Bronnen:
Uit een arrest van de Hoge Raad van 8 februari 2013 blijkt dat interne notities niet onder het inzagerecht vallen, voor zover die uitsluitend zijn bedoeld voor intern overleg en beraad, maar dat een eventueel op basis van die notities opgemaakt definitief rapport wel onder het inzagerecht viel.
Het komt betrekkelijk weinig voor dat werknemers een beroep doen op het inzagerecht volgens de wet bescherming persoonsgegevens, om het personeelsdossier van hun werkgever in handen te krijgen. Daarom is het goed om te bezien wat de verplichtingen van de werkgever onder de WBP zijn.
Is de WBP op de werkgever van toepassing?
De WBP is op werkgevers van toepassing als hun onderneming een vestiging in Nederland heeft (artikel 4 lid 1 WBP) en persoonsgegevens verwerkt. De verwerking van deze persoonsgegevens moet geheel of gedeeltelijk geautomatiseerd zijn. Ook handmatig verwerkte gegevens vallen onder het bereik van de WPB indien de gegevens zijn opgenomen in een bestand of bedoeld zijn om in een bestand opgenomen te worden (artikel 2, lid 1 WBP). Persoonsgegevens zijn alle gegevens die informatie bevatten over een natuurlijke persoon en die persoon identificeerbaar is (artikel 1, sub a WBP). Een aantal specifieke gegevensverwerkingen vallen niet onder de WPB (artikel 2, lid 2 en artikel 3 WBP). Deze uitzonderingen zijn voor werkgevers niet van belang.
De WPB is van toepassing op de verantwoordelijke: dat is degene die het doel en de middelen van verwerking vaststelt (artikel 1, sub d WBP). In een arbeidsrelatie is de werkgever de verantwoordelijke. In geval van ziekteverzuim en re-integratie zijn daarnaast bijvoorbeeld de arbodienst en een eventueel ingeschakeld re-integratiebureau verantwoordelijke.
De WPB is verder van toepassing op de bewerker: de bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder dat deze onder diens gezag staat (artikel 1, sub e WBP). Het accountantskantoor dat namens een werkgever de salarisadministratie uitvoert is een voorbeeld van een bewerker.
Aan welke eisen moet de gegevensverwerking voldoen?
De WPB stelt strenge eisen aan de verwerking van persoonsgegevens. Indien de gegevens niet behoorlijk en onzorgvuldig worden verwerkt, dan handelt de werkgever onrechtmatig en kan hij door de werknemer die als gevolg hiervan nadeel ondervindt eventueel schadeplichtig worden gesteld. Ook het College Bescherming Persoonsgegevens en/of Justitie kunnen in bepaalde gevallen sancties treffen. Dit is geregeld in de artikelen 45 tot en met 75 WBP.
Welke eisen volgen er zo al uit de WPB?
1. Als algemene norm geldt dat de gegevensverwerking op zorgvuldige wijzeen in overeenstemming met de wet plaatsvindt (artikel 6 WBP).
2. Persoonsgegevens mogen alleen worden verwerkt indien de werkgever daarvoor een doelheeft. Dit doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Telkens moet afgevraagd worden of het verwerken van de persoonsgegevens noodzakelijk is voor het doel. De gegevensverwerking mag niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld (artikel 7 jo. 9 WBP).
3. De gegevensverwerking moet steeds gebaseerd kunnen worden op één van de zes in de WPB genoemde wettelijke grondslagen zoals opgesomd in artikel 8 WBP. Voor werkgevers zijn (in mindere en meerdere mate) onderstaande grondslagen relevant:
a. Verwerking na ondubbelzinnig toestemming van de werknemer (sub a). De werknemer kan deze toestemming te allen tijde weer intrekken.
b. Verwerking die noodzakelijk is voor de uitvoering van een overeenkomst (sub b).
c. Verwerking die noodzakelijk is ter uitvoering van een wettelijke plicht (sub c).
d. Verwerking die noodzakelijk is voor de behartiging van een gerechtvaardigd belang (sub f). Tegen een verwerking op deze grondslag kan de werknemer verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden (artikel 40 WBP).
4. Wat de kwaliteit van de gegevens betreft geldt dat de gegevens gelet op het doel waarvoor ze worden verwerkt niet bovenmatig zijn, toereikend zijn en ter zake dienend moeten zijn (artikel 11, lid 1 WBP). De gegevens moeten verder juist en nauwkeurig zijn (artikel 11, lid 2 WBP).
