Met de komst van de CoronaMelder-app en de toename van het aantal besmettingen, nemen ook de vragen van werkgevers toe. Hoe om te gaan met een besmetting onder je werknemers? Wat mag wel en wat niet?
Medische gegevens en de AVG
Op grond van de AVG/Privacywetgeving mág een werkgever géén medische gegevens van een werknemer verwerken. “Verwerken” in de zin van de AVG is een ruim begrip – feitelijk mag je medische gegeven niet opschrijven/registreren. Zo mag je bijvoorbeeld best een werknemer “temperaturen”, maar je mag vervolgens niets met de uitslag doen. Dit gaat zover dat het (dus) niet zou mogen om een “toegangspoortje” van een werknemer gesloten te houden, wanneer deze met een pasje incheckt, getemperatuurd wordt en verhoging blijkt te hebben.
Rond een (mogelijke) corona-besmetting speelt hetzelfde. De werknemer hoeft niet te melden dat hij corona heeft – hij mág dit wel melden. Strikt genomen mág je er als werkgever wel naar vragen, maar de werknemer hoeft niet te antwoorden (en daar zal je de werknemer ook vooraf op moeten wijzen). Verneem je dat de werknemer corona heeft, dan mág je die medische informatie vervolgens niet delen, gebruiken en/of registreren. Op grond van dezelfde/voorstaande regels, mag ook een bedrijfsarts deze informatie niet doorgeven aan de werkgever.
Veilige werkomgeving
Op grond van de wet (7:658 BW) rust op de werkgever echter tevens de verplichting zorg te dragen voor een veilige werkomgeving. De privacywetgeving botst hier met deze wettelijke (zorg)plicht van de werkgever. Een werkgever zal een strikt beleid moeten voeren, overeenkomstig de richtlijnen van het RIVM; bij corona-gerelateerde klachten; blijf thuis, wijs de werknemer erop dat hij zich laat testen en neem contact op met de bedrijfsarts.
Hoewel de uitslag van deze test niet gedeeld hoeft te worden met de werkgever, komt deze informatie wel bij de GGD terecht. De GGD zal bij een positieve test een bronnen- en contactonderzoek starten – waardoor deze medische gegevens (indirect) toch bij de werkgever uit (kan) komen. Kán komen, omdat een werknemer niet verplicht kan worden om mee te werken aan dit onderzoek. De GGD zal vervolgens met de werkgever overleggen of én welke maatregelen gewenst zijn, ingeval van een besmette werknemer.
Op grond van het “Protocol bron- en contactonderzoek COVID-19” vormen ‘collega’s’ in beginsel de restgroep “overige contacten”. Bij deze groep is (thuis) quarantaine geen vereiste – dit in tegenstelling tot de groep “nauwe contacten”. Het verschil tussen deze twee groepen ligt bij het vraag of werknemers langer dan 15 minuten en op minder dan 1,5 meter afstand contact met de besmette werknemer hebben gehad.
CoronaMelder
De CoronaMelder-app werkt overeenkomstig dezelfde richtlijnen en zou inzichtelijk(er) moeten maken, met welke mensen een besmette persoon (kort of langdurig) in contact is geweest. Het Kabinet dringt erop aan dat niemand verplicht kan worden deze app te installeren of te gebruiken, ook een werkgever niet. De app zou volledig privacy-proof (moeten) zijn en geen (persoons)gegevens opslaan. Tenzij de (komende) ‘Coronawet’ dit gaat regelen, zijn er in beginsel geen regels die verbieden deze App te verplichten – zeker niet wanneer het onderdeel uitmaakt van een breder preventiebeleid van een onderneming. Voor nu is het advies, in lijn met de wens van het Kabinet en de Autoriteit Persoonsgegevens, om niemand te verplichten deze App te gebruiken.
Klanten en Corona
Voor klanten c.q. niet ondergeschikten, ligt het voorstaande een stuk genuanceerder. Uitgangspunt is en blijft dat in beginsel géén medische gegevens van klanten verwerkt mogen worden – zónder diens uitdrukkelijke en vrije toestemming. Anders dan een werknemer (die in een gezagsverhouding staat tot de werkgever) geldt dat een klant deze toestemming zou kunnen geven. Echter ook voor deze klant moet gelden dat hij zijn toestemming vrijelijk, ondubbelzinnig, voor een specifiek doel en goed geïnformeerd geeft. Terughoudendheid is dan ook gepast, maar strikt genomen ben je hierin vrijer dan in een situaties van een werknemer. Wees erop bedacht dat bij het ‘verwerken’ van medische gegevens de AVG aanvullende/strengere eisen stelt aan je organisatie.
Advies
Door op de werkvloer strikt de maatregelen van het RIVM op te volgen en structureel 1,5 meter afstand te houden, beperk je (op grond van deze richtlijnen) het risico. Niet alleen op besmetting, maar ook op een 10 dagen thuis quarantaine van de overige collega’s bij een besmetting. De collega’s in de groep “overige contacten” worden immers enkel geadviseerd de gezondheid goed in de gaten te houden. Welke maatregelen een werkgever moet nemen ná een bekende besmetting, hangt dus op grond van het Protocol (en de CoronaMelder-app) samen met het handhaven van de 1,5 meter afstandsregel.
Het zorgen voor een veilige werkomgeving is echter een wettelijke plicht die op een werkgever rust. Het naleven van de RIVM-richtlijnen, maakt daar onderdeel van uit. Wees terughouden met het vragen naar medische gegevens, voorkom dat je deze verwerkt/gebruikt en zorg ervoor dat je voldoet aan de privacywetgeving. Bij een onverhoopte besmetting zal het RIVM de nodige maatregelen doornemen.
Hulp en ondersteuning
Voor advies op maat en ondersteuning bij privacy-vraagstukken kan je geheel vrijblijvend contact met ons opnemen. Wij hebben ruime ervaring in dergelijke trajecten en kennen de weg.
Meer informatie over onze specialisaties:
Arbeidsrecht | Ondernemingsrecht | Huurrecht | Contractenrecht | Algemeen civiel | IE, internet & privacy | Franchise- en mededingingsrecht | Procesrecht | Mediation