Door de coronacrisis is de aandacht voor Algemene Verordening Gegevensbescherming (AVG) bij u wellicht wat gezakt. Tegelijkertijd heeft deze crisis ook geleid tot veel vragen over de AVG. In dit artikel behandel ik er enkele.

De regels van de AVG blijven in in deze crisistijd gewoon van toepassing. Dus als u nieuwe gegevensverwerkingen heeft (bijvoorbeeld videoconferencing) moet u onder andere nagaan of er een geldige grondslag is, moet u de privacyrisico’s nagaan (zie ook blog: Is een DPIA vereist?) en moet u passende beveiligingsmaatregelen nemen om persoonsgegevens te beveiligen. Ook kan het aanleiding zijn om uw privacybeleid (zie ook blog: Privacybeleid) aan te passen bijvoorbeeld omdat uw medewerkers thuis gaan werken.

De Autoriteit Persoonsgegevens heeft in het begin van de coronacrisis aangegeven ‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’. Zolang als deze crisis duurt is de AP ‘coulant’ bij de handhaving. En krijgen bedrijven meer tijd om vragen te beantwoorden of documenten op te leveren. Nu de crisis langer duurt zal naar verwachting de ‘coulance’ minder worden. En gaat de AP van organisaties weer gaan eisen dat zij hun zaken op orde hebben.

1. Corona en verwerking persoonsgegevens

Van u als werkgever wordt verwacht dat u maatregelen neemt om te voorkomen dat het coronavirus zich verder verspreidt maar u moet ook voldoen aan de AVG. Met betrekking tot de verwerking van persoonsgegevens moet u hierbij rekening houden met de volgende aspecten:

  1. Gezondheidsgegevens zijn bijzondere persoonsgegevens die in een arbeidsrelatie alleen door de bedrijfsarts mogen worden verwerkt. Vraag dus bij ziekte niet of iemand corona heeft en leg het niet vast als de zieke werknemer dit wel aangeeft. Ook al geeft de medewerker of uw OR expliciet toestemming dan is dit nog steeds niet toegestaan Vanwege de arbeidsrelatie is er geen sprake van gelijkwaardigheid en kunnen de medewerkers niet in vrijheid toestemming geven.
  2. Het spreekt natuurlijk voor zich dat u uw medewerkers niet laat weten of, en welke, medewerkers corona hebben. Ook hier gaat het om gezondheidsgegevens die u niet mag delen.
  3. Het meten of een medewerker koorts heeft is lastig. In de eerste plaats omdat dit gezondheidsgegevens oplevert en die mag u niet verwerken. De AP heeft aangegeven dat koorts meten alleen mag als de medewerker dit zelf doet en de data niet op een of andere manier wordt opgeslagen. Hoewel de AVG dan niet van toepassing is (de meetgegevens worden niet bewaard), kan de inbreuk op de persoonlijke levenssfeer toch groot zijn. Bijvoorbeeld als iemand na een temperatuurmeting niet naar binnen mag en een hele rij wachtenden kan dat zien. Ook kan de bescherming van een ander grondrecht, zoals de integriteit van het lichaam, in het geding zijn. Afhankelijk van de inrichting, kan het enkel meten van de temperatuur alsnog onrechtmatig zijn.
  4. Andere gegevens kunt u wel verwerken, bijvoorbeeld over de plaatsen/landen waar medewerkers zijn geweest. Dit zijn namelijk geen gezondheidsgegevens en u kunt er belang bij hebben om dit te weten. Bijvoorbeeld om te bepalen of iemand naar een land met een negatief reisadvies is geweest. Dit in verband met de mogelijk noodzakelijke thuisquarantaine.
  5. Een werkgever verwerkt geen persoonsgegevens in een eventuele corona-app, maar kan hij van werknemers verwachten/verlangen dat zij deze app gebruiken? Nee, dit is verboden in de Wet Publieke Gezondheid. Gebruik van deze app is altijd vrijwillig.

Nieuwgierig naar de rest? Lees dan hier verder.