15000 euro boete voor onzorgvuldige verwerking persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft onlangs aan een onderhoudsbedrijf een boete opgelegd van €15.000. Het betreffende bedrijf verwerkte meer persoonsgegevens dan is toegestaan. In het verzuimsysteem noteerde het bedrijf de reden van het ziekteverzuim van de medewerkers. Ziektes, specifieke klachten en pijnaanduidingen werden met naam en toenaam vermeld. Dat mag niet, omdat het bij verzuimgegevens vaak gaat om gevoelige persoonsgegevens over iemands fysieke en/of mentale gezondheid. De gegevens waren bovendien makkelijk toegankelijk voor medewerkers. De AP vond dat het bedrijf  zich terughoudend moet opstellen om deze persoonsgegevens te verzamelen. Bovendien mogen alleen bevoegde medewerkers bij deze gegevens. De toegang tot het online systeem moet extra beveiligd zijn en dat was bij het betreffende bedrijf niet het geval.

Uitzondering

Ziektes en gezondheidsklachten van medewerkers mogen door de bedrijfsarts wel worden verwerkt. De bedrijfsarts adviseert op basis van de informatie de werkgever over het verzuim en de re-integratie van de medewerkers. In uitzonderlijke situaties mag een werkgever wel gezondheidsgegevens van een werknemer verwerken. Dit is bijvoorbeeld het geval wanneer de werknemer een aandoening of ziekte heeft die acuut handelen kan vragen. Dat is bijvoorbeeld bij epilepsie of een ernstige allergie voor bepaalde stoffen. Leidinggevenden moeten weten waar zij de medewerker veilig kunnen inzetten. Ook moeten collega’s weten hoe zij moeten handelen als iemand een epileptische aanval krijgt.

Bijscholen

Als u een boete wilt voorkomen dan is het goed om eens goed te kijken hoe u met persoonsgegevens omgaat. Zijn uw personeelsdossiers goed opgeborgen? Als u twijfelt over de privacyregels dan is de cursus Omgaan met privacy de oplossing. We zetten in een dag de regels en de recente jurisprudentie voor u op een rij.