Privacy zieke werknemer: nieuwe regels

Privacy zieke werknemer: wat mag je wel maar vooral niet vragen, registreren of doorspelen aan een derde partij bij een zieke werknemer? De regels zijn kort geleden aangescherpt, maar nog lang niet bij iedereen bekend.

Hieronder tref je een samenvatting aan van het 40 pagina’s tellende rapport beleidsregels ‘De zieke werknemer’.

Privacy zieke werknemer

Het sollicitatiegesprek

​Je mag als mogelijk toekomstig werkgever geen vragen stellen over de gezondheid van een sollicitant of zijn ziekteverzuim in het verleden.

De aanstellingskeuring

Je mag alleen onder strikte voorwaarden nog een aanstellingskeuring laten uitvoeren. Dit kan bijvoorbeeld alleen als de functie bijzondere eisen stelt aan de medische geschiktheid van de sollicitant.

​Tijdens de keuring mogen alleen aspecten onderzocht worden die noodzakelijk zijn voor de vervulling van de bijzondere functie-eisen. De sollicitant moet toestemming geven aan de bedrijfsarts om de uitslag van de keuring door te geven aan de potentiële werkgever. De bedrijfsarts mag alleen in termen van ‘geschikt’, ‘ongeschikt’ of ‘geschikt onder voorwaarden’ rapporteren.

Het doelgroepregister​

Je kunt als werkgever informatie opvragen uit het doelgroepregister bij het UWV om te kunnen voldoen aan de Wet banenafspraak en quotum arbeidsbeperkten. Hiervoor heb je echter het burgerservicenummer (BSN-nummer) van de sollicitant nodig. Het UWV verstrekt géén informatie aan de werkgever over de grondslag van opname in het register.

De ziekmelding: privacy zieke werknemer verder beschermt

​Je mag bij de ziekmelding de volgende gegevens over zijn gezondheid vragen en registreren:

 • het telefoonnummer en (verpleeg)adres;
 • de vermoedelijke duur van het verzuim;
 • de lopende afspraken en werkzaamheden;
 • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
 • of de ziekte verband houdt met een arbeidsongeval;
 • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

Je mag in principe verder geen andere gegevens vragen en verwerken, bijvoorbeeld over de aard en de oorzaak van de ziekmelding. Dit mag ook niet met (nadrukkelijke) toestemming van de werknemer. De werknemer kan zich door de gezagsverhouding immers ‘gedwongen’ voelen toestemming te verlenen.

Je mag de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte alleen registreren wanneer hij een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen. Dit kan bijvoorbeeld bij epilepsie of suikerziekte het geval zijn.

​Wel mag je als werkgever aan de zieke werknemer gegevens vragen die noodzakelijk zijn om te kunnen beoordelen hoe het verder moet met hun werkzaamheden. Bijvoorbeeld wanneer een werknemer weer verwacht op het werk te zijn en of er nog lopende afspraken zijn waarmee iets moet gebeuren.

​De bedrijfsarts/arbodienst; minder informatie door privacy zieke werknemer

​Bij de ziekteverzuimbegeleiding mag je alleen die informatie verkrijgen van de bedrijfsarts/arbodienst om een beslissing te nemen over loondoorbetaling, verzuimbegeleiding en re-integratie. Je kan dan op basis van het advies van de bedrijfsarts/arbodienst samen met de werknemer bekijken wat voor werkzaamheden hij (nog) wel kan doen.

De bedrijfsarts/arbodienst mag de volgende gegevens over de gezondheid van een zieke werknemer aan de werkgever verstrekken:

 • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
 • de verwachte duur van het verzuim;
 • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
 • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
 • De bedrijfsarts/arbodienst moet zeer terughoudend omgaan met het verstrekken van gegevens over de gezondheid van de zieke werknemer aan de werkgever op grond van toestemming van de werknemer.

  De bedrijfsarts/arbodienst is wettelijk verplicht om op verzoek van het UWV gegevens van de zieke werknemer te verstrekken die noodzakelijk zijn voor de taakuitvoering van het UWV.

  ​Verder kan de zieke werknemer tijdens de periode van ziekteverzuim te maken krijgen met medewerkers die bepaalde taken uitvoeren voor verzuimbegeleiding/re-integratie. De bedrijfsarts draagt zijn medische taken voor de verzuimbegeleiding over aan deze medewerker. Hij mag in dat geval over gegevens over de gezondheid van de zieke werknemer beschikken die voor de uitoefening van zijn taken strikt noodzakelijk zijn.

  De werkgever​: wees voorzichtig met privacy zieke werknemer

  ​De gegevens die je als werkgever mag verwerken, naast de gegevens van de ziekmelding, zijn de gegevens die de bedrijfsarts/arbodienst aan hem heeft verstrekt over:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

  ​Re-integratiebedrijven

  Een re-integratiebedrijf mag alleen medische gegevens verwerken als dit noodzakelijk is om de door de werkgever aan dit bedrijf opgedragen taak uit te voeren voor de begeleiding en re-integratie van de zieke werknemer.

  De verwerking van medische gegevens moet plaatsvinden door iemand die in staat is om de gegevens te beoordelen en op basis hiervan te adviseren over de re-integratie.

