Covid-19, gegevensverwerking in de heropstart van jouw activiteit.
Gegevensbescherming weerhoudt u er niet van om werknemers te vragen of ze symptomen van COVID-19 ondervinden of dat er passende tests ingevoerd worden, zolang de principes van de GDPR wet – transparantie, billijkheid en proportionaliteit – maar worden toegepast.
De ICO, de Engelse Gegevensbeschermingsautoriteit, heeft hierover een handleiding geschreven. Ze zijn bedoeld voor organisaties die extra persoonlijke informatie verzamelen om hun personeel een veilige omgeving te bieden.
Hierbij een bloemlezing die je kan helpen om aan de bovenstaande principes te voldoen terwijl we allemaal onze weg zoeken naar de normale gang van zaken.
Verzamel en gebruik enkel de informatie die je nodig heb
Beantwoord eerlijk de volgende vragen of de verwerking van de gezondheidsgegevens van je medewerkers wel nodig is om hen veilig te houden:
- Hoe helpt het verzamelen van extra persoonlijke informatie om hun werkplek veilig te houden?
- Heb je de informatie echt nodig?
- Zal de test die u overweegt daadwerkelijk helpen om een veilige omgeving te bieden?
- Zou u hetzelfde resultaat kunnen bereiken zonder persoonlijke informatie te verzamelen?
Als je kan aantonen dat jouw aanpak redelijk en eerlijk is én in verhouding staat tot de omstandigheden, dan is het onwaarschijnlijk dat dit problemen oplevert op het gebied van gegevensbescherming. Lees ook de verdere richtlijnen over de noodzaak.
Beperk de verzameling van de gegevens tot het strikte minimum
Bij het verzamelen van persoonlijke informatie, met inbegrip van de COVID-19 symptomen en testresultaten mag je alleen de informatie verzamelen die nodig is om de genomen maatregelen op de juiste en effectieve manier uit te voeren.
De algemene regel blijft natuurlijk van kracht: verzamel geen persoonlijke gegevens die je niet nodig hebt. Sommige informatie vraagt slechts een tijdelijke opslag en het is echt niet nodig om een permanent bestand aan te leggen.
Wees duidelijk, open en eerlijk met het personeel over hun gegevens
Zorg ervoor dat je aan jouw mensen duidelijk vertelt hoe en waarom je hun persoonlijke informatie wilt gebruiken. Vergeet hierbij zeker niet de mogelijke gevolgen te vermelden. Je moet medewerkers ook laten weten met wie je hun informatie wilt delen en hoe lang je van plan bent deze te bewaren. Je kan dit doen door middel van een duidelijk, toegankelijk vlot leesbaar document.
Behandel iedereen op een eerlijke manier
Denk hierover na tijdens je voorbereiding. Zorg dat je de eventuele schade die jouw medewerkers kunnen oplopen, goed ik kaart brengt. Jouw aanpak moet eerlijk zijn en mag geen enkele vorm van discriminatie veroorzaken.
Houd de informatie van mensen veilig
De persoonsgegevens die je verwerkt in dit kader vragen een extra veilige bewaring. Misschien verwerk je nooit gevoelige gegevens maar dit zou nu wel eens anders kunnen zijn. Evalueer daarom zorgvuldig jouw lopende veiligheidsprocedures. Maak een eerlijke overweging en pas desnoods aan. Een data lek op gezondheidsgegevens heeft verstrekkende gevolgen en zal zeker leiden tot een melding bij de Gegevensbeschermingsautoriteit.
Wat je niet hebt kan je ook niet verliezen! Dus hoe minder informatie je hebt, hoe kleiner het risico op een veiligheidsincident! Daarom is het noodzakelijk dat je de bewaartermijn goed vooraf hebt bepaald. Bewaar dus de informatie niet langer dan noodzakelijk.
Medewerkers moeten hun informatierechten kunnen uitoefenen
Zoals bij elke gegevensverzameling ben je verplicht om je medewerkers te informeren over hun rechten met betrekking tot hun persoonlijke gegevens, zoals het recht op inzage of rectificatie. Jouw mensen hebben de mogelijkheid om deze rechten uit te oefenen als ze dat willen, en om eventuele zorgen met organisaties te bespreken. Je kan ofwel verwijzen naar jouw intern privacy beleid, arbeidsreglement of de rechten opnemen in het document dat je speciaal voor deze verwerkingen opmaakt (zie hierboven).
Symptomen controle of testen
Als je deze maatregelen wenst uit te voeren dan zijn er aanvullende eisen waaraan je moet voldoen. Deze omvatten o.a. het identificeren van de wettelijke basisgrond (toestemming zal heel moeilijk zijn) voor het gebruik van deze informatie die je verzamelt en, als je gezondheidsgegevens op grote schaal verwerkt, het uitvoeren van een risicoanalyse. Een begeleiding van specialisten in deze materie kan hiervoor aangewezen zijn.
Tot slot: vergeet zeker niet de ondernemingsraad en comité van preventie bescherming en welzijn te informeren vooraf te informeren.
Als conclusie kan je stellen dat een eerlijke benadering van de omgang met de persoonsgegevens van je mensen, die transparant is in haar doelstelling en voldoet aan de wet op de gegevensbescherming, het vertrouwen van de collega’s in deze uitzonderlijke Covid-19 tijd zal winnen.
Bron: ICO UK
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18