Modezaak H&M Duitsland moet 35,3 miljoen Euro boete betalen. Wegens schending van de AVG. H&M Duitsland verwerkte namelijk gezondheidsgegevens en religieuze gegevens over werknemers. Wat in Duitsland aan de hand was kan ook in Nederland gebeuren. Daarom geef ik hier wat tips. Want je wilt als Nederlandse werkgever natuurlijk geen 35,3 miljoen Euro boete krijgen wegens schending van de AVG.
H&M Duitsland verwerkt gegevens over ziekte
Na vakantie of ziekteverzuim nodigde het management van H&M Duitsland de medewerkers uit voor een “Welcome Back Talk”. Tijdens deze talk registreerde het management vakantie ervaringen. En daarnaast ook medische klachten en diagnoses. Zo legde men bijvoorbeeld vast dat een medewerker kanker had. En een medewerker last had van een zwakke blaas. Ook mededelingen over geloof, familieruzies etc. werden geregistreerd.
De werkgever mag geen gezondheidsgegevens verwerken
Volgens de AVG zijn gegevens over gezondheid en religie bijzondere persoonsgegevens. Deze mogen niet door een werkgever worden verwerkt. Tenzij dit nodig is om aan wetgeving op het gebied van arbeidsrecht en sociaal zekerheidsrecht te voldoen.
Een lek in het ICT systeem
Op een dag konden medewerkers urenlang o.a. elkaars medische gegevens inzien. Vanwege een configuratie fout. Een pijnlijk incident. H&M Duitsland besloot vervolgens een melding te doen aan de Duitse toezichthouder. Deze stelde een onderzoek in. En vond het handelen van H&M Duitsland ernstig genoeg om een boete van 35,3 miljoen Euro op te leggen. Deze boete dient om af te schrikken, aldus de Duitse toezichthouder.
Mogen Nederlandse werkgevers medische gegevens verwerken?
Het is heel belangrijk dat het hoogste management van ieder bedrijf weet welke persoonsgegevens worden verwerkt en waarom. Het voorbeeld van H&M Duitsland laat dit nog eens goed zien.
Ook is het essentieel al je management leden goed te trainen. Ze moeten weten wat de AVG inhoudt. En wat ze wel en niet mogen doen. Zo voorkom je blunders.
Weet dat je als werkgever geen medische gegevens mag verwerken. Met uitzondering van de datum van ziekmelding en datum verwacht herstel. Ook mogen ergonomische aanpassingen op de werkvloer worden geregistreerd als de Arbodienst dit adviseert.
De registratie van andere medische gegevens moet je aan de Arbodienst overlaten. Je mag als werkgever bovendien niet vragen naar de aard of oorzaak van de ziekte. Ook dat is aan de Arbodienst voorbehouden.
Aanhoren is niet hetzelfde als registreren
Maar wat doe je dan als een medewerker je belt en vrijwillig mededeelt dat hij zijn enkel op drie plaatsen gebroken heeft? En dus niet kan komen werken? In dat geval mag je hem aanhoren. Want aanhoren is niet in strijd met de AVG. Als je het maar niet registreert in een systeem.
Beleidsregels ” de zieke werknemer”
Onze Autoriteit Persoonsgegevens heeft Beleidsregels voor de zieke werknemer opgesteld. Wil jij als werkgever geen hoge boetes krijgen? Zoals 35,3 miljoen Euro in het geval van H&M Duitsland? Zorg dan dat je bedrijf zich houdt aan deze beleidsregels. Want voorkomen is beter dan betalen.
Meer weten?
Door anderen gelezen:
Privacy en Amerika: EU-USA Data Privacy Framework
De Europese Commissie heeft op 10 juli jl. met onmiddellijke werking een…