nieuws

Privacyregels en PSA, gaan die ’n beetje samen?

Wetgeving

Werkgevers mogen met het oog op privacy geen bijzondere persoonsgegevens verwerken. Gegevens over, zeg, de gezondheid van werknemers. Dit artikel gaat in op de vraag in hoeverre de privacyregels het (uit)voeren van een PSA-beleid begrenzen of beperken.

Privacyregels en PSA, gaan die ’n beetje samen?

Werkgevers mogen vanuit de privacyregels geen bijzondere persoonsgegevens ‘verwerken’ over bijvoorbeeld de gezondheid van werknemers. De grondslag hiervoor is artikel 30 AVG. Tenzij deze gegevens (kort gezegd) noodzakelijk zijn vanwege de goede uitvoering van een wettelijk voorschrift.

Voor algemene persoonsgegevens, zoals naam, adres, et cetera, geldt een minder zware toets. Daarvoor is het in principe voldoende als de gegevens noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst ter uitvoering van een wettelijke plicht, bijvoorbeeld voor de loonadministratie.

> LEES OOK: De AVG: bent u er klaar voor?

PSA-beleid en verwerken bijzondere persoonsgegevens

Bij de uitvoering van een beleid gericht op het beperken en voorkomen van PSA (psychosociale arbeidsbelasting) kan het voorkomen dat een werkgever persoonsgegevens verwerkt. Bijvoorbeeld als er sprake is van een incident waarbij PSA een rol speelt. Dan mag de werkgever wel algemene persoonsgegevens verwerken, zoals de naam van de betrokken medewerkers.

Maar worden er daarnaast ook gezondheidsgegevens verwerkt (bijvoorbeeld de medewerker ervaart spanningsklachten door pesten), dan ligt dat anders. Gezondheidsgegevens zijn immers bijzondere persoonsgegevens. En voor het verwerken van bijzondere persoonsgegevens geldt een verbod. Dat kan alleen worden doorbroken als die verwerking noodzakelijk is voor de uitvoering van een wettelijk voorschrift.

> LEES OOK: Gezondheidsgegevens verwerken onder de AVG

Wettelijke grondslag voor verwerken persoonsgegevens?

Je zou verwachten dat het verwerken van (bijzondere) persoonsgegevens voor de uitvoering van PSA-beleid ook hieronder valt. Want een werkgever is verplicht een beleid te voeren gericht op voorkomen en/of beperken van psychosociale arbeidsbelasting. Dat bepaalt artikel 3 lid 2 Arbeidsomstandighedenwet. Daarnaast is de werkgever verplicht om de arbeidsplaats dusdanig in te richten en maatregelen te nemen dat de kans dat de werknemer schade lijdt zoveel mogelijk wordt beperkt. Die zorgplicht komt voort uit artikel 7:658 BW.

Het lijkt dus logisch dat werkgevers een wettelijke grondslag hebben om (bijzondere) persoonsgegevens te verwerken bij het uitvoeren van een PSA-beleid. Maar zo simpel ligt het helaas niet.

> LEES OOK: Arbobeleid, dit zijn de aandachtspunten

Hoe zit het met privacyregels bij alcohol- en drugstesten?

De Autoriteit Persoonsgegevens (AP) heeft zich nog niet concreet uitgelaten over de vraag of werkgevers ook (bijzondere) persoonsgegevens mogen verwerken in het kader van de uitvoering van PSA-beleid. Wel valt er iets af te leiden uit eerdere AP-rapporten over de inzet van alcohol- en drugstesten door werkgevers. En dat is dat de AP van mening is dat er een concrete wettelijke mogelijkheid moet zijn voor werkgevers om bijzondere persoonsgegevens te verwerken voor PSA-beleid.

Uniper-zaak: alcohol- en drugstesten alleen vanuit wet

In de zogenaamde Uniper-zaak uit 2016 oordeelde de AP dat werkgevers slechts alcohol- en drugstesten moeten uitvoeren als dat concreet in de wet is vastgelegd. Denk bijvoorbeeld aan piloten, machinisten en schippers. En ook alleen dan bijzondere persoonsgegevens mogen verwerken over de gezondheid van werknemers. Maar voor beroepen en functies waarvoor zo’n mogelijkheid niet in de wet is opgenomen (veruit de grootste groep) geldt deze uitzondering niet. In die gevallen mogen werkgevers dus geen alcoholtests laten uitvoeren.