5. De werkgever moet de werknemer informeren dat er persoonsgegevens over hem of haar worden verwerkt, wie de verantwoordelijke is en voor welk doel of doeleinden de werkgever de gegevens verzamelt en verwerkt (tenzij deze persoon al op de hoogte is van deze informatie). Deze informatieverstekking over het gegevensverkeer bij (bijvoorbeeld) de beoordeling van de arbeidsongeschiktheid en de verzuimbegeleiding kan zowel bij de indiensttreding als bij de aanvang van de verzuimbegeleiding aan de werknemer plaatshebben. Als de werkgever de informatie van de werknemer zelf krijgt, dan moet de werkgever de werknemer deze informatie vooraf verstrekken (artikel 33 jo. 34 WBP). Bij verkrijging van de gegevens buiten de werknemer om, moet de werknemer worden geïnformeerd op het moment dat de werkgever de gegevens vastlegt of, als de werkgeverde gegevens uitsluitend verzamelt om deze aan een derde te verstrekken, uiterlijk op het moment van eerste verstrekking aan die derde;
6. De werkgever moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan (artikel 13 WBP).
7. De werkgever mag persoonsgegevens niet langer bewaren dan noodzakelijk is voor het doel waarvoor de werkgever de gegevens verzamelt of (verder) verwerkt (artikel 10 WBP). Een precieze termijn is niet in de wet opgenomen. Het College Bescherming Persoonsgegevens is van oordeel dat de persoonsgegevens (ter zake arbeidsongeschiktheid en re-integratie) in beginsel niet langer worden bewaard dan twee jaar na einde dienstverband, waarbij het zich baseert op de bewaartermijn die in het Vrijstellingsbesluit is opgenomen voor personeelsadministraties. Ook tussentijds (na een geslaagde re-integratie) gaat het College Bescherming Persoonsgegevens ervan uit dat het re-integratiedossier in beginsel niet langer dan twee jaar bewaard zou moeten worden. Indien de kans op herhaling van het ziekteverzuim naar aanleiding van hetzelfde ziektebeeld groot is, zou deze termijn verlengd kunnen worden tot maximaal vier jaar. Eventueel in het re-integratiedossier opgenomen blijvende afspraken (zoals blijvende aanpassingen) kunnen vanzelfsprekend langer bewaard blijven.
8. De werkgever is verplicht om de werknemer inzage te geven in de gegevens die hij over hem of haar verwerkt. De werknemer kan de werkgever verzoeken zijn gegevens te corrigeren, in welk geval de werkgever tevens derden aan wie de werkgever eerder de (onjuiste) gegevens heeft verstrekt van de wijzigingen op de hoogte te stellen.
Wat voor verplichtingen heeft de werkgever daarentegen niet?
1. Als uitgangspunt geldt dat de verantwoordelijke de gegevensverwerking verplicht moet melden bij het College Bescherming Persoonsgegevens. In een aparte regeling (het Vrijstellingsbesluit, artikel 7 jo. 8) is echter opgenomen dat deze meldingsplicht niet geldt voor de verwerking door werkgevers in het kader van de personeelsadministratie en de salarisadministratie.
2. Er is verder geen (wettelijke) verplichting tot het vaststellen van een privacy-reglement.
Voor de verwerking van bijzondere persoonsgegevens gelden aanvullende, strengere eisen
Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over o.a. iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Voor werkgevers is met name het aspect "gezondheid” van belang.
Als uitgangspunt geldt dat het wettelijk verboden is om bijzondere persoonsgegevens te verwerken (artikel 16 WBP). Op deze hoofdregel gelden een aantal algemene en een aantal specifieke uitzonderingen. Voor de werkgever geldt een specifieke uitzondering: met het oog op zijn wettelijke verplichtingen is het de werkgever in beginsel toegestaan om gegevens over de gezondheid van een personeelslid te verzamelen en te verwerken (artikel 21, lid 1, sub e WBP).
Om een goed verzuimbeleid te voeren is het registreren en analyseren van verzuimgegevens noodzakelijk. De ziekteverzuimregistratie heeft vaak een tweeledig doel. Ten eerste zal de werkgever administratieve verzuimgegevens (duur, frequentie e.d.) in verband met zijn loondoorbetalingsverplichting en de eventuele herverzekering willen registreren. Daarnaast zal de werkgever willen weten waar veel of langdurig verzuim plaatsvindt en of daarvoor oorzaken in de bedrijfsomstandigheden of het bedrijfsbeleid te vinden zijn.
