Re-integratiebedrijven en de AVG

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

08 november 2018

Bij de begeleiding en re-integratie van zieke werknemers verwerken verschillende partijen (zoals werkgevers, bedrijfsartsen en re-integratiebedrijven) persoonsgegevens van deze werknemers. De Algemene Verordening Gegevensbescherming (“AVG”) is in dat geval van toepassing. In deze blog belichten wij kort de rol van re-integratiebedrijven. Met welke aspecten van gegevensverwerking dienen zij rekening te houden? U leest het hieronder.

Wat wordt onder een re-integratiebedrijf verstaan?

Volgens de Wet werk en inkomen naar arbeidsvermogen (“WIA”) betreft een re-integratiebedrijf een natuurlijke persoon dan wel rechtspersoon die voor de uitoefening van beroep of bedrijf de inschakeling van personen in de arbeid bevordert. Re-integratiebedrijven worden door werkgevers ingeschakeld ter ondersteuning van het re-integratieproces. Zo kan het re-integratiebedrijf helpen bij terugkeer van de zieke werknemer naar zijn of haar eigen werk, maar ook om ander werk te vinden dat aansluit bij zijn of haar kennis, vaardigheden en mogelijkheden.

Welke gegevens dient de werkgever aan het re-integratiebedrijf te verstrekken? En welke gegevens mag het re-integratiebureau verwerken?

De werkgever moet aan het re-integratiebedrijf gegevens verstrekken die noodzakelijk zijn voor het bedrijf om de door de werkgever opgedragen werkzaamheden uit te voeren. Denk bijvoorbeeld aan NAW-gegevens, gegevens rondom ziekmelding (zoals verwachte verzuimduur), voortgangsrapportages, etc. Ook is de werkgever wettelijk verplicht het BSN van de werknemer te verstrekken.

Vanwege de informatieplicht moet de werkgever de zieke werknemer laten weten welke gegevens aan het re-integratiebedrijf worden verstrekt. Dat kan bijvoorbeeld via een privacystatement voor haar werknemers. Anderzijds dient ook het re-integratiebureau haar cliënten (de zieke werknemers) over de verwerking van zijn of haar gegevens te informeren (zie ook kopje “Informatieplicht”).

Hoe zit het met gezondheidsgegevens?

Gezondheidsgegevens mogen in beginsel niet aan het re-integratiebedrijf worden verstrekt. In bepaalde situaties is het echter noodzakelijk dat de bedrijfsarts toch tot verstrekking overgaat. Bijvoorbeeld wanneer het om een re-integratiebedrijf gaat, dat zich toespitst op de re-integratie van werknemers met rugklachten. De Autoriteit Persoonsgegevens (“AP”) noemt dit voorbeeld in haar Beleidsregels ‘De zieke werknemer’. Bij verstrekking van gezondheidsgegevens moet de bedrijfsarts overigens altijd een afweging maken of verstrekking daadwerkelijk noodzakelijk is voor de re-integratieactiviteiten.

Re-integratiebedrijven mogen dus alleen gezondheidsgegevens verwerken als dit noodzakelijk is om de door de werkgever aan dit bedrijf opgedragen taak uit te voeren voor de begeleiding en re-integratie van de zieke werknemer. De verwerking van gezondheidsgegevens moet binnen het re-integratiebedrijf plaatsvinden door iemand die in staat is om de gegevens te beoordelen en op basis hiervan te adviseren over de re-integratie. Doorgaans zal dit een medisch geschoold persoon zijn.

Mag het re-integratiebedrijf gegevens aan derden verstrekken?

Het re-integratiebedrijf kan gegevens aan derden verstrekken en is in sommige gevallen zelfs daartoe verplicht. Denk aan verstrekking van informatie aan het UWV in verband met het vaststellen van recht op uitkering.

Gegevens bewaren?

Voor het bewaren van het niet-medische gedeelte van het re-integratiedossier geldt geen wettelijke termijn. De Autoriteit Persoonsgegevens adviseert om dit deel niet langer dan twee jaar na afronding van de re-integratie te bewaren. Voor het medische gedeelte van het re-integratiedossiers geldt een wettelijke bewaartermijn van 15 jaar.

Informatieplicht

Re-integratiebedrijven dienen, net als werkgevers, ook aan de informatieplicht uit de AVG te voldoen. Dit betekent dat zij hun cliënten (de zieke werknemers), maar ook hun opdrachtgevers (de werkgevers) dienen te informeren over de verwerking van hun persoonsgegevens. Dat kan via een privacystatement. Daarin moet onder meer worden opgenomen welke gegevens worden verwerkt, wie daarvoor verantwoordelijk is, voor welk doel, welke grondslag, of gegevens aan derden worden verstrekt, rechten van betrokkenen, bewaartermijnen, etc.

Tot slot

Heeft u vragen naar aanleiding van deze blog? Of heeft u hulp nodig bij het opstellen van een privacystatement? Neem dan vrijblijvend contact op met Karen Knook (k.knook@banning.nl / +73 8000 936) of een van de andere leden van het Privacy-team.

 

Bron: Beleidsregels ‘De zieke werknemer’ (Autoriteit Persoonsgegevens, online beschikbaar via: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_de_zieke_werknemer.pdf