Conditioneel autoriseren en anonimiseren

 Nieuwe functies Track Verzuim bieden een antwoord op gewijzigde opstelling Autoriteit Persoonsgegevens over verwerking van BSN en overige persoonsgegevens van niet-zieke werknemers
b

Samenvatting

De Autoriteit Persoonsgegevens verbiedt registratie van het BSN van niet-zieke werknemers. Track is AVG-proof en biedt slimme functies om persoonsgegevens te verbergen of zelfs te anonimiseren. Daarmee voorkom je als dienstverlener privacy-risico’s en aansprakelijkheden.

De AVG het trekt het privacyrecht tussen alle Europese landen gelijk. Dat geldt echter niet voor het arbeidsrecht. Dat kent per land nog grote verschillen. De verzuimbegeleiding en -registratie van zieke medewerkers stelt daardoor – ondanks de AVG – voor Nederland unieke eisen.

Een voorbeeld daarvan is het nieuwe standpunt van de Autoriteit Persoonsgegevens inzake de verwerking van persoonsgegevens van niet-zieke werknemers door arbodiensten en bedrijfsartsen. Was het tot voor kort gebruikelijk om bij aanvang van de dienstverlening een personeelsbestand van de klant intergraal in de eigen administratie op te nemen, nu is dat door de opstelling van de AP niet langer meer geoorloofd.

In antwoord hierop heeft Track twee programmafuncties ontwikkeld: conditioneel anonimiseren en conditioneel autoriseren. Met de introductie van deze nieuwe functies kunnen professionals en eigen regie bedrijven die met Track werken privacyproof hun dossiers beheren en zonder kopzorg de toegang voor zichzelf, hun klanten of dienstverleners optimaal inrichten.

Z

AVG en werkgever

Wat betekent de AVG voor jou als werkgever? Wanneer moet je een verwerkersovereenkomst sluiten, en moet dat dan ook met jouw arbodienst of zzp-bedrijfsarts? Bekijk de animatievideo die kort uitlegt wat de AVG, de Algemene Verordening Gegevensbescherming voor werkgevers betekent.

b

Inleiding

Het is in onze branche gebruikelijk dat bij aanvang van de samenwerking met een klant een volledig personeelsbestand beschikbaar gesteld wordt. De dienstverlener neemt dit bestand integraal over in zijn administratie.

De Autoriteit Persoonsgegevens heeft over deze manier van werken in april 2016 contact opgenomen met OVAL. Als uitkomst van dit overleg heeft de AP bepaald dat dienstverleners uitsluitend de persoonsgegevens mogen verwerken van werknemers waarvoor een concrete zorgvraag (lees in de praktijk: een ziekmelding) bestaat of bestaan heeft. De persoonsgegevens van niet-zieke werknemers mogen niet in de administratie van de dienstverlener worden verwerkt.

In antwoord op deze nieuwe privacyregels hebben we Track Verzuim op verschillende onderdelen aangepast. We hebben programmafuncties beschikbaar gesteld om werknemergegevens onder voorwaarden te anonimiseren. Voor de situatie dat de klant zelf ook in Track werkt – en dus toegang moet hebben tot zijn volledige personeelsbestand – hebben we het ‘conditioneel autoriseren’ ontwikkeld.

b

Anonimiseren

In het ideale geval biedt (het personeel informatie systeem van) een klant een beperkt personeelsbestand ter import aan. Beperkt in die zin, dat uitsluitend de gegevens van medewerkers worden aangeboden die momenteel ziek zijn of ziek zijn geweest. Met het oog op verzuimstatistieken kunnen van de niet-zieke werknemers eventueel geanonimiseerde gegevens worden aangeleverd. Denk dan aan een personeelsnummer, leeftijd, geslacht, afdeling, etc.

Als een klant de dienstverlener niettemin een volledig personeelsbestand aanbiedt, dan mag de dienstverlener als uitgangspunt uitsluitend die persoonsgegevens in zijn administratie opnemen of actualiseren waarvoor een zorgvraag bestaat of bestaan heeft. Track biedt nu functies waarmee de gegevens van de medewerkers waarvoor dat niet het geval is, niet integraal maar geanonimiseerd worden ingelezen. Deze werknemers zijn dan door het importprogramma ‘onherkenbaar’ gemaakt.