De werkgever kan het opnemen van medische gegevens in de verzuimregistratie in feite enkel baseren op het bepaalde in artikel 8, sub f WBP: de werkgever kan hierbij een gerechtvaardigd belang hebben, terwijl de inbreuk op de persoonlijke levenssfeer van de zieke werknemer tot een minimum is beperkt. De werknemer kan hiertegen verzet aantekenen. Het College Bescherming Persoonsgegevens is overigens van oordeel dat een dergelijke registratie van medische gegevens geen aanbeveling verdient en dat een ander eigenlijk overgelaten zou moeten worden aan de arbodienst (bedrijfsarts).Het is de werkgever krachtens artikel 16 WBP toegestaan om gegevens betreffende de gezondheid van een arbeidsongeschikte werknemer te verzamelen in het kader van zijn wettelijke re-integratieverplichtingen (vastgelegd in onder meer artikel 7:658a en artikel 7:660a B.W.). De verwerking van deze informatie wordt begrensd door de noodzakelijkheidseis. Uit de wetsgeschiedenis blijkt dat het de werkgever in beginsel niet is toegestaan om gegevens over de medische achtergronden van de arbeidsongeschiktheid van de werknemer te verwerken. Werkgevers mogen slechts gegevens verwerken omtrent het feit dat en de mate waarin iemand arbeidsongeschikt is alsmede de periode van arbeidsongeschiktheid (TK 1997-1998, 25 892, nr. 3, p. 114). Informatie over de aard en de oorzaak van de ziekte zou in dit kader niet rechtens relevant zijn voor de werkgever: dit dient aan de bedrijfsarts te worden overgelaten.
Naast de eerdergenoemde specifieke uitzondering in artikel 21 WBP gelden er ook nog een aantal algemene uitzonderingen op het verbod op bewerken van bijzondere persoonsgegevens (voor zover voor werkgevers van toepassing):
1. Verwerking van bijzondere persoonsgegevens is toegestaan indien de werknemer hiervoor uitdrukkelijk toestemming heeft gegeven (artikel 23, lid 1, sub a WBP).
2. Verwerking is toegestaan indien de gegevens door de werknemer openbaar zijn gemaakt (artikel 23, lid 1, sub b WBP).
3. Verwerking is daarnaast toegestaan als dit noodzakelijk is voor het vaststellen, het uitoefenen of het verdedigen van een recht in een gerechtelijke procedure(artikel 23, lid 1, sub c WBP).
Het opnemen van medische gegevens in het dossier is dus wél mogelijk indien de werknemer daarmee uitdrukkelijk heeft ingestemd of dit zelf openbaar heeft gemaakt (bijvoorbeeld door ten tijde van zijn ziekmelding – ongevraagd – aan de werkgever iets te melden omtrent de medische achtergronden) (vergelijk: Registratiekamer 29 maart 1994, zaaknr. 94.E.034). Ook hier geldt echter wel het noodzakelijkheidscriterium. Een goede reden is volgens het College Bescherming Persoonsgegevens het opnemen van medische gegevens in het dossier van een zieke werknemer die in ernstige mate last heeft van bijvoorbeeld astma, epilepsie of suikerziekte, opdat de werkgever en de directe collegae hiervan op de hoogte kunnen worden gebracht en in geval van nood adequaat kunnen optreden. Het verzamelen van medische gegevens die eventueel nog van pas zouden kunnen komen, voldoet in de ogen van het College Bescherming Persoonsgegevens niet aan de noodzakelijkheidseis.
Informatievoorziening vanuit de arbodienst (bedrijfsarts)
De bedrijfsarts mag op grond van zijn medisch beroepsgeheim slechts die informatie aan de werkgever verstrekken die de werkgever nodig heeft om te bepalen of zij verplicht is op grond van artikel 7:629 BW het loon aan de werknemer door te betalen. De informatiestroom moet beperkt blijven tot gerichte informatie over de mate waarin de werknemer arbeidsongeschikt is, de werkzaamheden waartoe de zieke werknemer nog in staat is en de eventuele aanpassingen die er in het kader van de re-integratie moeten plaatsvinden. Daarnaast mag informatie worden verstrekt over de mate waarin de werknemer meewerkt aan de controlevoorschriften alsook over het feit dat de werknemer door eigen toedoen zijn genezing belemmert of vertraagt (zulks onder gelijktijdige mededeling aan de betrokken werknemer). Alleen met uitdrukkelijke toestemming van de zieke werknemer mag de bedrijfsarts aanvullende informatie aan de werknemer verstrekken, zoals over de aard van de ziekte. Noodzakelijke informatie voor de werkgever dient zoveel als mogelijk "gedemedicaliseerd” te worden.
Het inzage- en correctierecht van de werknemer
Wanneer moet de werkgever inzage geven?
De werknemer mag de werkgever met redelijke tussenpozen vragen of, en zo ja, welke persoonsgegevens de werkgever ten aanzien van hem of haar verwerkt (artikel 35, lid 1 WBP). De werknemer is niet verplicht te melden wat de achtergrond of reden van dit verzoek is.
Op het verzoek om inzage moet binnen vier weken (in beginsel schriftelijk of per e-mail) worden gereageerd (artikel 35, lid 1 WBP).
