GDPR in tijden van corona

 De coronacrisis heeft ons dagelijks leven voor enorme uitdagingen gesteld. Om de verspreiding van het SARS-CoV-2 virus te vertragen, heeft de Belgische overheid heel wat maatregelen genomen. Verschillende organisaties nemen gaandeweg bijkomende stappen om aan de opgelegde voorwaarden te voldoen en hun personeel te beschermen. Hier blijkt het soms moeilijk om een gezond evenwicht te behouden tussen veiligheidsmaatregelen die de volksgezondheid ten goede komen enerzijds, en invasieve controles die negatieve gevolgen hebben voor de privacy van personen anderzijds. Het is de opdracht van de werkgever om het hoofd koel te houden. Een correcte preventie en het recht op privéleven hoeven niet tegenstrijdig te zijn.
 

Zowel de interne preventiedienst als de arbeidsartsen spelen een cruciale rol om een adequate en proportionele aanpak te helpen bevorderen. In dit artikel ga ik wat dieper in op wat wel en niet mag.

Het doel van de maatregelen

Sinds ongeveer een maand heeft de Belgische overheid verschillende maatregelen opgelegd, op advies van een werkgroep met gezondheidsexperts. Het doel is om de verspreiding van het SARS-CoV-2 virus voldoende te vertragen opdat ons zorgstelsel niet overbelast geraakt. Het koopt ons ook tijd om een adequaat geneesmiddel te vinden en om tegen begin volgend jaar een effectief vaccin te ontwikkelen.

Hierbij moet een gezond evenwicht gevonden worden tussen wat in theorie mogelijk is en wat in de praktijk haalbaar blijkt. Zo zou een absolute ‘lockdown’ waarbij iedereen zonder uitzondering in de eigen woonst moet blijven, niet alleen verregaande economische negatieve gevolgen hebben. Dat zou ook betekenen dat bepaalde vormen van essentiële dienstverlening zouden stilvallen. Als we geen water of elektriciteit meer zouden hebben, en geen voedingsmiddelen meer kunnen kopen, hebben we nog grotere problemen.
De veiligheidsmaatregelen van de Belgische overheid zijn dus zowel proportioneel als veranderend in de tijd, op basis van de actuele toestand. Ze omvatten onder meer het stopzetten van niet-essentiële fysieke bijeenkomsten, (waar mogelijk) verplicht telewerken, het opleggen van ‘social distancing’ en het bevorderen van arbeidshygiënische maatregelen zoals het regelmatig wassen van de handen.
Fase 1 - Reisbestemmingen

De veiligheidsmaatregelen komen de volksgezondheid ten goede, maar hebben ook negatieve gevolgen voor de privacy van personen.

Toen we nog in fase 1 van het rampenplan zaten en er hoop was dat we de epidemische verspreiding buiten China konden vermijden, werden mensen die terugkeerden uit risicogebieden in quarantaine geplaatst of voorafgaand gescreend. Ook bedrijven gingen hun werknemers screenen, met soms verdergaande maatregelen dan wat door de overheid werd opgelegd. Zo werden werknemers die terugkeerden van een vakantie bevraagd naar de aard en locatie van de vakantie, en mochten ze zich niet op de werkvloer aanbieden als de werkgever het risico te hoog inschatte.

Dit is echter niet te rechtvaardigen volgens de gegevensbeschermingsautoriteit. Want zulke bevragingen en hieraan gekoppelde acties zijn niet uit te voeren door de individuele bedrijven, maar vallen onder de verantwoordelijkheid van de gezondheidswerkers en het systeem voor civiele bescherming, de entiteiten belast met het toezicht op de naleving van de opgestelde regels inzake volksgezondheid. Bijkomende acties door bedrijven zijn dus in schending van de voorwaarden van de artikelen 6 en 9 van de Europese verordening AVG (algemene verordening gegevensbescherming, soms beter gekend onder de Engelse afkorting "GDPR").

