Piet 2

Algemene uitzonderingen (art. 23 LBP):

Uitdrukkelijk toestemming

Openbaar

Verdediging van recht in rechte

Volkenrechtelijke verplichting

Wetenschappelijk onderzoek

TO DO

Het begrip ‘gezondheidsgegeven’ in de zin van artikel 16 Wbp moet ruim worden opgevat. Het omvat niet alleen de gegevens die een arts bij een medisch onderzoek of medische behandeling verwerkt, maar álle gegevens die de lichamelijke of geestelijke gezondheid van een persoon betreffen. Zo is het enkele feit dat iemand zich ziek heeft gemeld een gegeven over de gezondheid, ook al zegt dat niets over de aard van de aandoening.

En dat mag dus niet.

Met de "pet"op van werkgever, mag SGR geen gezondsheidsgegevens verwerken.

Beleidsregels voor de verwerking van persoonsgegevens

over de gezondheid van zieke werknemers

Met het gebruik van toestemming als grondslag voor gegevensverwerking dient in een arbeidsrelatie bijzonder terughoudend te worden omgegaan.

Gelet op de gezagsverhouding valt niet uit te sluiten dat een werknemer onder druk van de relatie waarin hij staat tot de werkgever zich gedwongen voelt toestemming te verlenen, zodat geen sprake is van een vrije wilsuiting. Er zal daarom in de relatie werkgever-werknemer niet snel sprake zijn van een toestemming die in vrijheid is geuit.

Dus: SGR als werkgever: geen gezondheidsgegevens verwerken.

Verplichtingen uit de LBP

• Inventariseren: welke gegevens worden verwerkt?
• Met welk doel worden de gegevens bewaard?
• Wat is de verwerkingsgrond van de verwerking?
• Hoelang zullen de gegevens bewaard blijven?
• Toets de kwaliteitseis (niet bovenmatig, toereikend, ter zake dienend)
• Zorg voor geheimhouding (leg vast in arbeidscontracten van mensen die in aanraking komen met persoonsgegevens EN leg vast in contracten met bewerkers)
• Zorg voor passende beveiliging van de gegevens

Verplichtingen voor dossier

Een organisatie moet de gegevens vernietigen als de bewaartermijn voorbij is of de gegevens niet meer noodzakelijk zijn voor het doel.

De organisatie moet zorgvuldig omgaan met persoonsgegevens. Dat betekent dat de organisatie goed moet stilstaan bij de manier waarop de gegevens worden vernietigd.

Voor digitaal opgeslagen gegevens moet de organisatie er zeker van zijn dat de gegevens ook daadwerkelijk zijn vernietigd.

Vernietigen

Bewaren

Verplichtingen voor dossier

Op grond van de LBP geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren.

Hierbij kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld de Landsverordening Ziekteverzekering: de loonadministratie moet gedurende vijf jaren na het einde van het kalenderjaar waarop het betrekking heeft, worden bewaard.

Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moeten ze worden vernietigd.

Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

De organisatie moet de archiefgegevens vernietigen als ze niet meer nodig zijn voor het doel van het archief.

Social Media

Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers

PROTOCOL:

1. Werknemers publiceren niet ongevraagd vertrouwelijke of andere merkgebonden informatie.

2. Voor het publiceren van gesprekken wordt eerst toestemming gevraagd aan de leidinggevende of de daarvoor verantwoordelijke afdeling of persoon.

3. Werknemers mogen geen vertrouwelijke en/of schadelijke informatie verstrekken over klanten, partners of leveranciers zonder hun goedkeuring.

4. Wees extra voorzichtig bij het publiceren over, of in discussie gaan met, een klant of concurrent.

Verkeerd opgevatte of slecht onderbouwde stukken, kunnen direct nadelige gevolgen hebben voor de SGR.

5. Werknemers die publiceren op een website (of andere sociale media) over een onderwerp dat wel te maken kan hebben met de SGR, maken kenbaar of zij op persoonlijke titel publiceren. Als werknemers namens de SGR spreken, vermelden zij hun organisatie en functie.

