar een andere bedrijfsarts of arbodienstverlener en voor het geval de werkgever door faillissement of anderszins ophoudt te bestaan. Voor de regels die gelden bij overgang van het bedrijfsgeneeskundig dossier naar een andere arbodienstverlener zie hierna onder 5."

1 Zie paragraaf 5.4 van De zieke werknemer. Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke  werknemers (Autoriteit Persoonsgegevens, 2016)

« Terug naar index

6. Welke informatie mogen de leden van een functionele eenheid (behandelteam) zonder toestemming van de werknemer uitwisselen?

Een functionele eenheid (behandelteam) bestaat uit medewerkers (werkzaam binnen of buiten de arbodienst of het bedrijf) die allen rechtstreeks betrokken zijn bij de hulpverlening, behandeling en/of begeleiding van de werknemer. Deze directe betrokkenheid blijkt uit de taken die elke persoon in het traject heeft. Het is daarom niet verplicht dit behandelteam op schrift of anderszins vast te leggen. Ingevolge de Wgbo en de Wbp heeft ieder lid van het team zonder voorafgaande toestemming van de werknemer toegang tot die medische gegevens die voor zijn/haar taak in dit specifieke geval noodzakelijk zijn. (1) Dat is dus niet hetzelfde als toegang tot het gehele dossier.

Bij conflicten kan vaak pas achteraf worden vastgesteld of aan de eisen is voldaan (direct betrokken bij…., alleen gegevens die nodig zijn voor…). Bij twijfel kan men beter toch toestemming vragen aan de werknemer. Die heeft immers ook belang bij het geven van toestemming.
De inzage- en uitwisselingsaspecten staan overigens los van het beroepsgeheim: dat blijft voor elke deskundige onverkort van kracht is.

Zie ook de KNMG-Code. (2) Deze geeft een richtlijn voor de gegevensuitwisseling tussen werknemers, bedrijfsartsen, werkgevers, behandelend artsen en verzekeringsartsen bij arbeidsverzuim van een patiënt/werknemer.

Noten
(1) Art 457 lid 2 WGBO en art. 21 lid 1 onder f en sub 1 en 2 WBP.

(2) Code Gegevensverkeer en samenwerking bij arbeidsverzuim en reïntegratie (KNMG, 2007)

« Terug naar index

7. Mogen bedrijfsartsen/arbodiensten medische informatie leveren aan re-integratiebedrijven?

Bedrijfsartsen en arbodiensten mogen ingevolge de WIA en de Wet SUWI aan het re-integratiebedrijf alleen de voor de re-integratiewerkzaamheden noodzakelijke gegevens verstrekken.(1) De bedrijfsarts kan ingevolge deze wettelijke bepalingen de volgende gegevens verstrekken aan het re-integratiebedrijf:

  • persoonlijke gegevens (NAW- gegevens, burgerservicenummer)
  • bepaalde arbeidsongeschiktheidsgegevens (datum aanvang verzuim, verwachte hersteldatum zonder en met interventie, mate van arbeidsongeschiktheid)
  • de visie van de bedrijfsarts/arbodienst op de te re-integreren werknemer (zoals functionele beperkingen ten aanzien van de te verrichten arbeid, potentiële mogelijkheden voor werkhervatting, wens van de werknemer, planningstraject van de re-integratie).

De werknemer wordt in ieder geval geïnformeerd over deze gegevensoverdracht en het doel daarvan.

In specifieke situaties kan het voor de werkzaamheden van een re-integratiebedrijf noodzakelijk zijn dat ook medische gegevens worden verstrekt, bijvoorbeeld omtrent diagnose en klachtenpatroon. Voor deze gegevensoverdracht dient de patiënt/werknemer in beginsel echter wel om toestemming te worden verzocht.

Werknemers van het re-integratiebedrijf kunnen niet tot het behandelteam gerekend worden. De primaire taak om iemand aan (aangepast) werk te helpen is niet gelijk te stellen aan behandelen. De medische gegevens van een werknemer mogen daarom niet zonder toestemming van die werknemer aan een re-integratiebedrijf ter hand worden gesteld. Vaak kunnen deze bedrijven hun taak niet goed uitvoeren zonder die gegevens, maar de gegevensoverdracht is niet vrij. Indien de werknemer de overdracht weigert is dat een gegeven dat op zijn eigen gevolgen moet worden beschouwd door de verzekeraar, tegen de achtergrond van de polisvoorwaarden en de plicht tot meewerken aan herstel die elke werknemer heeft.

Noten
(1) Art. 14 lid 6 Arbeidsomstandighedenwet, 54, lid 1 en lid 3 onder c Wet SUWI. Zie ook KNMG, Code Gegevensverkeer en samenwerking bij Arbeidsverzuim en Reïntegratie, deel B onder 7.

« Terug naar index

8. Mag de bedrijfsarts een ingevuld IZP naar de werkgever sturen?

Een wezenlijk onderdeel van de werkzaamheden van de bedrijfsarts is het adviseren van werkgever en werknemer over de belastbaarheid van de werknemer. Bij ongeschiktheid van de werknemer voor bedongen arbeid moeten werkgever en werknemer weten met welke beperkingen en mogelijkheden rekening moet worden gehouden bij de re-integratie van de medewerker.

Om de belastbaarheid van werknemer te beschrijven kan een bedrijfsarts een Inzetbaarheidsprofiel (IZP) maken.

Mag de bedrijfsarts een volledig ingevuld of IZP naar de werkgever sturen?

De algemene regels die hierbij gelden zijn beschreven in de leidraad Bedrijfsarts en Privacy. In het kader van ziekteverzuimbegeleiding bestaat voor het verstrekken van informatie over functionele mogelijkheden en beperkingen een beperkt beroepsgeheim. Er mag informatie naar de werkgever, ook zonder toestemming van de werknemer. Op de informatie die bedrijfsarts mag delen met de werkgever, arbeidsdeskundige of casemanager is het noodzakelijkheidsvereiste van toepassing. Dat houdt in dat de bedrijfsarts alleen die informatie mag verstrekken die de werkgever strikt nodig heeft om aan zijn wettelijke verplichtingen te kunnen voldoen (loondoorbetaling en re-integratie). Daarvoor is dan ook niet altijd een volledig ingevuld IZP nodig.

Bijvoorbeeld: als een werknemer knieklachten heeft en op korte termijn terug kan keren in eigen werk mag de bedrijfsarts niet ook vermelden dat er een beperking is voor hectiek of productie pieken. Die informatie is in deze fase niet strikt nodig om werknemer terug te geleiden naar zijn eigen werk. De bedrijfsarts mag alleen gegevens verstrekken die op dat moment echt nodig zijn.

Ruimer inzicht in de functionele beperkingen en mogelijkheden is pas nodig wanneer verwacht wordt dat een werknemer niet meer terug kan naar eigen werk. Dan moeten de mogelijkheden voor alternatieve functies bij eigen of andere werkgever onderzocht worden. De werkgever heeft in dat geval meer informatie nodig om in staat te zijn aan zijn re-integratieplicht te voldoen. Dan kan een volledig ingevuld IZP wél nodig zijn.

Lees meer