Corona versus privacy : corona-informatie gebonden aan zeer beperkende privacy-voorwaarden
De coronacrisis zorgt voor heel wat solidariteit, zoals zorgverstrekkers die dag en nacht instaan om zieken te verzorgen of vrijwilligers die mondmaskers maken. Maar jammer genoeg zijn er ook vele organisaties die flagrant de privacywetten overtreden. Ik wil dan ook alle organisaties oproepen om zich strikt aan de (privacy-)wetgeving te houden.
Gezondheid en het recht op privacy zijn geen tegenstrijdige fenomenen. Ook de Gegevensbeschermingsautoriteit (Privacycommissie) gaat hiervan uit.
Ik geef hieronder enkele voorbeelden van hoe beperkend de privacywetgeving is. Het verwerken van persoonlijke informatie – en zeker in relatie met gezondheid – is bijna altijd verboden.
Basisprincipe
Werkgeversmaatregelen in de strijd tegen corona moeten voldoen aan artikel 6.1 van de Algemene Verordening Gegevensbescherming (AVG). De bepaling (in dit artikel) dat de verwerking noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, is in het kader van de coronapandemie niet toepasbaar. Dit geldt ook voor artikel 9, 9.2.i) van de AVG in verband met gezondheidsgegevens. Een werkgever kan zich dus niet beroepen op dit artikel om gegevens te verwerken. Artikel 9.2.i) kan enkel ingeroepen worden bij uitdrukkelijke richtlijnen van de bevoegde overheden.
Daarnaast spelen ook het proportionaliteitsbeginsel en het beginsel van de minimale gegevensverwerking (artikel 5.1c) en e) van de AVG) een belangrijke sturende rol. Men mag slechts de minimaal noodzakelijke hoeveelheid gegevens verwerken om een vooropgesteld doel te bereiken. Organisaties moeten op een transparante manier coronamaatregelen nemen. Tegelijk moeten ze hun werknemers en de werknemers van de contractoren voldoende informeren over de verwerking en de bewaartermijn van de verzamelde persoonsgegevens (artikel 5.1, a)).
Corona en privacy: de feiten
Elke organisatie kan de nodige maatregelen nemen om corona buiten het bedrijfsterrein te houden. Voor een organisatie is het cruciaal dat haar werknemers niet ziek worden en dat installaties en machines blijven werken. Ook werknemers moeten hun verantwoordelijkheid opnemen, door de afstandsregels na te leven, de hygiëneregels te respecteren en door thuis te blijven bij ziektesymptomen.
Maar preventiemaatregelen om corona buiten het bedrijfsterrein te houden, moeten natuurlijk wel wettelijk zijn. Respect voor de privacyregels is essentieel. En informatie over ziekte en gezondheid is privacygevoelig. In haar communicatie legden de federale overheid en de expertengroep nooit de nadruk op temperatuurcontrole bij werknemers. Hierdoor is de noodzaak om dergelijke controles uit te voeren – door een werkgever bij eigen werknemers of door een opdrachtgever bij werknemers van contractoren – niet proportioneel.
Volgens de privacywetgeving is de verwerking van gezondheidsgegevens verboden, tenzij in uitzonderlijke omstandigheden en wanneer een wettelijke grondslag aanwezig is. Gezondheidsgegevens kunnen bijvoorbeeld nodig zijn om te voldoen aan wettelijke verplichtingen. Zo moet een werkgever weten dat zijn werknemer ziek is om de loonbetalingen te kunnen verwerken. Maar de verwerking van deze gezondheidsgegevens mag enkel door een arbeidsarts gebeuren, niet door de werkgever zelf.
De hier geldende wetgeving is de algemene verordening gegevensbescherming AVG (General Data Protection Regulation, afgekort als GDPR) die op 24 mei 2016 in werking trad. Een persoonsgegeven is elke informatie over een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Persoonlijke data of persoonsgegevens worden gedefinieerd als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Als identificeerbaar komt elke natuurlijke persoon in aanmerking die direct of indirect geïdentificeerd kan worden op basis van een identificator, zoals een naam, identificatienummer, locatiegegevens, online identificator of één of meer elementen die kenmerkend zijn voor de identiteit van die natuurlijke persoon.
Het begrip ‘persoonsgegeven’ is dus zeer breed. De wetgever maakt geen onderscheid tussen vertrouwelijke informatie. De GDPR-regelgeving bepaalt bijzondere categorieën van persoonsgegevens (artikel 9) die beperkt raadpleegbaar zijn, zoals informatie die bewaard wordt na een temperatuurscan of publiek toegankelijke informatie die iedereen kan raadplegen op het intranet. Zelfs als de naam van de werknemer niet vermeld wordt, maar door het koppelen van informatie (leeftijd, geslacht, stad, diploma, enzovoort) of het gebruik van verschillende technische middelen tot één persoon leidt (‘singling out’), worden de gegevens nog steeds als persoonsgegevens beschouwd.
