Gepubliceerd op 23 maart 2020

Het Coronavirus: AVG do’s and dont’s

Terwijl het Coronavirus ook in Nederland om zich heen slaat en nu als pandemie te boek staat spelen er niet alleen maatschappelijke vraagstukken op, zoals de lege schappen in de supermarkt, het sluiten van scholen, wel of geen volledige lock down maar zult u ook steeds meer dilemma’s tegen komen die enerzijds zien op het verwerken van (bijzondere) persoonsgegevens van werknemers en anderzijds het voldoen aan de arbeidsrechtelijke verplichting van goed werkgeverschap.

Coronavirus: staat van paraatheid?

Het zijn vooral de grotere organisaties die zich nu al langere tijd bezig houden met dit virus en vanuit het principe van goed werkgeverschap al sinds langere tijd meerdere preventieve maatregelen hadden getroffen. Deze maatregelen zijn divers te noemen zoals: quarantaine, schrappen van evenementen, vanuit huis werken, etcetera. Het MKB heeft beperktere mogelijkheden om preventieve maatregelen te treffen en wordt (financieel) hard getroffen. De  eerste faillissementen zijn een feit en de overheid heeft forse steunmaatregelen aangekondigd.

Terwijl de bedrijfscontinuïteit voorop staat, worden bedrijven geconfronteerd met verschillende dilemma’s. Op basis van de AVG kunnen de volgende aandachtspunten worden benoemd.

Omgaan met ziekmeldingen

U krijgt wellicht nu nog meer te maken met ziekmeldingen. Mag in dat geval gevraagd worden naar de klachten? Immers, u zou wellicht graag willen weten of er sprake is van een Coronageval om de gevolgen te beperken. Het uitvragen, communiceren en in lijsten verwerken van redenen ziekmelding is nog steeds niet toegestaan. Ik kan mij voorstellen dat er wel managers zijn die vooral nu dit soort zaken toch uitvragen, opschrijven, per mail communiceren, of anderszins. Op basis van de AVG en gezien het standpunt van de Autoriteit Persoonsgegevens vormt Corona geen uitzonderingsstiatie. Op basis hiervan is het dus voor de werkgever lastiger om maatregelen te nemen om het virus in te dammen.

De Autoriteit heeft wel op vrijdag 20 maart aangegeven dat organisaties die een vraag van de Autoriteit moeten beantwoorden of informatie moeten inleveren in verband met de strijd tegen het Corona virus op coulance kunnen rekenen.

Coronageval?

En dan doet zich een Coronageval voor. Mag een werkgever dan de temperatuur van andere collega’s opnemen of een test uitvoeren? Ook dit is volgens de Autoriteit Persoonsgegevens in strijd met de wet. Als een werknemer is besmet, kan de werkgever niet zonder meer aan andere collega’s communiceren om wie het gaat. De beredenering is dat het verwerken van bijzondere persoonsgegevens door de werkgever niet is toegestaan. Een werkgever zal de medische afhandeling volgens de Autoriteit steeds door de Arbodienst moeten laten uitvoeren. Daarnaast zouden werkgevers de adviezen van de GGD en RIVM moeten volgen.

De Engelse toezichthouder (ICO) is op dit punt veel coulanter en stelt dat werkgevers er een zeer zwaarwegend belang bij hebben om dit virus in te dammen. De ICO beredeneert meer vanuit de verplichting van de werkgever om andere werknemers te beschermen, dus goed werkgeverschap. Om deze redenen mogen organisaties daar veel meer zoals het informeren van collega’s in geval van een besmetting, het delen van bijzondere persoonsgegevens met de autoriteiten, etc. Een en ander moet wel proportioneel zijn.

Cyberweerbaarheid

Werken u werknemers vanuit huis? Het is juist in deze tijd dat cyberrisico’s en de kans op datalekken groter worden. Het risico op een datalek is er al als werknemers besluiten dossiers met daarin persoonsgegevens mee naar huis te nemen, of gevoelige data op een USB-stick te plaatsen. Het is ook van belang dat afgedwongen wordt dat men via een VPN verbinding vanuit huis werkt en niet bijvoorbeeld via openbare wifi. Het gebruik van Multi Factor Authenticatie en gebruik van sterke wachtwoorden zijn essentieel. Ook het gebruik van chatdiensten neemt in deze periode toe en behoeft voorzichtigheid. Ook is de kans dat een werknemer op een phishing mail klikt groter. Het blijft dus belangrijk om duidelijke richtlijnen met betrekking tot databeveiliging aan werknemers te communiceren.

Tot slot

In deze bijzondere tijden vormt het garanderen van de bedrijfscontinuiteit een belangrijke opgave. Aangezien in geval niet wordt voldaan aan de AVG hoge boetes kunnen worden opgelegd, blijft het belangrijk om er steeds voor te zorgen dat de juiste maatregelen worden getroffen om schending van de privacy normen te voorkomen.


Mr. S. Nhass CIPP/E: practice lead compliance consulting bij Aon.