Gezondheidsgegevens van werknemers: hoe ga je ermee om tijdens COVID-19?

Gezondheidsgegevens van werknemers: hoe ga je ermee om tijdens COVID-19? Van de uitdagingen waarmee onze samenlevingen worden geconfronteerd in de context van de gezondheidscrisis, is de uitdaging voor werkgevers niet de minste.

Naast de arbeidsvoorwaarden die aangepast moeten worden, is er de vraag welke gegevens kunnen of zelfs moeten worden verzameld en verwerkt in het kader van de arbeidsrelatie.

De werkgever ziet zich enerzijds geconfronteerd met de wettelijke verplichting om de gezondheid te behouden van haar werknemers, terwijl gezondheidsgegevens daarentegen wettelijk als vertrouwelijk worden beschouwd. gevoelige gegevens, waarvan de verwerkingsvoorwaarden strikt gereguleerd zijn.

De recente herinnering van de CNIL over het te respecteren kader en de concrete maatregelen die op de werkvloer kunnen worden genomen, is dan ook welkom.

De volgende elementen blijven behouden:

Hoewel de verwerking van gezondheidsgegevens in beginsel verboden is, blijft deze onder bepaalde voorwaarden mogelijk, afhankelijk van de nagestreefde doeleinden.

In het kader van de pandemie kan de werkgever dus geldig:

• Informeer uw werknemers over de barrièremaatregelen, voorzie hen van alle noodzakelijke beschermingsmiddelen en herinner hen aan de verplichting om hen of de bevoegde gezondheidsautoriteiten te informeren in geval van besmetting of een vermoeden van besmetting, met als enig doel hen in staat te stellen hun werkomstandigheden aan te passen (bijvoorbeeld telewerken).

• Maak de overdracht van informatie mogelijk door waar nodig speciale en veilige kanalen in te richten

• Bevorder het werken op afstand en moedig het gebruik van arbeidsgeneeskunde aan.

• Als onderdeel van de implementatie van een bedrijfscontinuïteitsplan om de veiligheid van werknemers te beschermen en essentiële activiteiten te identificeren die moeten worden onderhouden, moet een nominatief bestand worden gemaakt voor de ontwikkeling en het onderhoud van het plan, beperkt tot de gegevens die nodig zijn om deze doelstelling te bereiken.

De werkgever heeft slechts toegang tot bepaalde, beperkte informatie om de vereiste organisatorische maatregelen te kunnen nemen, terwijl gegevens die direct betrekking hebben op de gezondheid door een zorgverlener moeten worden verwerkt.

(Bijvoorbeeld om een quarantaine te verlengen en telewerken te rechtvaardigen) en in het kader van de bedrijfsgezondheidsdiensten:

De werkgever is niet bevoegd om een diagnose van de gezondheidstoestand van elk van zijn werknemers uit te voeren of om zelf een systeem te beheren voor het beoordelen van hun kwetsbaarheid (bijvoorbeeld via een kleurencode).

Onder de huidige wetgeving kan de werkgever geen elektronische temperatuurregistratie of het verzamelen van temperaturen via een warmtecamera met gegevensbewaring, serologische tests en gezondheidsvragenlijsten uitvoeren. De situatie zou anders zijn dan handmatige temperatuurmeting zonder gegevensbewaring: een dergelijke praktijk valt niet onder de AVG, maar kan wel andere vragen oproepen over de effectiviteit.

Tenslotte moet, nog steeds vanwege de gevoelige aard van de verwerkte gegevens, de grootste aandacht worden besteed aan veiligheidsmaatregelen die de vertrouwelijkheid van de verwerkte gegevens garanderen.

Kortom, de belangrijkste maatregelen die de werkgever mag nemen, hebben betrekking op de organisatie van het werk, op basis van gegevens die beperkt zijn tot de risico's van blootstelling van werknemers, terwijl het beheer van gegevens die directer betrekking hebben op de ziekte de directe verantwoordelijkheid is van zorgprofessionals. Alle andere verzoeken aan werkgevers om informatie te melden aan de gezondheidsautoriteiten of om specifieke maatregelen te nemen, kunnen worden geraadpleegd op de website van het Ministerie van Arbeid.

• En ook

Frankrijk:

• Op 1 oktober publiceerde de CNIL de definitieve versie van haar richtlijnen betreffende het gebruik van cookies en andere trackers.

Er wordt met name gespecificeerd dat het blijven browsen op een website niet kan worden beschouwd als geldige toestemming voor het gebruik van tracers.

Ook wordt aanbevolen dat gegevensbeheerders in de interface voor het verzamelen van toestemming niet alleen een knop 'Alles accepteren', maar ook een knop 'Alles weigeren' opnemen.

• Oktober is de maand van de cyberbeveiliging.

In dit verband publiceren de CNIL en de ANNSSI een reeks aanbevelingen.

Cyberaanvallen hebben de afgelopen maanden vooral de gezondheidszorg, de industrie en lokale overheden getroffen.

Personen zijn bijzonder geviseerd door webcamchantage. De CNIL geeft op haar website advies over hoe u zichzelf kunt beschermen.

Europa:

• De Raad van Europa heeft een rapport gepubliceerd over de veerkracht van de beginselen inzake gegevensbescherming in de 57 landen die Verdrag 108 hebben geratificeerd, in het licht van de maatregelen die zijn genomen om de pandemie in te dammen.

• De toezichthoudende autoriteit in Hamburg legde H&M op 1 oktober een boete van € 35 miljoen op vanwege schending van de privacy van haar werknemers.

Het bedrijf verzamelde informatie over de vakanties, de gezondheidstoestand en de religie van zijn werknemers.

Het bedrijf neemt momenteel een groot aantal maatregelen om ervoor te zorgen dat de verwerking aan de wet voldoet.

• Er zijn twee conceptrichtlijnen beschikbaar voor openbare raadpleging op de website van de Europese Raad voor Gegevensbescherming (EDPB).

Deze documenten hebben enerzijds betrekking op de begrippen verwerkingsverantwoordelijke en onderaannemer en anderzijds op de targeting van gebruikers van sociale netwerken.

• Naar aanleiding van de Schrems II-uitspraak van het Europees Hof van Justitie, die een rem zet op transatlantische gegevensoverdrachten (zie het redactioneel commentaar van september over dit onderwerp), heeft de Europese Commissie nieuwe standaardcontractbepalingen aangekondigd voor het einde van het jaar.

Internationaal :

• De ontwikkeling van gezichtsherkenning zorgt in verschillende delen van de wereld voor discussie.

In Singapore beschouwt de organisatie "Privacy International" het gebruik van gezichtsherkenning om toegang te krijgen tot openbare diensten als een ongekende inbreuk op de privacy van burgers, terwijl in Rusland het gebruik ervan in openbare ruimtes en de entreehallen van particuliere gebouwen aanleiding geeft tot bezorgdheid.

• Ethiek en kunstmatige intelligentie vormen het onderwerp van een artikel in de laatste nieuwsbrief van de Global Privacy Assembly, die de CNIL's op internationaal niveau verenigt.

Het richt zich specifiek op kwesties die verband houden met digitale hulpmiddelen die in de gezondheidszorg worden gebruikt, waaronder COVID-19-tracking-apps.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.