Chat with us, powered by LiveChat

Welke preventieve maatregels mogen werkgevers in het licht van de GDPR nemen in de strijd tegen COVID-19?

Verscheidene Belgische bedrijven zijn in aanloop van de versoepeling van de ‘lock-down’ de nodige voorbereidingen aan het treffen om opnieuw hun deuren te openen. Werkgevers dienen hierbij na te denken over hoe ze conform de richtlijnen van de Belgische overheid opnieuw kunnen deelnemen aan het economisch verkeer.

Er rust immers een verplichting op de wekgever om ervoor te zorgen dat de arbeid wordt verricht in behoorlijke omstandigheden met betrekking tot de gezondheid en de veiligheid van de werknemer.[1] De werkgever moet er dus voor zorgen dat hij het risico op COVID-19 op de werkvloer minimaliseert.

Sommige van deze maatregels kunnen tot gevolg hebben dat er persoonlijke (medische) gegevens van de werknemer worden verwerkt.

De vraag rijst hoe de verplichting van de werkgever zich verhoudt ten opzichte van het recht van de werknemer op bescherming van zijn persoonsgegevens.

De rechtsregels die onze persoonlijke gegevens beschermen, zoals de Algemene Verordening Gegevensbescherming (hierna: AVG)[2], verhinderen evenwel niet dat er maatregels worden genomen in de strijd tegen COVID-19.[3]

Het is interessant om na te gaan welke COVID-maatregels er in het licht van de gegevensbescherming toegelaten zijn en welke regels/beginselen de werkgever hierbij in het achterhoofd moet houden.

1. Verwerking persoonsgegevens

Vooreerst moet er worden stilgestaan op welke gegevens de bescherming van toepassing is. Het moet gaan om persoonsgegevens. Dit zijn gegevens die kunnen leiden tot de directe en/of indirecte identificatie van de werknemer.[4] Geanonimiseerde gegevens vallen bijgevolg niet onder de bescherming.

Daarnaast moeten de persoonsgegevens worden “verwerkt”. Dit begrip kan worden gedefinieerd als een al dan niet geautomatiseerd proces dat de persoonsgegevens registreert.[5] Indien persoonlijke (medische) gegevens mondeling worden toevertrouwd, is er dus geen sprake van verwerking en dient de werkgever geen rekening te houden met regels inzake gegevensbescherming.

2. Rechtmatige verwerking van persoonsgegevens

Opdat persoonsgegevens verwerkt mogen worden, moet er toestemming zijn van de werknemer of een andere in de wet opgesomde rechtvaardigingsgrond voorhanden zijn. Artikel 6 van de AVG bevat de lijst van rechtvaardigingsgronden.

Artikel 6.1 d) AVG luidt als volgt:

de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen

COVID-19 betreft een levensbedreigende pandemie die onder deze rechtvaardigingsgrond valt.[6] De werkgever kan zich bijgevolg op deze grond beroepen om de persoonsgegevens van zijn werknemer te verwerken

3. Gezondheidsgegevens als bijzondere categorie van persoonsgegevens

Gelet op de aard van COVID-19 zullen er bij de preventieve maatregels, vooral medische gegevens verwerkt worden. Medische gegevens worden onder het AVG beschouwd als een bijzondere categorie van persoonsgegevens waarvan de verwerking in principe uitgesloten is. Krachtens artikel 9.2 i) AVG is de verwerking van gezondheidsgegevens evenwel toegelaten als:

de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim

Uit deze bepaling kan men besluiten dat een werkgever gezondheidsgegevens mag verwerken doch enkel in die mate dat de Belgische wetgever dit toestaat. Werkgevers moeten m.a.w. de door de overheid uitgevaardigde wetten en richtlijnen zo strikt mogelijk naleven en niet meer medische informatie bij de werknemers opvragen dan door deze wetten/richtlijnen vereist is.

Bovendien moet er op gewezen worden dat in de het Belgisch sociaal recht de regeling over het welzijn op het werk zeer strikt gereglementeerd is. Er is in deze regelgeving een zeer belangrijke rol weggelegd voor de arbeidsgeneesheer die de risico’s voor de gezondheid moet beoordelen. Indien een werkgever geconfronteerd wordt met een besmette werknemer is het aangewezen dat deze de arbeidsgeneesheer hiervan onverwijld in kennis stelt.

