Eindelijk is er woensdagochtend begonnen met het vaccineren tegen het coronavirus. Omdat de vaccinatie niet wettelijk verplicht is, zullen werkgevers (in de zorg) waarschijnlijk willen weten wie van hun werknemers zijn gevaccineerd. Mag de werkgever op grond van de AVG hierover inzicht krijgen?
Foto: ANP / Robin Lonkhuijsen
Gezondheidsgegevens en AVG
Het gegeven dat een persoon wel of niet gevaccineerd is valt onder de categorie gezondheidsgegevens. Gezondheidsgegevens zijn volgens de Algemene verordening gegevensbescherming (AVG) bijzondere persoonsgegevens en krijgen hierdoor extra bescherming (art. 9 lid 1 AVG). De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij de verwerker hiervan zich kan beroepen op een wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens (art. 9 lid 2 AVG).
Uitdrukkelijke toestemming van de betrokkene is één van de belangrijkste uitzonderingen voor de verwerking van de (bijzondere) persoonsgegevens. Binnen de arbeidsrechtelijke context gaat het verder om de volgende uitzonderingen:
Gezondheidsgegevens mogen worden verwerkt indien dit noodzakelijk is voor:
- de re-integratie of begeleiding van de werknemer in verband met ziekte of arbeidsongeschiktheid;
- een goede uitvoering van wettelijke voorschriften of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van iemands gezondheidstoestand;
- doeleinden van preventieve of arbeidsgeneeskunde of voor de beoordeling van de arbeidsgeschiktheid van de werknemer (zoals het stellen van een medische diagnose).
Verder geldt nog de eis dat deze gezondheidsgegevens alleen mogen worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die gebonden is aan beroepsgeheim of geheimhoudingsplicht.
Verbod werkgever
Op grond van de AVG mag een werkgever daarom niet vragen naar gezondheidsgegevens van haar werknemer(s), dus ook niet of een werknemer gevaccineerd is tegen het coronavirus. Ook wanneer een werknemer uit zichzelf aangeeft of hij/zij wel of niet is gevaccineerd, dan mag de werkgever deze gegevens niet registreren. De werkgever mag het ook niet gebruiken om een oordeel te vormen over de inzetbaarheid van haar werknemer(s). Dat mag alleen de arbodienst of bedrijfsarts.
Toestemming werknemer
Zoals aangegeven zou de werkgever met uitdrukkelijke toestemming van de werknemer de bijzondere persoonsgegevens van de werknemer kunnen verwerken. Maar volgens de Autoriteit Persoonsgegevens is de werknemer in een dergelijke gezagsverhouding per definitie niet in staat om zijn wil vrij te bepalen. Er is derhalve geen juridische grondslag indien de werkgever slechts op basis van toestemming van de werknemer de bijzondere persoonsgegevens gaat verwerken. De werkgever loopt daarmee het risico op een sanctie van de Autoriteit Persoonsgegevens.
Ontsnappingsclausule
De ontsnappingsclausule in de AVG is dat gezondheidsgegevens wel mogen worden gedeeld, als ‘de verwerking ervan noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid’, als bijvoorbeeld de veiligheid in het gedrang komt, aldus Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij van de Universiteit Leiden. Dan moeten wel de rechten en de vrijheid van de betrokkenen goed worden beschermd. Hiervoor moeten twee ministers een deugdelijke uitzonderingsregel formuleren en deze voorleggen aan de Tweede en Eerste Kamer.
Conclusie
Omdat het gegeven of iemand wel of niet is gevaccineerd onder gezondheidsgegevens valt, mag de werkgever op grond van de AVG deze gegevens niet van haar werknemer(s) verwerken. Ook het vragen naar en gebruiken van deze informatie is verboden, zelfs als de werknemer hiervoor uitdrukkelijke toestemming verleent. De Autoriteit Persoonsgegevens is namelijk van mening dat een werknemer in een dergelijke gezagsverhouding per definitie niet in staat is om zijn wil vrij te bepalen.
Meer weten over dit onderwerp? Mr. Rachel Rietveld en mr. Lieke Westland schreven voor OpMaat Arbeidsrecht+ een uitgebreide en actuele Practice Note over het onderwerp ‘Privacy en bescherming van persoonsgegevens op de werkvloer’.