Een werknemer functioneert tijdens de proeftijd uitstekend. Direct na de proeftijd meldt de werknemer zich echter ziek. Geen griep, maar ernstige verslavingsproblematiek. De werknemer wordt opgenomen in een kliniek. Voor de resterende duur van de arbeidsovereenkomst voor bepaalde tijd zal de werknemer geen arbeid kunnen verrichten. Met dit dossier werd Lidl recent geconfronteerd. Wat te doen?

Lidl lijkt logisch te reageren en staakt de loonbetaling. Een van de standpunten van Lidl is dat loondoorbetaling tijdens ziekte niet verplicht zou zijn als de werknemer een voor de functie relevante medische beperking heeft verzwegen en wist of redelijkerwijs had moeten begrijpen dat deze beperking hem ongeschikt maakt voor de functie waarnaar hij solliciteerde. Het verweer van Lidl houdt in deze zaak geen stand (zie hierna). Maar hoe zit het eigenlijk met de privacy van de zieke sollicitant/werknemer en zijn recht of plicht om medische informatie te verzwijgen c.q. te verstrekken aan de (toekomstige) werkgever en de mogelijkheden van de (toekomstige) werkgever om medische persoonsgegevens te verwerken? De Autoriteit Persoonsgegevens heeft recent de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers herzien en geactualiseerd. Enkele hoofdlijnen.

Sollicitatiefase

Over gezondheid, ziekteverzuim in het verleden en (gewenste) zwangerschap mogen aan de sollicitant geen vragen vragen worden gesteld. Het is ook niet toegestaan om hierover informatie in te winnen bij eerdere werkgevers. De sollicitant is wel verplicht om voor de functie relevante medische beperkingen te melden indien hij weet of moet begrijpen dat deze beperking hem ongeschikt maakt voor de functie. In het Lidl voorbeeld ging deze vlieger niet op omdat ziekte-inzicht bij verslavingsproblematiek vaak afwezig is, aldus de kantonrechter. De aanstellingskeuring biedt in dit kader meestal weinig soelaas. Een dergelijke keuring is namelijk alleen toegestaan wanneer aan de vervulling van de functie bijzondere eisen moeten worden gesteld op het punt van de medische geschiktheid met het oog op de bescherming van de gezondheid en de veiligheid van de werknemer of derden.

Zieke werknemer

Het recht van de werkgever op informatie over een zieke werknemer is beperkt. De werkgever moet zich beperken tot gegevens die “noodzakelijk” zijn. De werkgever mag zelf niet vragen naar de aard en oorzaak van de ziekte en de beperkingen en mogelijkheden van de werknemer. Wel mag de werkgever vragen naar telefoonnummer en verpleegadres, vermoedelijke duur van het verzuim, lopende afspraken en werkzaamheden, of een vangnetbepaling uit de Ziektewet van toepassing is, of de ziekte verband houdt met een arbeidsongeval en of er sprake is van een verkeersongeval.

Ook met toestemming van de werknemer moet ervan uit worden gegaan dat gegevens over de gezondheid van de werknemer niet mogen worden verwerkt. Het noodzakelijkheidsvereiste geldt namelijk ook wanneer gegevens vrijwillig door de werknemer worden verstrekt. Bovendien zal gelet op de bestaande gezagsverhouding tussen werkgever en werknemer niet snel sprake zijn van een vrije wilsuiting van de werknemer die wel noodzakelijk is om van “toestemming” te kunnen spreken.

Beveiliging van verzuimsystemen

Voor het verkrijgen van toegang tot digitale verzuimsystemen moet authenticatie uit ten minste twee afzonderlijke kenmerken bestaan. Verder moeten beveiligingsrisico’s periodiek in kaart worden gebracht en moeten passende organisatorische en/of technische maatregelen worden getroffen om beveiligingsrisico’s te beperken dan wel te voorkomen. Dit houdt onder meer in dat personen die persoonsgegevens niet morgen verwerken deze ook niet mogen inzien en de module waarin de arts gegevens registreert op geen enkele manier toegankelijk is voor de werkgever.

Bewaartermijnen

Voor administratieve verzuimgegevens (datum ziekmelding, duur verzuim, datum herstel) geldt dat de werkgever deze mag bewaren zolang dat nodig is voor de doeleinden waarvoor ze verzameld zijn. Een redelijke bewaartermijn betreft maximaal twee jaar nadat de arbeidsrelatie is afgelopen. Voor een re-integratiedossier geldt dat een termijn van twee jaar na afronding van de re-integratie als een redelijke termijn wordt aangemerkt. Voor eigen risicodragers of bijzondere dossiers gelden afwijkende termijnen.

Sancties

De handhavingsmiddelen van de Autoriteit Persoonsgegevens zijn verstrekkend. Naast onderzoeksbevoegdheden, heeft de Autoriteit Persoonsgegevens de mogelijkheid om correctief op te treden door middel van het geven van waarschuwingen, reprimandes, aanwijzingen, het opleggen van verboden tot verwerking, de plicht tot rectificatie en verwijdering en bestuurlijke boetes.

Conclusie

De privacy van de zieke en/of zwangere sollicitant/werknemer wordt in vergaande mate beschermd en het recht op informatie voor de werkgever is beperkt. De werkgever is in het kader van ziekteverzuim en re-integratie daarom in belangrijke mate afhankelijk van de door hem in de arm genomen bedrijfsarts of arbodienst. Tegelijkertijd rusten op de werkgever vergaande verplichtingen om de privacy van de werknemer te waarborgen. Verzuimsystemen moeten veilig zijn en bewaartermijnen van persoonsgegevens zijn beperkt. Om sancties van de Autoriteit Persoonsgevens te voorkomen is het voor de werkgever noodzakelijk om goed op de hoogte te zijn van de geldende wet- en regelgeving en hier steeds naar te handelen. En dus niet vragen naar aard en oorzaak van de ziekte, hoe voor de hand liggend en verleidelijk deze vraag misschien ook lijkt.