De bedrijfsarts en het verzuimsysteem van zijn klant

Ik ontmoet regelmatig bedrijfsartsen die in het verzuimsysteem van hun opdrachtgevers werken. Niet zelden wordt dit zelfs verlangd of geëist door opdrachtgevers.

Maar er zijn ook artsen die hier faliekant op tegen zijn. Welke juridische regels zijn eigenlijk van toepassing? Wat zijn de praktische en juridische bezwaren?

In het kader van transparantie: ik ben er niet voor. Ik ben van mening dat een bedrijfsarts zijn medisch dossier niet zou moeten vastleggen in het verzuimsysteem van zijn klant. Het voelt gewoon niet goed.

De informatie die een zieke medewerker verplicht deelt met de bedrijfsarts mag in geen geval in handen komen van de werkgever. Waarom zou je dan uitgerekend die gegevens vastleggen in een systeem dat niet van jou is maar van die werkgever? Waar je geen enkele controle over hebt? Het voelt alsof je de huissleutel buiten onder de deurmat verstopt.

Maar goed. Dat is mijn mening en die is net zo goed als die van u. Als jurist ben ik meer geïnteresseerd in de regeltjes.

Dus heb ik mijn licht opgestoken bij Ivo van der Helm. Hij is – net als ik – jurist, maar gepromoveerd op het onderwerp “De privacybescherming van de zieke werknemer”.

Medisch dossier in systeem werkgever?

Ik heb mr. Van der Helm de vraag voorgelegd of het geoorloofd is dat de bedrijfsarts zijn medisch dossier over de zieke werknemer aanlegt in het systeem van zijn opdrachtgever. Van der Helm antwoordt dat hij deze vraag en mijn visie hierop heeft besproken met de KNMG.

Hij concludeert dat het juridisch is toegestaan, dat de bedrijfsarts zijn medisch dossier aanlegt in het verzuimsysteem van zijn opdrachtgever, mits er aan een aantal belangrijke juridische waarborgen en randvoorwaarden is voldaan.

Hoewel het juridisch niet verboden is, is het wel af te raden. De bedrijfsarts is als “verantwoordelijke” aan te merken in de zin van de Wet bescherming persoonsgegevens. De KNMG hanteert hetzelfde standpunt.

Een verplichting van de verantwoordelijke is om technische en organisatorische maatregelen te treffen opdat de gegevens afdoende beveiligd zijn.

Op nakoming hiervan kan de bedrijfsarts door de werknemer of toezichthouder (de Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens) worden aangesproken.

Technische en organisatorische maatregelen

De naleving van deze juridische verplichtingen zal volgens Van der Helm echter praktische problemen met zich mee brengen. Want de bedrijfsarts kan niet controleren of er door de opdrachtgever daadwerkelijk en doeltreffend technische en organisatorische maatregelen zijn genomen.

Een voorbeeld om dit te illustreren: stel voor dat jij als bedrijfsarts bij een klant op locatie werkt. De klant stelt een werkkamer en een computer aan jou ter beschikking.

Je gaat vervolgens in een systeem op die computer van die klant medische gegevens invoeren. Tot zover niets aan de hand.

Maar… je moet kunnen garanderen dat jij de enige bent die toegang heeft tot de gegevens die je zojuist hebt ingevoerd. Op het moment dat jij die gegevens invoert, ben jij daarvoor als bedrijfsarts verantwoordelijk. De vraag is dan: hoe weet jij nu zeker:

• dat de klant misschien instellingen in dat systeem heeft gemaakt die ertoe leiden dat de directeur HRM jouw gegevens toch kan lezen?
• dat de systeembeheerder die een back-up maakt, deze niet laat liggen in de bus als hij naar huis reist?
• dat een applicatiebeheerder, die een hekel heeft aan zijn collega van administratie, niet stiekem in haar verzuimdossier neust, omdat hij die beveiliging kon omzeilen?
• dat een applicatiebeheerder die een verzuimmelding verwijdert, niet daarmee ook de ermee verbonden medische rapportages verwijdert? Want dat is dataverlies en dus een datalek die weer gemeld moet worden aan de Autoriteit Persoonsgegevens.

In de overeenkomst tot dienstverlening moet de opdrachtgever zich verplichten tot het nemen van de technische en bedrijfsorganisatorische maatregelen ter beveiliging van de gegevens.

Het is, gezien de handhavingproblemen bij nakoming van de wettelijk verplichting en de mogelijke risico’s voor onbevoegde toegang tot medische gegevens, daarom af te raden dat de bedrijfsarts zijn medische dossier aanlegt in een meer omvattend verzuimsysteem dat het bedrijf hanteert. Aldus Van der Helm.