Mag de werkgever een lijst bijhouden van door corona besmette werknemers?
De Gegevensbeschermingsautoriteit (Privacycommissie) is hierin erg terughoudend en neemt geen eenduidig standpunt in. Wellicht zal het toegelaten worden om gegevens over de coronabesmetting van werknemers bij te houden. Dit kan in strijd zijn met zowel de arbeidsovereenkomstenwet van 1978 als met de welzijnswet van 1996.
Mag een werkgever of opdrachtgever een werknemer vragen of hij besmet is met het coronavirus?
Dit is toegestaan, op voorwaarde dat deze gegevens niet verwerkt worden. Bij verwerking moet men immers rekening houden met de privacywetgeving, die stelt dat gegevensverwerking verboden is.
Sommige opdrachtgevers uit de (petro)chemiesector vroegen werknemers van contractoren om een schriftelijke verklaring te voorzien met de bevestiging dat deze werknemers geen ziektesymptomen vertoonden, en dat noch zijzelf noch hun directe familieleden in landen met besmettingshaarden geweest waren. Het opvragen van dergelijke informatie is een schending van de privacy. De Gegevensbeschermingsautoriteit stelt immers uitdrukkelijk: ‘De werkgever kan werknemers niet verplichten tot het invullen van dergelijke vragenlijsten’. Impliciet geldt dit ook voor opdrachtgevers die dit vragen aan werknemers van contractoren.
Zijn temperatuurmetingen toegestaan?
Omdat koorts vaak een symptoom is van een coronabesmetting, willen sommige werkgevers hun werknemers (en van opdrachtgevers) scannen op koorts en dit registreren. Dergelijke registratie is een inbreuk op de privacywetgeving en dus wettelijk niet toegestaan. De Gegevensbeschermingsautoriteit (GBA) beschouwt de loutere opname van de lichaamstemperatuur echter niet als een verwerking van persoonsgegevens. Als dergelijke temperatuuropname dus niet gepaard gaat met een bijkomende registratie of verwerking van persoonsgegevens, is de AVG niet van toepassing. Voor een temperatuurmeting van eigen werknemers moet de werkgever hierover overleggen met de werknemers in het CPBW.
Er zijn twee manieren van temperatuurmeting: de manuele en de automatische. Bij een manuele meting meet men – via een voorhoofdthermometer – de lichaamstemperatuur aan het voorhoofd. Deze methode is toegelaten.
Bij een automatische meting gebeurt de meting automatisch bij elke persoon die in een vooraf aangeduid screeninggebied loopt. Dit kan via een camera op statief of met een vaste camera, eventueel inclusief gezichtsdetectie. Deze methode is een inbreuk op de privacywetgeving.
Wanneer men een verhoogde temperatuur vaststelt, dan moet de persoon in kwestie de nodige afstand houden en via een procedure de nodige stappen doorlopen.
Goed om te weten: het positief meten van de lichaamstemperatuur is geen sluitend bewijs van een coronabesmetting. De verhoogde temperatuur kan bijvoorbeeld het gevolg zijn van een recente fysieke inspanning. Bovendien zijn heel wat dragers van het coronavirus symptoomvrij.
Mag gecommuniceerd worden dat werknemer X corona heeft?
Dit mag in principe niet, want dit is een aantasting van de privacy. Een werkgever mag de namen van betrokken werknemers niet zomaar vrijgeven. Het is wel toegestaan om in algemene termen (dus zonder namen te noemen) te communiceren dat een werknemer besmet geraakt is. Een werknemer kan natuurlijk wel zelf zijn collega’s informeren over zijn coronabesmetting. Maar deze informatie mag niet vastgelegd noch verwerkt worden. Zelfs wanneer de besmette collega zijn werkgever vraagt om dit te communiceren aan de collega’s, is dit niet toegestaan.
Wat kunnen werknemers doen?
Als werknemers een schending van hun privacy vaststellen, dan kunnen ze een vraag tot bemiddeling indienen of een klacht neerleggen bij de gegevensbeschermingsautoriteit (de Privacycommissie). De boetes tegen misbruik zijn zeer hoog. Hieronder vindt u een link voor het indienen van een klacht.
https://www.gegevensbeschermin...
Jan Dillen
Bijkomende info:
https://www.gegevensbeschermin...