6. Bestuurders, managers, leidinggevenden en degene die namens de organisatie het beleid en de strategie uitdragen hebben een bijzondere verantwoordelijkheid bij het gebruik maken van social media. Voor sommige functies geldt dat iemand altijd wordt gezien als SGR’er – ook als hij een privé-mening verkondigt. Op grond van hun positie moeten werknemers nagaan of zij op persoonlijke titel kunnen publiceren.

7. Werknemers zijn persoonlijk verantwoordelijk voor de inhoud die ze, voor zover dat niet tot hun functie behoort, publiceren op media die gebaseerd zijn op user-generated content. Zij zijn zich ervan bewust dat wat zij publiceren voor langere tijd openbaar zal zijn.

8. Wanneer een online discussie dreigt te ontsporen, of in het ergste geval al helemaal ontspoort is, neem dan direct contact op met de verantwoordelijke afdeling/persoon en overleg over de te volgen strategie.

9. Bij de geringste twijfel over een publicatie of over de raakvlakken met de SGR is het verstandig contact te zoeken met je leidinggevende of de daarvoor verantwoordelijke afdeling/persoon.

Social Media

Volgens deze beleidsregels mag:

• De gegevens die een werkgever mag verwerken, naast de gegevens van de ziekmelding, zijn de gegevens die de bedrijfsarts/arbodienst aan hem heeft verstrekt over:
• de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• de verwachte duur van het verzuim;
• de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, rest mogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
• eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Social Media

Voorbeelden misstanden social media op het werk:

• Het gebruik van Facebook of andere sociale media tijdens werktijd
• Het plaatsen van berichten die voor de werkgever of een collega beledigend zijn
• Mededelingen die afbreuk doen aan de uitstraling, het product of het merk van de werkgever

Gevolgen Social Media op arbeidsproductiviteit

Over de gevolgen voor de arbeidsproductiviteit verschillen de meningen. In onderzoek van de Universiteit van Melbourne is aangetoond dat mensen die in werktijd actief met social media bezig zijn 9% productiever (output gericht) zijn (zie publicatie Dr. Dr Brent Coker, 2009). Brits onderzoek legt juist de nadruk ‘verloren’ arbeidsuren (werktijd gericht) waardoor de productiviteit door social media juist lager is.

Social Media

Tijdens het werk veelvuldig niet werkgerelateerde internetsites bezoeken kan reden zijn voor ontslag. Zie onder meer de uitspraak van de kantonrechter Arnhem van 27 maart 2012. In deze zaak had de werknemer erkend gedurende werktijd veelvuldig goksites en seksueel getinte websites te hebben bezocht. De kantonrechter oordeelde dat die omstandigheid maakt dat ontbinding op grond van een dringende reden, zonder toekenning van een vergoeding, gerechtvaardigd is.

Hier geldt natuurlijk wel dat de werkgever er goed aan doet om duidelijke regels over internetgebruik vast te stellen en die ook te handhaven.

Social Media

Pfff is deze werkdag al om? Ik wil verlost worden van deze mongool wat een gek zeg!!

De werknemer, die ook discriminerende teksten plaatste, kreeg wel nog een neutrale vergoeding mee, omdat verder weinig aan te merken was geweest op het functioneren van de werknemer. Maar hij moest wel op zoek naar een nieuwe baan.

blokker wat een hoerebedrijf spijt dak er ben gaan werken en die mensen ook d er werken vooral me teamleider wat een gore achter de ellebogen nijmegseple nep wout je ken aan die kkstreken van hem wel merken dat hij uit nijmegen ko en wout uis geweest de hoerestumperd ooit komt mijn dag en geloof me dan st ze te janken kkhomo,s

Social Media

De werkneemster was IC-verpleegkundige bij een ziekenhuis.