CBP Richtsnoer ‘Beveiliging van persoonsgegevens’

Samengevat zegt Van der Helm: de arts is in deze situatie “de verantwoordelijke” en dus heeft de arts daarom bepaalde wettelijke verplichtingen. Die verplichtingen kan hij eigenlijk niet goed nakomen en daarom is het af te raden dat hij in het systeem van zijn klant werkt.

Eén van die verplichtingen – en niet de minste – is dat de arts ervoor zorgt dat zijn gegevens – zijn medisch dossier – veilig wordt opgeslagen en afgeschermd.

Maar dat is aan de andere kant – als hij in het systeem van een ander werkt – nou juist ondoenlijk. Want hij is afhankelijk van de inzet en goede wil van die klant en van degene die dat systeem beheert.

Nou is het aardige verder dat het CBP in 2013 een richtsnoer ‘Beveiliging van Persoonsgegevens‘ heeft uitgegeven, waarin het college haarfijn uit de doeken doet wat er precies bedoelt wordt met de “technische en organisatorische maatregelen” die de klant precies moet nemen en waar de arts dus voor verantwoordelijk is.

1. De bedrijfsarts moet een risicoanalyse maken, toegespitst op de organisatie en het systeem van deze opdrachtgever. Denk aan onbevoegde toegang tot gegevens en bestanden, netwerk- en websitebeveiliging, back-up van gegevens, etc.
2. Vervolgens moet de arts als onderdeel van zijn dienstverleningsovereenkomst een toegespitste bewerkerovereenkomst sluiten. De details daarvan kunt u vinden in paragraaf 4.2 van het richtsnoer. Daarin moeten alle afspraken staan over de beveiligingsmaatregelen die de klant moet treffen.
3. Tenslotte moet de arts er ook daadwerkelijk op toezien dat die overeenkomst correct wordt nageleefd. Alleen goede afspraken maken en juridisch borgen is niet goed genoeg. Zie paragraaf 4.3 van het richtsnoer.

Wissen medisch dossier bij beëindiging dienstverlening

Van der Helm voegt daar nog aan toe dat de arts bij beëindiging van de dienstverlening zijn medische verslaglegging zélf uit het systeem van de opdrachtgever moet verwijderen.

De bedrijfsarts of arbodienst is verplicht de gegevens uit dit medisch dossier alleen te bewaren zolang dat noodzakelijk is voor de sociaal medische begeleiding van de werknemer (artikel 7:464 lid 2 sub a BW).

Dit impliceert volgens Van der Helm dat na beëindiging van de sociaal medische begeleiding door de bedrijfsarts, de medische dossiers niet langer bewaard mogen worden in het klantsysteem en men deze dus moet vernietigen. De bedrijfsarts of arbodienst is hier dus verantwoordelijk voor.

Er dient om deze reden een mogelijkheid voor de bedrijfsarts te zijn om het gehele dossier te wissen en tegelijkertijd natuurlijk wél een kopie achter te kunnen houden om aan zijn bewaarplicht van tien jaar ervan te kunnen voldoen.

Dat is nog wel even een ‘dingetje’, want veel verzuimsystemen kennen zo’n functie helemaal niet. Als ‘zelf doen’ geen optie is en de arts door een helpdesk de documenten laat verwijderen, hoe borg je dan dat het gebeurt is en volledig gebeurt is?

Of dat die documenten niet spontaan terugrollen, bijvoorbeeld doordat om andere redenen later een back-up wordt teruggezet?

Alternatief: je laat de documenten toch maar in het systeem van de opdrachtgever achter (wat dus niet mag).

Hoe ga je nu als bedrijfsarts vijf jaar na beëindiging van jouw dienstverlening je geheimhoudingsplicht waarmaken? Hoe kun je een werknemer garanderen dat de spreekwoordelijke directeur personeelszaken – op een opvolgende bedrijfsarts – nog steeds geen inzage kan verwerven in jouw historische medische dossiers?

Datalek

Juridisch gezien is het toelaatbaar dat de bedrijfsarts zijn medische dossier opslaat in het verzuimsysteem van zijn opdrachtgever. Maar dan wel op voorwaarde dat de bedrijfsarts zijn wettelijke verplichtingen kan nakomen.

In de praktijk gaat dat echter niet lukken omdat de arts onvoldoende zeggenschap en grip over dat systeem heeft.

Als de bedrijfsarts niet kan garanderen dat hij en zijn klant hun verplichtingen kunnen nakomen als het ‘mis’ gaat, dan draagt de arts daarvan de consequenties. Dan is er sprake van een datalek, waar de bedrijfsarts verantwoordelijk voor is. En daarom is het sterk af te raden in een ‘vreemd’ systeem te werken.