Fase 2 - Vermoeden van COVID-19

We zijn nu in een (versterkte) fase 2 van het rampenplan, en de overheid heeft verdergaande maatregelen genomen. Zo moeten mensen met een vermoeden van covid-19 thuisblijven. De werknemer moet de werkgever m.i. hiervan op de hoogte brengen. COVID-19 kun je volgens de definitie van de Wet op het Welzijn beschouwen als een biologisch agens van groep 3: Art. VII.1-3. 3° een biologisch agens van groep 3 is een agens dat bij de mens een ernstige ziekte kan veroorzaken en een groot gevaar voor de werknemers kan opleveren; er is een kans dat het zich onder de bevolking verspreidt, doch gewoonlijk bestaat er een effectieve profylaxe of behandeling." Hier geldt een meldingsplicht van de werknemer. "Art. VII.1-41.- De werknemers delen elk ongeval of incident met een biologisch agens mee aan de werkgever, de bevoegde preventieadviseur of de preventieadviseur-arbeidsarts." Ook de huisartsen hebben richtlijnen gekregen van de overheid om bij een vermoeden van COVID-19 dit ook te vermelden op het ziektebriefje.

Deze gegevensdeling is proportioneel, omdat ze de werkgever toelaat om gepaste preventiemaatregelen te treffen, zoals het bijkomend ontsmetten van de werkplek en eventueel informeren van de directe collega's. Dit laatste is met de nodige omzichtigheid te benaderen. Op grond van het vertrouwelijkheidsbeginsel (artikel 5.1, f van de AVG) en het beginsel van de minimale gegevensverwerking (artikel 5.1, c van de AVG) mag een werkgever de namen van betrokken personen niet zomaar binnen het bedrijf bekendmaken. Maar met het oog op de preventie van verdere verspreiding mag de werkgever wel andere werknemers op de hoogte brengen van een besmetting, zonder vermelding van de identiteit.

Sommige bedrijven contacteren de werknemers om bijkomende gegevens te verzamelen, zoals de ernst van de aandoening en de verdere evolutie. Dit is echter een schending van artikels 5.1, c en e van de AVG, zelfs als die werknemers bereid zijn om zulke informatie te delen. De ernst en evolutie van een COVID-19 infectie hebben geen impact op de voorafgaande besmettelijkheid, en dus op de te nemen maatregelen door de werkgever. Ook mag de werkgever dergelijke informatie niet verder in de organisatie delen, bijvoorbeeld om de andere werknemers gerust te stellen dat hun collega weer thuis is uit het ziekenhuis. Ongetwijfeld goed bedoeld, maar een schending van de privacy van die werknemer.

Fase 3 - Preventief beschermen van risicogroepen

Mocht de Belgische overheid overgaan naar fase 3 van het rampenplan, dan heeft de preventieadviseur-arbeidsarts de mogelijkheid om werknemers die behoren tot een risicogroep voor COVID-19 preventief te verwijderen uit een risicovolle werkomgeving. Dit kunnen zij doen op basis van informatie uit de arbeidsgeneeskundige medische dossiers, of via bevragingen hierover door werknemers via een spontane raadpleging. Een onderneming kan dit laatste helpen bevorderen door interne communicatie.

Een aantal bedrijven wenst hier nu al mee te starten, of vraagt proactief een oplijsting van werknemers die mogelijk tot een risicogroep behoren. Dit gebeurt vanuit het oogpunt om de gezondheid van de werknemers te helpen beschermen. Maar nu al hiermee starten is niet proportioneel, en het verzamelen van dergelijke lijsten nog minder. Wel mag de werkgever het contact met de arbeidsarts aanmoedigen. Deze kan echter in de huidige fase (op het moment van schrijven, 5 april 2020) alleen de werknemer die tot een risicogroep behoort aanmoedigen om de huisarts te contacteren, die dan beslist of de werknemer nu al thuis dient te blijven.

Conclusie

Tijdens een gezondheidscrisis zoals de huidige is het te verwachten dat de grondrechten tegen elkaar worden afgewogen.

De Belgische overheid maakt continu een afweging tussen het recht op gezondheid en het recht op privacy. We zien nu dat het recht op dit laatste tijdelijk wordt ingeperkt, omdat het noodzakelijk en proportioneel is.

Bedrijven die zich nu genoodzaakt voelen om zelf een verdergaande afweging te maken en dit in het nadeel van het recht op privacy, moeten zich de vraag stellen of ze dit doen op basis van objectieve redenen die noodzakelijk en proportioneel zijn.

Want binnen een aantal maanden is de gezondheidscrisis wellicht opnieuw genormaliseerd, en riskeren deze bedrijven om vervolgens in een nieuwe, juridische crisis verzeild te raken.

 

Auteur: Edelhart Kempeneers Medisch directeur Attentia

Gepubliceerd op 06-04-2020

Edelhart Kempeneers
Arbeidsarts & Medisch directeur, Attentia
  303