We noemen deze nieuwe functie van Track ‘conditioneel anonimiseren’. De import van volledige óf geanonimiseerde gegevens is afhankelijk gemaakt van een (configureerbare) voorwaarde of conditie in Track. Track kent programmafuncties om die voorwaarde nauwkeurig in te stellen en zodoende op de eigen specifieke vormen van dienstverlening af te stemmen.

b

Conditioneel autoriseren

Er zijn ook samenwerkingsvormen waarbij de klant Track Verzuim naast de dienstverlener zelf gebruikt voor zijn eigen werkprocessen rond de Poortwachterbegeleiding en reïntegratiedossiers. De klant die in Track werkt, wil in dit scenario toegang tot het volledige werknemerbestand – ziek of niet-ziek. De dienstverlener aan de andere kant mag slechts toegang krijgen tot de dossiers van werknemers die ziek zijn of ziek zijn geweest.

In deze context wordt bij een import van het personeelsbestand de werknemergegvens intergraal in Track Verzuim ingelezen. Track kent in antwoord op de nieuwe privacy regelgeving configureerbare programmafuncties om de gegevens van niet-zieke werknemers te verbergen voor de dienstverlener. De dienstverlener krijgt onder voorwaarden toegang tot deze gegevens. We noemen dit ‘conditioneel autoriseren’.

De vraag of de dienstverlener toegang verkrijgt tot de gegevens van een concrete medewerker uit het geïmporteerde personeelsbestand is door het programma afhankelijk gemaakt van een voorwaarde. Track kent programmafuncties om die conditie nauwkeurig in te stellen en zodoende op de eigen vormen van dienstverlening af te stemmen. Track kent in deze situatie een afgescheiden gedeelte voor de klant.

Conditioneel autoriseren is daarmee een programmafunctie die een opdrachtgever in staat stelt privacyproof de juiste medewerker-gegevens te verstrekken en andere gegevens achter te houden. De opdrachtgever laat de verstrekking plaatsvinden doordat hij bij de medewerker in Track Verzuim of in het eigen personeels informatie systeem een verzuimmelding of dienstverleningsverzoek aanmaakt respectievelijk ter import aanbiedt.

b

Verwerkersovereenkomst

Conditioneel autoriseren wordt ingezet indien:

  1. een arbodienstverlener een afgescheiden deel in Track Verzuim creëert om zijn klant te ondersteunen bij het opbouwen en onderhouden van re-integratiedossiers;
  2. indien een organisatie Track Verzuim gebruikt als verzuimsysteem en externe casemanagers of bedrijfsartsen toegang wil bieden tot de dossiers van de (uitsluitend) zieke werknemers.

In het eerste geval is het noodzakelijk een verwerkersovereenkomst met de klant te sluiten. In het tweede geval hoeft dat niet. Meer informatie kunt u vinden op de pagina over de verwerkingsovereenkomst

Indien van conditioneel anonimiseren gebruik gemaakt wordt is het niet nodig een verwerkingsovereenkomst te sluiten. Bij conditioneel anonimiseren worden de gegevens van de aangeboden niet-zieke werknemers ten tijde van het ontvangen meteen verwijderd en niet verwerkt in de administratie.

Bijlage 1

Brief van de Autoriteit Persoonsgegevens van 14-04-2016. De brief is gericht aan de OVAL. De bedrijfsarts mag de persoonsgegevens van werknemers verwerken in het kader van de uitoefening van zijn wettelijk takenpakket. Indien er nog geen concrete zorgvraag is gedaan, ontbreekt derhalve de rechtsgrond om deze persoonsgegevens te verwerken. Dat geldt zowel voor het BSN als voor de overige persoonsgegevens. Arbodienstverleners die toch graag over een integraal werknemerbestand willen beschikken, bijvoorbeeld om verzuimstatistieken samen te stellen, kunnen de gegevens van werknemers waarvoor nog geen zorgvraag bestaat geanonimiseerd in hun administratie opnemen.

Arbodiensten en bedrijfsartsen mogen het BSN wél in hun administratie opnemen in het kader van een (preventief) verzuimconsult. Zij gelden als zorgaanbieders in de zin van de Wet BSN in de zorg.

Bijlage 2

In haar brief van 02-12-2016 behandelt de AP de door OVAL opgeworpen argumenten om tóch werknemerbestanden integraal in de administratie van de dienstverlener op te nemen. De AP oordeelt dat er geen wettelijke grondslag te vinden is voor het automatisch doorsturen van persoonsgegevens van nieuwe en niet-zieke werknemers.