Het coronavirus en privacy | Wat mag wel en niet?
Het coronavirus houdt ons allemaal bezig. De wereld en de situatie verandert iedere dag en zelfs ieder uur. Het is een situatie die we nog nooit hebben meegemaakt. En dat vraagt veel van ons!
Ook de situatie met betrekking tot privacy is het coronavirus een struikelblok. Bij Audittrail hebben we een Helpdesk: een service waar abonnees (klanten) alle privacy- en security gerelateerde vragen kunnen stellen. Wij krijgen inmiddels heel veel privacy gerelateerde vragen binnen. Net als bij het coronavirus is het op privacy gebied niet altijd even duidelijk waar het naar toe gaat. Zo geeft de Autoriteit Persoonsgegevens (AP) maar heel beperkt informatie. Daarom geven wij in deze blog een aantal tips, do’s en dont’s als het gaat om het coronavirus en privacy.
Het coronavirus en medewerkers
Ziek is ziek. Maar met het coronavirus is er natuurlijk een risico op grote gevolgen voor uw organisatie. Als een medewerker zich ziek meldt, kunt u zomaar geneigd zijn om te vragen of het een ‘gewone’ griep is of dat hij besmet is met het coronavirus.
Nu is het al jaren zo, dat u als werkgever niet mag vragen wat de medewerker mankeert als deze zich ziek meldt – en dat u dat ook niet mag vastleggen als de medewerker dat uit zichzelf meldt.
Met het coronavirus is dat vooralsnog niet anders. Als werkgever mag u niet op de stoel van een arts gaan zitten door conclusies te trekken over de gezondheid van individuele medewerkers. Zo mag uw organisatie bijvoorbeeld niet bijhouden waar uw medewerkers op vakantie zijn geweest, of door hun temperatuur vast te leggen.
Uw organisatie mag wel het reguliere pad bewandelen via de bedrijfsarts of arbodienst. Als zij, op basis van hun medische kennis, vermoeden dat van het coronavirus sprake is, dan nemen zij met spoed contact op met de GGD. Verder dienen adviezen en opdrachten van de GGD en/of het RIVM opgevolgd te worden, ook wanneer deze afwijken van de bovenstaande standaardregels.
Het coronavirus en klanten
De eerste berichten van organisaties die aan klanten, leerlingen of huurders vragen hen te informeren wanneer ze besmet zijn met het virus zijn al voorbijgekomen. Vaak zijn de berichten vrijblijvend, in verband met de AVG.
Vooralsnog gelden hier de reguliere regels voor het verwerken van bijzondere (medische) persoonsgegevens. Dit mag uitsluitend op basis van vrijblijvende expliciete toestemming. Bij toestemming geldt dat deze echt vrij moet zijn. Als er een gezagsverhouding bestaat, zoals bij een werkgever en werknemer, is er vaak geen sprake van vrijblijvende toestemming. In het geval van leerlingen onder de 16 jaar dient de toestemming aan de ouders te worden gevraagd.
Ook hier geldt: zodra er adviezen en opdrachten van de GGD en/of het RIVM komt, volg deze op, ook als deze afwijken van de bovenstaande standaardregels. Zij bepalen hoe en wanneer het nodig is om in het algemeen belang van de volksgezondheid persoonsgegevens te verwerken zonder toestemming van de betrokkene.
Wat kunt u en uw organisatie doen?
Blijf uw medewerkers wijzen op de eigen verantwoordelijkheid, maar geef uw medewerkers ook de ruimte hiervoor! Hou de huidige situatie in de gaten, maar ook de adviezen van de GGD en RIVM. Informeer uw medewerkers over welke aanpak uw organisatie gaat volgen en wat wel en niet mag. Zorg ervoor dat uw organisatie de persoonsgegevens passend beveiligt, zeker nu veel mensen thuiswerken. Als uw organisatie bepaalde keuzes maakt, dan moeten deze weloverwogen zijn. Laat uw organisatie de keuzes vastleggen, zodat verantwoording kan worden afgelegd wanneer dit gevraagd wordt. Wees vooral transparant in deze situatie.
Heeft u hierbij advies of hulp nodig? Wij van Audittrail zijn gewoon aan het werk. Online en via de telefoon helpen wij u graag. Met het voorkomen van problemen, maar ook als u eventueel toch een probleem hebt. U kunt hier contact met ons opnemen. Audittrail is een audit- en adviesbureau gespecialiseerd in privacy, security, riskmanagement en business control. Met ons ervaren en bevlogen team ondersteunen wij organisaties in Nederland en Europa met een praktisch advies hulp.
Disclaimer: Deze blog is geschreven met de informatie en inzichten die wij hebben op 20 maart 2020.
Deze blog is geschreven door Savanne de Graaf-Hintzen en Jorrit van de Walle. Savanne de Graaf-Hintzen is privacy jurist en Jorrit van de Walle is security manager, operational en IT-auditor en ze werken met hun collega’s bij Audittrail aan een privacy bewustere en informatieveiligere maatschappij. Audittrail is een audit- en adviesbureau gespecialiseerd in privacy, security, riskmanagement en business control. Met ons ervaren en bevlogen team ondersteunen wij organisaties in Nederland en Europa met een praktisch advies hulp,