COVID-19: Mogen gezondheidsgegevens worden verwerkt? + FAQ

Author info

Nu een groot deel van België en de wereld in de greep is van het nieuwe coronavirus (COVID-19) en er door de Belgische overheid preventieve maatregelen werden afgekondigd, stelt zich de vraag welke persoonsgegevens organisaties mogen verwerken van hun werknemers in het kader van het nieuwe coronavirus. Een korte toelichting.

1. Verwerkingsverbod van gezondheidsgegevens

Eerst en vooral dient herinnerd te worden aan het principieel verbod op het verwerken van gezondheidsgegevens zoals bepaald door artikel 9.1 van de AVG. Het bijhouden van het feit dat een specifieke werknemer of een freelancer besmet is met het nieuwe coronavirus kwalificeert als een verwerking van gezondheidsgegevens. Dit mag in principe ook niet intern worden gecommuniceerd aan collega’s van deze werknemer of freelancer.

2. Uitzondering in het kader van de volksgezondheid

Op het verwerkingsverbod van gezondheidsgegevens kunnen wel verschillende uitzonderingen van toepassing zijn. Een mogelijk toepasselijke uitzondering in dit geval is artikel 9.2, i) van de AVG. Dit artikel bepaalt dat het verwerkingsverbod niet geldt als: 

“de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim” [eigen onderlijning]

Met ander woorden, een organisatie mag wel gezondheidsgegevens verwerken:

  • om redenen van algemeen belang op het gebied van volksgezondheid,
  • in uitvoering van uitdrukkelijke richtlijnen opgelegd door de bevoegde overheid, en
  • als alle andere beginselen inzake gegevensbescherming worden nageleefd.

Het is belangrijk om te benadrukken dat een organisatie die een beroep doet op bovenstaande uitzondering steeds alle andere beginselen inzake gegevensbescherming moet naleven. Zo moet er onder andere een wettelijke grondslag zijn, moeten werknemers en freelancers worden geïnformeerd, moet het principe van minimale gegevensbescherming worden nageleefd en moet de verwerking altijd proportioneel en transparant zijn.

3. FAQ – Privacy en COVID-19 

Hieronder proberen we enkele van de veelvoorkomende vragen te beantwoorden. Hoewel aan de meeste antwoorden ook een arbeidsrechtelijke aspect vasthangt, focussen we ons hieronder op het aspect van privacy en gegevensbescherming.

Vraag

Antwoord*

Mogen de namen van besmette werknemers of freelancers bekend worden gemaakt?

Nee. Collega’s kunnen echter wel op de hoogte worden gebracht van het feit dat een andere collega besmet is met het nieuwe coronavirus, zonder dat de besmette collega bij naam mag worden genoemd of kan worden geïdentificeerd. Bijvoorbeeld, vermeld de afdeling van de besmette collega niet als die afdeling slechts uit één persoon of een beperkt aantal personen bestaat.  

Mogen klanten of bezoekers per e-mail worden gecontacteerd als ze daar geen toestemming voor hebben gegeven?

Het ligt aan het doel van uw e-mail. Voor het versturen van marketing e-mails is in principe voorafgaande toestemming nodig, maar voor het versturen van puur informatieve e-mails geldt deze regel niet. Bijvoorbeeld, indien een evenement wordt afgelast, moet u de deelnemers hiervan op de hoogte brengen. Dat kan per e-mail, zelfs zonder toestemming.

Mogen werknemers of freelancers die thuis werken extra worden gecontroleerd?

Werknemers of freelancers die thuis werken mogen niet plots extra worden gecontroleerd, bijvoorbeeld door middel van bepaalde software, zonder dat zij hiervan op de hoogte zijn. Bovendien moeten in dit geval de van toepassing zijnde cao’s of andere regels worden nageleefd. 

Mogen persoonsgegevens van werknemers of freelancers worden gedeeld met de bevoegde autoriteiten?

Eerst stelt zich de vraag of de gevraagde persoonsgegevens kunnen worden gedeeld, want persoonsgegevens die (nog) niet werden verzameld, kunnen niet worden gedeeld. Bovendien is de kans klein dat een overheidsdienst informatie zal verzoeken met betrekking tot één specifieke persoon. Als u toch persoonsgegevens deelt, dan moet er steeds een wettelijke grondslag zijn voor het delen ervan. Deel in elk geval niet zomaar persoonsgegevens met een overheidsdienst louter omdat het een overheidsdienst is.

Mogen werknemers of freelancers worden onderworpen aan algemene en systematische gezondheidscontroles? 

Nee. Dit lijkt in de meeste omstandigheden een disproportionele maatregel te zijn. Hier is een rol weggelegd voor de arbeidsgeneesheer.

Mogen werknemers of freelancers worden verplicht om een medische vragenlijst in te vullen?

Nee. Werknemers of freelancers kunnen wel gevraagd worden om vrijwillig bepaalde informatie te delen. Houd steeds rekening met het principe van minimale gegevensverwerking en denk erover na hoelang deze vragenlijst zal worden bijgehouden. Informeer eventuele deelnemers op een transparante wijze. In het geval van gezondheidsgegevens moet u ook rekening houden met het principiële verwerkingsverbod.

(*) Bovenstaande antwoorden gelden niet als juridisch advies. Het antwoord is in veel gevallen afhankelijk van de omstandigheden. Contacteer ons met uw specifieke vraag.

4. Nuttige links

Meer informatie kan u terugvinden op onderstaande websites:

Heeft u nog vragen over de verwerking van gezondheidsgegevens? Contacteer Timelex.