De Autoriteit Persoonsgegevens (AP) heeft een Nederlands bedrijf 15.000 euro boete gegeven vanwege het verwerken van gezondheidsgegevens van zieke werknemers en het slecht beveiligen ervan.
Registratie bijzondere persoonsgegevens
Het bedrijf CP&A hield van zieke medewerkers een verzuimregistratie bij maar registreerde daarbij zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals bijvoorbeeld de namen van ziektes, specifieke klachten en pijnaanduidingen. Die gevoelige informatie is niet noodzakelijk voor de re-integratie van de werknemers na hun ziekteverzuim. Het bedrijf mocht die gegevens daarom niet registreren.
Gezondheidsgegevens vallen onder de zogeheten "bijzondere persoonsgegevens". Onder die categorie persoonsgegevens vallen gevoelige gegevens zoals iemands ras, godsdienst of gezondheid. Die worden door de wetgever extra beschermd. Volgens de privacywetgeving mag een werkgever geen informatie over de aard en oorzaak van iemands ziekmelding registreren. Een arbodienst of bedrijfsarts mag er naar vragen, een werkgever niet.
Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is zoals de bescherming van vitale belangen van de betrokken persoon. Een werkgever mag bijvoorbeeld registreren dat een medewerker epilepsie heeft en collega's informeren zodat zij weten wat ze moeten doen als diegene een epileptische aanval krijgt.
Registratie onveilig
Verder was de verzuimregistratie van CP&A onveilig. Hij was online en zonder authenticatie toegankelijk. Voor gezondheidsgegevens gelden extra strenge beveiligingseisen. Alleen bevoegde medewerkers mogen de gegevens kunnen inzien. En indien een verzuimsysteem via internet toegankelijk is, moet de toegang worden beveiligd via meerfactorauthenticatie.
Boete
De basisboete van de twee overtredingen is ruim 1 miljoen euro (respectievelijk 725.000 en 310.000 euro). Maar de Autoriteit Persoonsgegevens heeft rekening gehouden met de draagkracht van het bedrijf. En het boetebedrag vastgesteld op 15.000 euro.
Bronnen:
