Privacy blijft, ook tijdens corona
(juli 2020)
In de huidige corona-periode lijkt actiegerichte daadkracht centraal te staan. Toch is het belangrijk om informatieveiligheid en gegevensbescherming niet uit het oog te verliezen. Technische beveiligingsmaatregelen en privacy zijn een absolute must in de huidige werkcontext die overloopt van telewerken, videoconferencing en digitale gegevensuitwisseling. Deze bescherming maakt deel uit van correct en vooral duurzaam virtueel werken. COVID-19 mag geen vrijgeleide zijn om heel wat basisprincipes én -verplichtingen overboord te gooien.
Sommige werkomgevingen zijn echter nog complexer, zoals woonzorgcentra. Daar zorgde corona voor veel onzekerheid bij bewoners, medewerkers en leidinggevenden. Er werden in allerijl maatregelen uitgevaardigd door de verschillende overheden die niet altijd even coherent en duidelijk te interpreteren of toe te passen waren. Onze DPO’s hebben de voorbije weken en maanden verscheidene besturen intensief ondersteund bij een aantal stappen die aan (noodzakelijke) gegevensverwerking voorafgingen. De hoogdringendheid van de vragen en het moeizaam ter beschikking krijgen van informatie en richtlijnen omtrent COVID-19, stelde vele organisaties voor moeilijke werksituaties en praktische dilemma’s inzake gegevensbescherming. Een mooie praktijkcase die inzicht geeft in de verwerkingsgronden van persoonsgegevens in dit verband en enkele issues die daarbij kunnen opduiken, is Zorg Leuven.
Wat is een verwerkingsgrond van persoonsgegevens?
TER INFO. Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Nu kan in COVID-19-tijden ook algemeen belang een mogelijk verwerkingsgrond zijn.Donderdag 9 april
Situatie: Zorg Leuven krijgt bericht van het Agentschap Zorg en Gezondheid dat ze iedereen (personeel, bewoners…) bij één van hun getroffen woonzorgcentra de volgende dag testen op COVID-19.
Rol van onze DPO: Het screenen van een toestemmingsformulier. Hiermee zou iedereen toestemming geven aan de arbeidsgeneesheer om zijn of haar testresultaat door te geven aan hun werkgever Zorg Leuven. Het gaat hierbij enkel om het testresultaat op zich: positief of negatief. Dit is belangrijk om de verdere verspreiding tegen te gaan en om medewerkers en bewoners een veilige werk- en leefomgeving te kunnen bieden.
Advies van onze DPO: Het wordt duidelijk dat er nood is aan een globale aanpak om over alle resultaten te beschikken. Daarom adviseren we om met een transparante toelichtingsfiche te werken. Aanvullend brengen we ook de wenselijke gegevensverwerkingen in kaart aan de hand van een ‘beslissingsboom’, waarbij naargelang de concrete situatie andere afspraken gelden.
Zaterdag 11 april
Situatie: De arbeidsgeneesheer wil op basis van de testresultaten een medisch advies schrijven dat zo snel mogelijk aan werkgever en werknemer moet worden bezorgd. Omdat het onduidelijk is of alle medewerkers van Zorg Leuven hun professioneel e-mailadres gebruiken, krijgt onze DPO de vraag of hiervoor privé-mailadressen kunnen worden gebruikt.
Rol van onze DPO: onze DPO toetst dit aan de relevante regelgeving en richtlijnen.
Advies van onze DPO: een positief advies, mits de verduidelijking dat deze mailadressen éénmalig worden gebruikt omwille van de uitzonderlijke situatie en het grote belang voor de eigen gezondheid. Bijkomend kunnen ook de professionele mailadressen gebruikt worden om iedereen te informeren.
Vrijdag 17 april
Situatie: Intake Cel Thuiszorg wil zekerheid dat de persoon die een aanvraag doet voor thuiszorg (en zijn/haar huisgenoten) geen (vermoedelijke) besmetting hebben met COVID-19.
Rol van onze DPO: onze DPO gaat na of Intake Cel Thuiszorg hiertoe al dan niet met toestemming, de betrokken huisarts mag consulteren.
Advies van onze DPO: In deze situatie kan een arts worden gecontacteerd, aangezien volgens de GDPR de verwerking van gezondheidsgegevens toestaat indien dit noodzakelijk is om redenen van algemeen belang op het gebied van volksgezondheid. Het wettelijk kader waarbinnen een huis- of bedrijfsarts altijd werkt, blijft echter leidend.
Maandag 20 april
Situatie: Bij de medewerkers van een tweede woonzorgcentrum van Zorg Leuven worden COVID-19-testen afgenomen. Zorg Leuven wou op het document van de testresultaten een bepaling kunnen opnemen omtrent het doorgeven van contactgegevens aan de arbeidsgeneeskundige dienst. Daarom wilde zij als werkgever duidelijkheid over de mogelijkheid om in eenzelfde document enerzijds een mededeling te doen en anderzijds een toelating te vragen. Kortom: kon dit in één document of werd dit best opgesplitst in twee documenten?
De arbeidsgeneeskundige dienst IDEWE bleef betwijfelen of de testresultaten konden worden meegedeeld. Aangezien medewerkers met een positief testresultaat enkel mogen tewerkgesteld worden op een COVID-19-afdeling, dienen ze wel een advies te schrijven over de tewerkstelling van de betrokken medewerker en zijn werkgevers onrechtstreeks toch op de hoogte van de testresultaten. Dit is ook noodzakelijk om de arbeidsorganisatie te kunnen doen conform de richtlijnen.
Advies van onze DPO: Onze DPO boog zich over deze vragen en bleef in het licht van de COVID-19-crisis bij het advies dat toestemming vragen niet nodig was en dat het volstond om toelichting te verschaffen met betrekking tot het gebruik van het mailadres en het resultaat. Dit kon perfect in éénzelfde document.
Onze DPO’s deelden de mening van IDEWE m.b.t. het meedelen van de testresultaten: houd het op een advies tewerkstelling en niet het doorkrijgen van testresultaten want dit kan verwijzen naar medische gegevens. Zorg Leuven wordt immers eveneens op de hoogte gesteld van wie positief testte omdat zij als werkgever de medewerker in kwestie alleen nog mogen tewerkgestellen op een COVID-19-positieve afdeling. Dit gebeurt via het Formulier Gezondheidsbeoordeling dat bij elk onderzoek ook bezorgd wordt aan medewerker en werkgever. Ook dit kon zo omschreven worden in het toelichtingsdocument. Aanvullend werd nog aangewezen om erbij in te zetten dat bij vragen omtrent eigen privacy en gegevensbescherming er naar privacy@zorgleuven.be kan gemaild worden. Het document werd aangepast volgens dit advies, weliswaar als aanzet.
Gelukkig lijkt intussen zowel de uitbraak van de coronacrisis zelf als de maatregelen er rond onder controle te zijn. De voorbije weken en maanden zijn heel wat onduidelijkheden weggewerkt en richtlijnen verfijnd, waardoor zowel werknemer als werkgever beter weet wat hun rechten en plichten zijn en iedereen beter voorbereid is bij een mogelijk tweede uitbraak!