Het Europeesrechtelijke kader
De Algemene Verordening Gegevensbescherming (kortweg: AVG) is het Europeesrechtelijk referentiekader voor privacy-gerelateerde onderwerpen. De AVG bepaalt de beginselen waaraan eenieder die binnen de Europese Unie gegevens van geïdentificeerde of identificeerbare natuurlijke personen verzamelt en verwerkt, moet voldoen. Zo moet je bv. voor elke verwerkingsgrond een passende verwerkingsgrond hebben, moet je transparant communiceren over hoe je gegevens verwerkt en mag je de verzamelde gegevens in principe niet gebruiken voor andere doeleinden dan diegenen die je hebt gecommuniceerd.
Persoonsgegevens die de gezondheid betreffen worden daarenboven nog extra door de AVG beschermd. Bij het verzamelen en verwerken van dergelijke gegevens gelden daarom nog enkele bijkomende regels om de privacy van de betrokken personen te beschermen. Wanneer een onderneming post-corona maatregelen neemt om haar medewerkers en/of bezoekers te beschermen, verzamelt en verwerkt zij mogelijk gezondheidsgegevens en dient zij dus ook aan deze bijkomende regels te voldoen.
De voornaamste bijkomende regel is dat het verboden is om gezondheidsgegevens te verwerken, tenzij je beroep kan doen op één van de uitzonderingen opgenomen in de AVG:
- De betrokken persoon heeft zijn/haar uitdrukkelijke toestemming gegeven voor de verwerking;
- De verwerking is noodzakelijk om aan bepaalde arbeids- of sociaal zekerheidsrechtelijke verplichtingen te voldoen;
- De verwerking is noodzakelijk om de vitale belangen van een natuurlijke persoon te beschermen die zelf niet in staat is om zijn/haar toestemming te geven;
- De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen of het verstrekken van gezondheidszorg of sociale diensten of behandelingen;
- De verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid.
Voor elk van de specifieke maatregelen die jouw organisatie wenst te nemen in de strijd tegen COVID-19 en die mogelijk gezondheidsgegevens kunnen impliceren, dient er dus te worden nagegaan of één van deze uitzonderingen wel degelijk van toepassing is. Is dit niet het geval, dan is de verwerking in kwestie niet toegelaten.
Het is in dit kader tevens belangrijk om elke nieuwe verwerkingsactiviteit die zou worden opgestart, op te nemen in het verwerkingsregister.
Enkele specifieke maatregelen tegen het licht gehouden
1. Toegangscontrole
Een van de maatregelen die bedrijven kunnen nemen, bestaat in het invoeren van een toegangsbeleid. Zulk toegangsbeleid kan uit verschillende onderdelen bestaan.
Zo kan er bv. gewerkt worden met een aanmeldingsregister waarin bezoekers gevraagd wordt om hun naam, hun organisatie en de datum en het uur van aankomst en vertrek op te geven. Dergelijke gegevens zijn geen gezondheidsgegevens, zodat de normale AVG-regels hierop van toepassing zijn. Maar, let op: het traditionele papieren aanmeldingsregister dat aan de receptie ligt, is echter vaak niet AVG-proof.
In principe kan men er wel van uitgaan dat een bezoeker die op vrijwillige basis zijn/haar gegevens kan achterlaten in het register en duidelijk op voorhand wordt geïnformeerd waarvoor het register gebruikt zal worden (bv. contact tracing in geval van een coronabesmetting), geldig toestemming heeft gegeven voor het gebruik van zijn/haar gegevens als hij/zij het register invult. Het probleem stelt zich echter wanneer het register en de erin opgenomen gegevens vrij kunnen worden ingekeken door andere bezoekers. Dit gaat in tegen de vereiste van confidentialiteit. Het aanmeldingsregister moet dan ook altijd op zodanige wijze zijn opgesteld dat een bezoeker nooit de gegevens van andere bezoekers kan inkijken. Het werken met een specifieke IT-applicatie kan hierin mogelijk soelaas bieden.
Een laatste aandachtspunt m.b.t. het aanmeldingsregister is de bewaringstermijn. Deze moet gerechtvaardigd zijn in het kader van de contact tracing en beperkt blijven tot wat nodig is (bv. de gemiddelde besmettingsperiode + 14 dagen). Het bijhouden van registers voor een periode die de besmettingsperiode van COVID-19 ruim overstijgt, is niet conform.