  Het re-integratiebedrijf is verplicht om bepaalde informatie aan het UWV te verstrekken om subsidieverstrekking op grond van de WIA mogelijk te maken.

  UWV

  Het UWV mag informatie verstrekken aan een werkgever, arbodienst/bedrijfsarts en re-integratiebedrijf wanneer dit nodig is voor de uitoefening van hun taken zoals omschreven in de wet.

  Verzuimverzekeraars

  ​Voor claimbeoordeling mogen verzuimverzekeraars de volgende gegevens (over de gezondheid) van een werkgever ontvangen:

  • NAW-gegevens van de zieke en/of arbeidsongeschikte werknemer;
  • loongegevens van de zieke en/of arbeidsongeschikte werknemer;
  • datum eerste verzuimdag;
  • datum van (gedeeltelijk) herstel;
  • (vermoedelijke) duur van het verzuim;
  • arbeidsongeschiktheidspercentage of de door de werkgever vastgestelde loonwaarde;
  • percentage aantal uren per dag of per week dat de werknemer eigen of passend werk kan doen, met vermelding van de aanvangsdatum (opbouwschema);
  • of er al dan niet enige vorm van schadeloosstelling is ontvangen voor de zieke werknemer (vangnetsituatie of regres);
  • of sprake is van loonopschorting of loonstopzetting;
  • of en wanneer een interventie is ingezet;
  • of een plan van aanpak is opgesteld;
  • of de activiteiten uit het plan van aanpak (tijdig) worden uitgevoerd;
  • tijdigheid van de inspanningen voor re-integratie.

  Het re-integratietraject

  Een werkgever is verplicht zo tijdig mogelijk die maatregelen te treffen die nodig zijn om een zieke werknemer in staat te stellen zijn eigen of ander passend werk te doen.

  Hierbij worden de volgende stappen gevolgd:

  Probleemanalyse

  ​De bedrijfsarts/arbodienst stelt een probleemanalyse op waarin deze onder andere de aard van de klachten, de beperkingen en de omstandigheden van de zieke werknemer beschrijft. De bedrijfsarts/arbodienst informeert jou over de functionele beperkingen van de werknemer en de mogelijkheden die deze nog wél heeft en wat die betekenen voor het soort werk dat de werknemer nog kan doen.

  Plan van aanpak

  In het plan van aanpak, dat je samen met de werknemer opstelt, mag je alleen die gegevens over de gezondheid opschrijven die voor het opstellen van het plan van aanpak noodzakelijk zijn, zoals de door de bedrijfsarts vastgestelde beperkingen en mogelijkheden van de werknemer en wat deze betekenen voor het soort werk dat hij kan doen.

  Het re-integratiedossier en het re-integratieverslag

  ​Je bent verplicht om het ziekteverzuim en de re-integratieactiviteiten bij te houden in het re-integratiedossier. Aan de hand van het re-integratiedossier wordt een re-integratieverslag opgesteld.

  In overleg met de werknemer stel je het eerste deel van het re-integratieverslag op en verstrekt je een afschrift aan de werknemer. In dit verslag mogen alleen de medische gegevens staan die je als werkgever mag verwerken. De bedrijfsarts stelt het tweede, medische deel op en verstrekt dit rechtstreeks aan de zieke werknemer. Dit verslag mag je niet inzien.

  Verzuimsysteem

  Een verzuimsysteem dient voor de privacy zieke werknemer minstens te voldoen aan de volgende concrete beveiligingsvereisten, die voortvloeien uit artikel 13 Wbp:

  • als het systeem wordt ontsloten via internet, moet toegang tot het systeem worden verkregen door ten minste twee factorauthenticatie. Dit geldt voor de gebruikers die toegang hebben tot het systeem;
  • beveiligingsrisico’s moeten periodiek in kaart worden gebracht, bijvoorbeeld met penetratietesten en/of securityscans.

  Bewaartermijnen privacy zieke werknemer

  Op basis van de Wbp mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld.​

  De werkgever mag administratieve verzuimgegevens tot maximaal twee jaar na afloop van de arbeidsrelatie bewaren (hoofdstuk 6.1), tenzij de werkgever eigenrisicodrager Ziektewet is. Dan moet de werkgever de gegevens over de ziekmelding vijf jaar bewaren en moet de bedrijfsarts deze tien jaar bewaren.

  Voor eigenrisicodragerschap WGA mogen de gegevens voor de duur van het WGA-traject bewaard blijven (tien jaar). De bedrijfsarts mag aanstellingskeuringsdossiers maximaal zes maanden bewaren.

  Wat zijn de gevolgen als je je niet houdt aan deze wetgeving?

  Je mag bijvoorbeeld niet vragen naar de aard en oorzaak van het ziekteverzuim van je werknemer. Je mag dit ook niet vastleggen in een systeem. Als het AP (Autoriteit Persoonsgegevens) constateert dat er sprake is van een structurele overtreding van de wet, dan zal de AP het betreffende bedrijf op de vingers tikken. Het is nog niet bekend of namen van bedrijven openbaar worden gemaakt en of er sprake is van een eventuele boete.

  Meer informatie privacy zieke werknemer?

  Bron privacy zieke werknemer

  Autoriteit Persoonsgegevens