Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) al ruim vier jaar van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG geldt voor alle organisaties en versterkt privacyrechten voor burgers, wat gevolgen heeft voor verwerkingen van persoonsgegevens. De AVG is een verordening met open normen. Deze normen moeten worden vertaald naar de organisatie. In veel gevallen zijn er richtlijnen vanuit de European Data Protection Board om richting te geven aan de uitleg en toepassing van de norm. Het navigeren en juist toepassen van deze normen en richtlijnen zijn in de praktijk een uitdaging voor veel organisaties. In dit artikel geven wij richtlijnen hoe dit vorm te geven op het gebied van het verwerken van persoonsgegevens voor verzuim.
Onze maatschappij is een van meest ‘gedigitaliseerde’. Organisaties verwerken steeds meer persoonsgegevens en maken hierbij gebruik van diverse digitale middelen, zoals een HR systeem, of een Cloudoplossing. Dat deze systemen risico’s met zich meebrengen, realiseert niet iedereen. Met deze systemen worden ook vaak en ongemerkt bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens. Sterker nog, in sommige gevallen moeten er bijzondere persoonsgegevens verwerkt worden, zoals bij het opstellen van een re-integratieverslag in het kader van Wet verbetering poortwachter. Zeker bij re-integratiedocumenten (zoals belastbaarheidsprofielen, spreekuurverslagen en probleemanalyses) blijkt dat re-integratie specialisten in de praktijk vaak onjuiste termen gebruiken om bijzondere persoonsgegevens met betrekking tot de gezondheid te verwerken. Denk hierbij aan termen als ‘krukken’ in plaats van ‘hulpmiddel’, ‘gewrichtsklachten’ in plaats van ‘(medische) beperkingen’ en ‘fysiotherapeut’ in plaats van ‘behandelaar’. Dit is niet toegestaan. De Autoriteit Persoonsgegevens heeft hiervoor strikte richtlijnen gegeven[1].
Ook binnen HR- en verzuimsystemen wordt vaak te veel informatie vastgelegd door werkgevers over verzuimende medewerkers. Het is te makkelijk om binnen deze systemen ‘alles’ vast te leggen en dus ook de zaken die niet vereist zijn om desbetreffende doelen te bereiken. Dit blijkt ook uit een boete welke eerder door de Autoriteit Persoonsgegevens is uitgedeeld.
Er is een verplicht instrument om de privacyrisico’s van dergelijke ‘hoog risico’ gegevensverwerkingen in kaart te brengen. Dit is een Data Protection Impact Assessment (DPIA). Een DPIA is verplicht uit te voeren op gegevensverwerkingen (en de ondersteunende systemen) waarbij sprake is van een hoog risico. Om dit makkelijk te doen, kan ‘EasyDPIA®’ worden gebruikt van PrivacyTeam. Dit betreft software waarmee iedereen, dus ook zonder DPIA expert te zijn, in staat is om op de juiste manier een DPIA uit te voeren. In EasyDPIA® kunt u ook vooringevulde en complete ‘generieke’ DPIA’s vinden. Hiermee maakt u snel een specifieke DPIA voor uw organisatie.
De follow-up hierin is echter ook van belang, zodat de resultaten uit de DPIA goed worden opgevolgd. In een DPIA wordt bijvoorbeeld geconstateerd dat er een risico is dat er ‘medische gegevens’ worden verwerkt. Het is hierbij verplicht een passende beheersmaatregel te treffen. Het mooiste is natuurlijk als er systematisch voor gezorgd kan worden dat onnodige (medische) gegevens op voorhand niet worden verwerkt. Dit past ook goed in het kader van ‘privacy by design’. Het idee van ‘privacy by design’ is om in een vroeg stadium een zorgvuldige omgang met persoonsgegevens af te dwingen, zowel technisch als organisatorisch.
Een organisatie welke zich richt op de ontwikkeling van privacy software en hierop inspeelt is Corrtex. Door gebruik te maken van gemakkelijk te integreren software worden gebruikers bij mogelijke privacyschendingen gecoacht over de manier van communiceren. Dit is vergelijkbaar met een grammatica check, alleen dan gefocust op privacy. Tekst wordt in real-time geanalyseerd op (bijzondere) persoonsgegevens en verbetersuggesties presenteren zich wanneer een privacyschending zich voordoet. Denk bij een privacyschending aan het onjuist verwerken van medische gegevens, strafrechtelijk verleden, seksuele voorkeur, etc. Door middel van deze tool kan iedereen communiceren op een wijze die overeenkomt met de AVG richtlijnen en reputatieschade en hoge boetes voorkomen. De software is beschikbaar in verschillende werkomgevingen, zoals Microsoft Word, Outlook en Google omgevingen, maar ook binnen werkomgevingen op maat (zoals HR- en verzuimsystemen).
Er zijn diverse systemen beschikbaar om het naleven van de privacywetgeving voor iedereen toegankelijk te maken:
Wil jij meer weten over EasyDPIA? Kijk dan hier.
Wil jij meer weten over Corrtex? Kijk dan hier
[1] Zie hiervoor de richtlijnen ‘De zieke werknemer’ van de Autoriteit Persoonsgegevens (voorheen Cbp) van 2016.