Een tweede onderdeel van het toegangsbeleid kan bestaan in het controleren van de temperatuur van bezoekers en/of medewerkers. Hierover heeft de Belgische Gegevensbeschermingsautoriteit (GBA) geoordeeld dat het rechtstreeks aflezen van de lichaamswarmte met een klassieke thermometer, zonder te worden geregistreerd, geen verwerking van persoonsgegevens uitmaakt in de zin van de AVG. Dit geldt zelfs indien er nadien stappen worden ondernomen ten aanzien van personen die weigeren hun temperatuur te laten opmeten of die een verhoogde temperatuur vertonen (bv. door hen de toegang tot het gebouw te ontzeggen).
Het registreren van de lichaamswarmte (of de gevolgen daarvan, zoals het opnemen van een bepaalde beslissing in een personeelsdossier) of het op afstand elektronisch aflezen van de lichaamstemperatuur valt daarentegen wel integraal onder de AVG, met inbegrip van de regels inzake verwerking van gezondheidsgegevens. Volgens de GBA is er echter momenteel nog geen voldoende rechtsgrond voorhanden voor dergelijke verwerkingen. Behoudens in geval van een wetswijziging of een CAO die dergelijke rechtsgrond zou invoeren, zijn dergelijke verwerkingen momenteel dus niet mogelijk.
2. Communicatie over besmettingen
Een andere vraag die zich stelt is of er gecommuniceerd mag worden over besmettingen die zich voordoen binnen het bedrijf naar andere medewerkers of klanten toe. Het standpunt van de GBA hierover is duidelijk. Voor preventiedoeleinden mogen medewerkers en klanten op de hoogte worden gebracht dat er een besmetting is, doch evenwel zonder vermelding van de identiteit van de besmette persoon. Zo niet, wordt er gezondigd tegen het vertrouwelijkheidsbeginsel en het beginsel van minimale gegevensverwerking. De naam van de besmette persoon kan daarentegen wel gecommuniceerd worden aan de arbeidsgeneesheer of bevoegde overheidsdiensten.
3. Telewerk
Tot slot brengt telewerk ook enkele vragen met zich mee m.b.t. de bescherming van gegevens en van de privacy.
Telewerk gaat immers onvermijdelijk gepaard met bedrijfsgegevens die het bedrijf verlaten. Het is dan ook uiterst belangrijk om vooraf te zorgen voor goede beveiliging van de hardware en systemen waarop medewerkers van thuis uit kunnen werken. Dit is uiteraard eenvoudiger indien er gebruik wordt gemaakt van hardware en systemen die toebehoren aan het bedrijf. Het nemen van passende beveiligingsmaatregelen is daarom eens zo belangrijk indien toegang tot het bedrijfsnetwerk ook mogelijk is vanop de eigen hardware van de medewerkers.
Om conform te zijn met de AVG dienen de genomen beveiligingsmaatregelen ook voldoende gedocumenteerd te worden in bv. een informatiebeveiligingsbeleid. Indien uw bedrijf dergelijk beleid nog niet heeft uitgeschreven, is dit het uitgelezen moment om hier werk van te maken.
Cruciaal hierbij is ook een goede sensibilisering van medewerkers. In de overgrote meerderheid van de gevallen zijn gegevenslekken immers toe te wijzen aan menselijke fouten en onvoorzichtigheden (bv. gebruik van onbeveiligde maildiensten). Medewerkers op een ludieke manier wijzen op de gevaren en hun verantwoordelijkheid hierin, kan vaak al heel wat problemen verhelpen.
Tot slot mag je als bedrijf ook niet vergeten dat het monitoren van de activiteiten van medewerkers van op afstand een zeer privacygevoelige materie is (bv. controle van internetgebruik). Dit kan enkel indien de medewerkers op voorhand deugdelijk zijn ingelicht over de voorwaarden waaronder het monitoren kan plaatsvinden en mits het monitoren aan strikte, voorafgaandelijk en schriftelijk vastgelegde regels is onderworpen. Enkel wanneer er redelijke vermoedens zijn van fraude of misdrijven kan er mogelijk van dergelijke regels afgeweken worden. Het inwinnen van voorafgaand juridisch advies is in dergelijk geval wel ten zeerste aangeraden.