4. Algemene principes

Afgezien van het principe van noodzakelijkheid dienen werkgevers bij de verwerking van persoonsgegevens ook volgende algemene principes in acht te nemen:

A) Proportionaliteit en minimale gegevensverwerking

Indien een werkgever persoonsgegevens verwerkt moet dit in proportie staan met de specifieke doelstelling. Bij elke gegevensverwerking mag er slechts de minimaal noodzakelijke hoeveelheid gegevens worden verwerkt om de vooropgestelde doelstelling, zijnde het beperken van de verspreiding van COVID-19, te bereiken.

Zo zou het opvragen van een complete medische voorgeschiedenis bij de werknemer de principes van proportionaliteit en minimale gegevensverwerking schenden. Om deze principes zo goed mogelijk te eerbiedigen kan het de wijze van vraagstelling helpen. Zo is het aangewezen om vaak met ja/nee vragen te werken.

Bijvoorbeeld: “Bent u op reis geweest naar een risicovol gebied?”

i.p.v. “Naar waar bent u afgelopen 6 maanden op reis geweest?”.

B) Transparantie

De werknemer moet op transparante wijze informatie ontvangen over de reden dat er persoonsgegevens worden opgevraagd en hoe lang dergelijke gegevens bewaard zullen worden door de werkgever.

C) Veiligheid/confidentialiteit

Het is belangrijk dat de werkgever de nodige maatregels neemt om ervoor te zorgen dat de verwerkte persoonsgegevens op een veilige manier worden geregistreerd en bewaard. Op deze manier kan de werkgever garanderen dat deze gegevens niet in de verkeerde handen terecht komen.

5. Toepassingsgevallen

Hierna volgt een juridische analyse van enkele specifieke maatregels die werkgevers mogelijks zouden kunnen nemen:

A) Mag een werkgever algemene en systematische controles van de lichaamstemperatuur van de werknemers en/of klanten uitvoeren?

De lichaamstemperatuur is geen persoonsgegeven. Het leidt immers niet tot de identificatie van de persoon. Indien de temperatuuropname dus niet gepaard gaat met een bijkomende verwerking van persoonsgegevens, is het AVG niet van toepassing en dient de werkgever geen rekening te houden met de persoonlijke gegevensbescherming van de werknemer.

B) Mag een werkgever zijn werknemers verplichten een medische vragenlijst of een vragenlijst betreffende zijn recente reizen in te vullen?

Zolang de Belgische wetgever dit niet oplegt, kan de werkgever zijn werknemers niet verplichten om medische vragenlijsten in te vullen. Het is evenwel aangewezen dat de werkgever zijn werknemers ertoe aanzet om spontaan risicovolle reizen of symptomen te melden. Dit kan door de betrokkene mee te delen dat de persoonsgegevens op een vertrouwelijke manier behandeld en bewaard zullen worden.

C) Mag een werkgever in het kader van de voorkoming van een verdere verspreiding van COVID-19 de namen van besmette werknemers bekendmaken?

De werkgever kan gelet op de algemene principes (zie supra) van proportionaliteit en data minimalisatie niet zomaar de namen van de betrokken personen bekendmaken. Het is in de meeste gevallen niet nodig om een naam te vermelden. Het volstaat om andere werknemers op de hoogte te brengen van een besmetting.

De naam van de werknemer mag natuurlijk altijd gecommuniceerd worden naar de arbeidsgeneesheer of een bevoegde overheidsdienst.

 

Bronnen

[1] Artikel 20, 2° van de wet van 3 juli 1978 betreffende de arbeidsovereenkomsten.

[2] De Engelse benaming luidt: General Data Protection Regulation (GDPR).

[3] European Data Protection Board, Statement on the processing of personal data in the context of the COVID-19 outbreak, 19 maart 2020, p. 1.

[4] Artikel 4.1 AVG.

[5] Artikel 4.2 AVG

[6] Raad van Europa, Joint Statement on the right to data protection in the context of the COVID-19 pandemic, 30 maart 2020, pag. 2.