Einde eigen regie in Arboland?
Net voor de zomer werd de arbomarkt opnieuw opgeschrikt door een publicatie van ‘privacywaakhond’ het CBP. Hoewel dit voor de buitenwereld onopgemerkt is gebleven, betekent de aankondiging tot handhaving van de privacywetgeving mogelijk het einde van het eigenregiemodel voor verzuimbegeleiding en een tsunami aan opgelegde boetes voor werkgevers en arbodiensten.
De afgelopen jaren heeft het College Bescherming Persoonsgegevens (CBP) bij meerdere van zijn reguliere inspecties geconstateerd dat zowel arbodienstverleners als werkgevers zich niet consequent aan de privacyregels en het waarborgen van medische gegevens houden.
Juridisch gelijk versus arbopraktijk
Begin juni 2015 volgde vooralsnog de laatste publicatie van het CBP waarin het Humannet-dossier publiek werd gemaakt en alle beheerders van arbo- en verzuimsystemen zijn aangeschreven.
Wat vooral opvalt, is het publieke gevecht tussen juridisch gelijk en de dagelijkse arbopraktijk.
Er is nog nooit zo expliciet beschreven aan welke functionele specificaties een HR-systeem moet voldoen als het gaat om verzuimregistratie.
Als gevolg hiervan zijn alle spreekwoordelijke verloven ingetrokken en zijn aanbieders van deze HR- of verzuimsystemen aan de slag gegaan met het compliant maken van hun systemen.
CBP-normen
Wat zegt het CBP nu precies als het gaat om het registeren en verwerken van de privacy van medische gegevens en veiligheid van verzuimsystemen?
- Systemen die via internet toegankelijk zijn, moeten minimaal beveiligd zijn met zogenaamde two-step verificatie c.q. twee factor authenticatie voor alle gebruikers. Dit betekent dat er, behalve een wachtwoord, bijvoorbeeld ook een sms met een code wordt gestuurd naar een vooraf goedgekeurd mobiel nummer of geverifieerd mailadres.
- Beveiligingsrisico’s van de systemen dienen aantoonbaar periodiek in kaart te worden gebracht door middel van penetratietesten of security audits.
Maar er is meer… De systeemleveranciers, maar ook de gebruikers – de arbodienstverlener én de klant – dienen passende organisatorische en technische maatregelen te treffen. Het CBP zegt onder meer:
- Personen die medische gegevens niet mogen verwerken, mogen ze ook niet inzien. Medische gegevens mogen alleen toegankelijk zijn voor de bedrijfsarts.
- Een werkgever mag alleen vragen stellen die noodzakelijk zijn voor de begeleiding van de zieke medewerker: het telefoonnummer, de duur van het verzuim, lopende werkzaamheden en afspraken en of sprake is van een arbeidsongeval of verkeersongeluk.
- Wat niet mag, is het verwerken of registeren van gegevens rondom de aard en oorzaak van de ziekte of medische handelingen door de werkgever. Een keuzelijstje met verzuimoorzaken mag niet meer, open invulvelden waarin je medische gegevens of verzuimoorzaken kunt vastleggen, mogen ook niet meer.
Aangescherpte richtlijnen HR- en verzuimsystemen
Het CBP stelt, dat verzuimsystemen die niet voldoen aan deze eisen in strijd handelen met de Wet bescherming persoonsgegevens.
Voor arbodiensten betekent deze recente uitspraak nogal wat, want begin juni 2015 voldeed nog geen enkel verzuimsysteem volledig aan deze aangescherpte richtlijnen.
Wellicht nog belangrijker is het feit dat arbodiensten, naast het gebruik van hun eigen expertsystemen, ook gegevens vastleggen in meer algemene HR-systemen of verzuimsystemen van de klant.
Uit ons onderzoek blijkt namelijk dat ruim 70 procent van de arbodienstverleners ook werkt in het verzuimsysteem van de klant. Bij 73 procent van de aanbieders worden gegevens nog regelmatig uitgewisseld per mail of zelfs per post.
We vroegen de arbodiensten hoe zij de privacy van hun klanten, hun systemen en natuurlijk de medische informatie binnen hun dienstverlening waarborgen. We zien gelukkig dat de meeste aanbieders de urgentie van dit onderwerp wel scherp hebben.
Waarborgen zitten bij zowel interne als externe verzuimsystemen in de privacyreglementen en procedures, in het behalen van certificaten zoals ISO 27001, NEN 7510 en het Keurmerk Veilig HR-Systeem, in het uitvoeren van audits door externe partijen en in duidelijke handboeken voor medewerkers en klanten.
Keuzestress? Vergelijk gratis de beste 45 arbodiensten
Jij vertelt wat je zoekt, wij regelen de rest
✓ De beste arbodiensten al voor je geselecteerd
✓ Enige onafhankelijke arbodienst vergelijkingssite
✓ Persoonlijk advies van dé arbo experts
✓ Meer dan 21.462 klanten
✓ Snel 3 offertes van de beste arbodiensten
Ketenaansprakelijkheid
Maar dat is nog niet alles, want de volledige keten – van hostingprovider tot eindgebruiker – wordt inmiddels door de toezichthouder bekeken.
Dit betekent dat systeemleverancier, arbodienst en werkgever samen verantwoordelijk zijn om aan de aangescherpte privacyrichtlijnen te voldoen. Afschuiven naar een andere schakel in de keten is er dus niet meer bij.