Dochter haar portofolio uitbreiden met een item over gezondheidszorg

foto’s maken van de IC-afdeling

dochter haar witte uniformjasje aangedaan met daarover een sjerp met de tekst “Miss International Netherlands”

foto’s op Facebook geplaatst

werkneemster, na eerst een op non-actief stelling, op staande voet ontslagen

35 jaar in dienst en altijd goed gefunctioneerd

De rechter:

verwijtbare schending van de privacy van de patiënt(en)

geen toestemming gevraagd voor het maken van de foto’s, noch voor het plaatsen op internet

niet de juiste afweging gemaakt tussen haar eigen belang c.q. het belang van haar dochter enerzijds, en het belang van de patiënt anderzijds

Echter, geen dringende reden. Alle verwijten zijn namelijk terug te voeren op één relatief korte gebeurtenis, waarbij de werkneemster weliswaar ondoordacht en onzorgvuldig heeft gehandeld, maar niet is gebleken van kwade bedoelingen. Van daadwerkelijke concrete schade of negatieve gevolgen voor het ziekenhuis is niet gebleken. Bovendien is de werkneemster al 35 jaar in dienst en heeft zij altijd goed gefunctioneerd.

ontbinding wegens een onherstelbare vertrouwensbreuk. Nu de vertrouwensbreuk in overwegende mate aan de werkneemster kan worden verweten, kent de kantonrechter geen vergoeding toe.

Verplichtingen voor dossier

Om datalekken te voorkomen, moet de organisatie de persoonsgegevens die zij "verwerkt" volgens de Landsverordening Bescherming Persoonsgegevens beveiligen. De LBP geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moet nemen.

Dit houdt in dat de organisatie moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. Dit houdt in dat de organisatie geen verouderde techniek gebruikt om de gegevens te beveiligen. Hackers dienen geen of weinig kans te krijgen om zich toegang te verschaffen tot de persoonsgegevens.

De organisatie moet bovendien ook niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens? Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik.

Organisaties die persoonsgegevens gaan verzamelen, moeten bewust nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Beveiligen

Volgens deze beleidsregels mag:

• een werkgever als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren:
• het telefoonnummer en (verpleeg)adres;
• de vermoedelijke duur van het verzuim;
• de lopende afspraken en werkzaamheden;
• of de ziekte verband houdt met een arbeidsongeval;
• of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is.

Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers

LBP

Zoals vanmorgen uitgelegd, heeft SGR twee petten op: Werkgever en Zorgverlener.

We zullen voor dit tweede deel ons beperken tot SGR de Werkgever.

Allereerst zullen we stilstaan bij een aantal verplichtingen uit de Landsverordening en hoe een organisatie aan deze verplichtingen uitwerking moet geven.

Daarna zullen we aan de hand van beleidsregels die voor Nederland gelden, de do's en don'ts bespreken indien een werkgever te maken heeft met een zieke werknemer.

Tot slot zullen we stilstaan bij social media, zullen we enkele problemen bespreken waar een werkgever tegenaan kan lopen door het gebruik van social media door zijn werknemer er hoe hiermee kan worden omgegaan

De LBP toont grote gelijkenissen met de Wet Bescherming Persoonsgegevens uit Nederland. In Nederland heeft de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) verschillende beleidsregels opgesteld.Hoewel deze beleidsregels bij ons geen geldende regelgeving zijn, kunnen we ze wel gebruiken als houvast, om te achterhalen hoe de LBP moet worden uitgelegd.

We zullen stilstaan bij de 'Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers', om daaruit wat meer te leren over hoe een HR afdeling dient om te gaan met persoonsgegens van zieke werknemers.

Beleidsregels

1. Algemene norm: in overeenstemming met de wet op behoorlijke en zorgvuldige wijze (art. 6 LBP)

2. Doelbinding: welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 7 LBP)

3. Verwerkingsgronden (art. 8 LBP):

Ondubbelzinnige toestemming

Uitvoering van een overeenkomst

Uitvoering wettelijke plicht

Vitaal belang van de betrokkene

Publiekrechtelijke taak

Gerechtvaardigd belang

4. Nevengebruik (art. 9 LBP): niet onverenigbaar met doeleinden

5. Bewaartermijn (art. 10 LBP): niet langer dan noodzakelijk voor het doel

6. Kwaliteitseisen (art. 11 LBP): minimum = maximum (niet bovenmatig, toereikend, ter zake dienend)

7. Geheimhouding (art. 12 LBP)

8. Beveiliging (art. 13 LBP): passende technische en organisatorische maatregelen tegen verlies of enige vorm van onrechtmatige verwerking. Passend beveiligingsniveau die gelet op de verwerking en aard van de gegevens meebrengt.