> LEES OOK: Alcohol- en drugscontroles verleden tijd?

Privacyregels en PSA, gaan die ’n beetje samen?

AP verwijst naar wetgever voor uitbreiding privacyregels

In maart 2019 heeft de Autoriteit Persoonsgegevens haar beleid op de website gepubliceerd. Daaruit blijkt dat zij de hiervoor beschreven lijn nog steeds vasthoudt. De AP kan zich overigens voorstellen dat er wel werkgevers zijn die belang hebben bij het uitvoeren van alcoholtests. Bijvoorbeeld in het kader van hun zorgplicht en verantwoordelijkheid voor een veilige werkplek.

Maar de Autoriteit meent dat er een nadrukkelijke wettelijke mogelijkheid moet bestaan, wil de werkgever een beroep kunnen doen op deze uitzondering. De AP verwijst werkgevers daarom naar de wetgever voor een uitbreiding van de wettelijke mogelijkheid om op alcohol te testen.

Alleen beleid hebben al in strijd met de privacyregels?

De AP is dus streng als het gaat om het bestaan van een wettelijke verplichting voor het verwerken van bijzondere persoonsgegevens. Maar het louter hebben van een – (nog) niet toegepast – beleid dat in strijd is met de privacyregels kan ook al preventief werken. En dat betekent toch niet dat een werkgever daarmee persoonsgegevens verwerkt? En dus de privacyregels overtreedt?

> LEES OOK: Privacy van A tot Z

Zelfs bij alleen strijdig beleid voeren kan AP ingrijpen

Volgens de AP valt ook beleid onder de reikwijdte van haar toezichthoudende taak en kan zij op basis daarvan ook maatregelen nemen. In de Uniper-zaak overwoog de Autoriteit over het alcohol- en drugsbeleid namelijk:

“Echter, beleid wordt opgesteld met de bedoeling de erin beschreven situaties op uniforme wijze te beoordelen en/of te regelen. In die zin mag dan ook worden aangenomen dat de in het beleid omschreven situaties zich in de praktijk zullen gaan voordoen. Reeds vastgesteld beleid met voorgenomen verwerkingen van persoonsgegevens valt onder de toezichthoudende taak van de Autoriteit Persoonsgegevens.”

Dus zelfs als een werkgever alleen een beleid voert (op bijvoorbeeld PSA) dat strijdig is met de privacyregels, moet de werkgever er rekening mee houden dat de AP maatregelen kan nemen. Daarvoor hoeft die werkgever dus (nog) helemaal geen bijzondere persoonsgegevens te hebben verwerkt.

> TIP: DOWNLOAD de whitepaper Privacy-onrust in de polder

Binnen de grenzen van de AP is PSA-beleid mogelijk

Betekent dit dat werkgevers beperkt worden in het (uit)voeren van een beleid gericht op het voorkomen en beperken van PSA? Dat denk ik niet. Werkgevers kunnen binnen de grenzen die de AP heeft gegeven een PSA-beleid (uit)voeren. Wel moeten werkgevers zich ervan bewust zijn dat zij geen gezondheidsgegevens mogen verwerken.

Als werkgevers vermoeden of vaststellen dat er gevolgen of risico’s meespelen voor de gezondheid van de medewerkers, doen zij er verstandig aan de bedrijfsarts of arbodienst in te schakelen en de medewerkers daar naartoe te verwijzen. Want de bedrijfsarts en de arbodienst hebben namelijk wel een wettelijke grondslag om hierover met medewerkers te praten. En dus mogen zij ook relevante gezondheidsgegevens vastleggen.

Pascal Willems | advocaat en eigenaar van WVO advocaten

 

> TIP: Meer over PSA? Kom naar het congres Sterk op het werk!

Privacyregels en PSA, gaan die ’n beetje samen?

Reageer op dit artikel