Het antwoord moet conform het bepaalde in het tweede lid van artikel 35 WBP in een begrijpelijke vorm bevatten:
Uit de letter van de wet blijkt niet met zoveel woorden dat de werknemer behalve recht op inzage ook recht heeft op kopieën van de verwerkte persoonsgegevens. Volgens het College Bescherming Persoonsgegevens brengt echter een praktische uitwerking van het inzagerecht redelijkerwijs met zich mee dat de werknemer kan verlangen dat aan hem of haar ook afschriften van de gegevens ter hand wordt gesteld.
Een aanwijzing hiervoor is wellicht in de wetsgeschiedenis (TK 1997-1998, 25 892, nr. 3, p. 157) te vinden. In de toelichting bij artikel 35, lid 1 WBP staat dat een ieder in beginsel in staat moet worden gesteld om na te kunnen gaan of zijn gegevens worden verwerkt. De werknemer die vindt dat de wijze waarop zijn gegevens worden verwerkt onrechtmatig is, moet in staat zijn om dit zelf in rechte aan te vechten (vgl. artikel 13 EVRM). Afhankelijk van de situatie zal deze gang naar de rechtbank gefrustreerd kunnen worden indien de werknemer alleen maar inzage heeft gekregen in de gegevens en de werknemer van deze gegevens geen kopieën zijn gegeven.
Wanneer moet de werkgever corrigeren?
De werknemer mag de werknemer verzoeken zijn of haar gegevens te corrigeren onder opgaaf van de gewenste wijzigingen (artikel 36, lid 1 WBP).
Onder "correctie” wordt verstaan: verbeteren, aanvullen, verwijderen, afschermen of op een andere manier ervoor zorgen dat de werkgever de onjuiste gegevens niet langer gebruikt (artikel 36, lid 1 WBP).
Een verplichting tot correctie bestaat alleen als de gegevens feitelijk onjuist zijn, onvolledig of niet ter zake dienend voor het doel waarvoor de werkgever ze verwerkt of op andere wijze in strijd zijn met de WBP of andere wetgeving.
Binnen vier weken moet de werkgever (in beginsel) schriftelijk aangeven of en in hoeverre de werkgever aan het correctieverzoek zult voldoen. Weigert de werkgever aan het verzoek gehoor te geven, dan dient de werkgever dit gemotiveerd te doen (artikel 36, lid 2 WBP). De correctie moet "zo spoedig mogelijk” worden uitgevoerd (artikel 36, lid 3 WBP).
Zoals eerder opgemerkt moet de werkgever in geval van correctie derden aan wie de werkgever conform artikel 38 WBP de (onjuiste) gegevens van de werknemer eerder heeft verstrekt, van de wijzigingen op de hoogte stellen (tenzij het onmogelijk is om deze derden op te sporen dan wel de werkgever daarvoor een onevenredige inspanning zou moeten leveren).
Wat is de positie van de bewerker?
Voor de bewerker gelden dezelfde verplichtingen zoals die hiervoor zijn beschreven voor de verantwoordelijke.
Daarnaast is in de WBP nog specifiek geregeld dat de bewerker de persoonsgegevens alleen mag bewerken in opdracht van de verantwoordelijke. Verder is bepaald dat de bewerker, naast de verantwoordelijke, zelfstandig aansprakelijk is voor de schade die iemand lijdt of het nadeel dat iemand ondervindt als gevolg van onrechtmatige gegevensverwerking.
Wat voor eisen stelt de WBP in artikel 14 en 15 aan de verantwoordelijke bij de inschakeling van een bewerker?
Wat is de positie van de Ondernemingsraad of Personeelsvertegenwoordiging?
Op basis van de Wet op de ondernemingsraden (WOR) heeft ook de ondernemingsraad of personeelsvertegenwoordiging een rol bij het vaststellen van het beleid van de arbeidsongeschikte werknemer. Zij hebben instemmingsrecht over het te voeren verzuim- en re-integratiebeleid en de afspraken en het contract dat hierover met de arbodienst en het re-integratiebedrijf worden gemaakt.
Ten aanzien van de verzuimregistratie heeft de ondernemingsraad ook instemmingsrecht omdat dit het aanleggen van een personeelsregistratie betreft dan wel een regeling omtrent het verzamelen, bewaren, gebruiken, verstrekken, beveiligen en beschermen van persoonsgegevens van de in de onderneming werkzame personen (artikel 27, lid 1, sub k WOR). De ondernemingsraad heeft voorts een zorgtaak voor het bevorderen dat de voor de onderneming geldende voorschriften op het gebied van arbeidsomstandigheden worden nageleefd (artikel 28, lid 1 WOR).