De recent aangescherpte Europese wetgeving bepaalt dat de aanbieder voortaan verantwoordelijk en aansprakelijk is voor de veiligheid van de hele keten. Dit blijkt ook uit het verplichte meldpunt datalekken dat vanaf 1 januari 2016 van kracht is.
Aangepaste procedures arbodiensten
Uit de gesprekken met de arbodiensten en aanbieders van verzuimsystemen blijkt dat men vanaf juni flink bezig is de teugels aan te trekken.
Als werkgever is de kans groot dat je recent een andere login hebt gekregen en dat je de verzuimmelding op een andere manier door moet geven aan jouw arbodienst.
Je kan daarbij nu geen inhoudelijke informatie meer over de verzuimmelding doorgeven. Lukt het jou dan nog wel om een goede vraag aan bedrijfsarts te stellen?
De komende maanden kan je flink aangepaste procedures van jouw arbodienst verwachten en waarschijnlijk ook hogere kosten om aan al deze nieuwe richtlijnen te voldoen. Immers, het registreren van het privacyreglement bij het CBP is voor arbodiensten niet langer voldoende.
Ook de reguliere arbo-audit, of een papieren certificering zoals ISO27001, biedt onvoldoende garantie als het gaat om privacy en veiligheid.
Privacy geen issue voor werkgevers en werknemers
Hoe zeer het onderwerp privacy ook speelt in Arboland, bij werkgevers leeft het onderwerp nog maar zeer beperkt.
Uit ons onderzoek blijkt dat in slechts één op de vier van de gevallen organisaties om expliciete waarborgen vragen rondom de privacy van medische gegevens.
Dat werkgevers zich er niet druk over maken, is misschien ook wel heel erg logisch. Immers, als goed werkgever maak je je sterk voor je zieke medewerker en zijn of haar herstel. En als goed werknemer ben je hierover met je werkgever in gesprek.
Hoewel de werkgever er formeel juridisch niets mee te maken heeft, lijkt het toch onvoorstelbaar en zeer ongewenst dat werkgever en werknemer bij een ziekmelding expliciet vragen als “Hoe is het met je?” en “Wat scheelt eraan?” moeten ontwijken?
Social media
Uit ons onderzoek blijkt ook dat aanbieders zich afvragen waarom we in dit land wel accepteren dat we massaal ons wel en wee tot in lengte van jaren delen en vastleggen via Google, Twitter, Instagram en Facebook, dat de overheid alles mag weten en zelfs toegang geeft tot deze data aan andere grootmachten, maar dat je als werkgever niet eens een persoonlijke aantekening mag maken over een medewerker die zich ziek meldt.
Je mag best stellen dat de intentie van een werkgever is om deze medewerker zo goed mogelijk te ondersteunen en de arbodienst zo goed mogelijk te informeren.
Wij kennen over het geheel genomen een hele informele open bedrijfscultuur in Nederland en werkgever en medewerker kiezen heel begrijpelijk voor een pragmatische aanpak. Men weet dus vrijwel altijd wat er aan de hand is.
Privacy kruistocht CBP
De vraag is echter of het CBP deze pragmatische en persoonlijke benadering nog accepteert. Zijn huidige koers lijkt meer en meer op een kruistocht tegen de onveilige communicatielijnen (lees telefoon, e-mail of open invulvelden in het systeem).
Voor de duidelijkheid, het gaat hier niet om expliciet medische aantekeningen. Met name sociale omstandigheden spelen vaak een grote rol, relationele zaken bijvoorbeeld, mantelzorg of een sterfgeval.
En als je hier niets van mag noteren in een vertrouwelijke interne notitie, dan wordt persoonlijke begeleiding van deze medewerker al snel lastig.
Je kunt je afvragen hoe deze wat afstandelijke benadering overkomt op de werknemer. Je hoort het ze al zeggen: “Mijn werkgever wil niet eens weten hoe het met me gaat, hij wil alleen maar weten wanneer ik weer terugkom!”
Werkgever en werknemer in gesprek
Wat het extra duaal maakt, is dat er op de markt allerlei initiatieven zijn die werkgevers – lees leidinggevenden – meer handvatten geven zelf in gesprek te gaan met hun al dan niet chronisch zieke medewerker.
Voorbeelden zijn het initiatief van het Arbeidsdeskundig Kennis Centrum (AKC) tot oprichting van de Bibliotheek Arbeidsparticipatie & Chronische ziekte. Een digitale kennisbron die niet alleen is opengesteld voor arbeidsdeskundigen maar ook voor werkgevers, HR-professionals en leidinggevenden.
Maar ook KWF kanker op de werkvloer en het TNO Werkdrukmodel. Deze laatste gaat uit van sociale steun van leidinggevenden en collega’s en het bespreekbaar maken van werkdruk.
Alle initiatieven gaan er van uit, dat je vooral met elkaar in gesprek moet gaan. Iets wat het CBP met haar richtlijnen verbiedt.
Uit de gesprekken die we afgelopen maanden voerden blijkt dat de meeste aanbieders grote vraagtekens zetten bij de gevolgen van deze uitleg van het CBP.
Einde eigen regie?
Wij vragen ons af of met het CBP-decreet gelijk het einde van het eigen-regie-model is uitgevaardigd. Want, is het voor de werkgever nog wel mogelijk de regie over verzuimbegeleiding te voeren als je niets mag vragen en registreren?
Deze aangescherpte richtlijnen vereisen dat je als werkgever weer vroegtijdig de arbodienst inschakelt om uit te vragen of het verzuim legitiem is, wat de medewerker nog wel kan en wat er gedaan kan worden om het herstel te bevorderen.