Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    Datalek
    Een datalek is een inbreuk die plaatsvindt op de beveiliging van persoonsgegevens binnen een organisatie. Hierbij is bijvoorbeeld sprake van ongeoorloofde toegang, vernietiging of verandering van persoonsgegevens.

    Boete voor CP&A om privacyschending zieke werknemers

    De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de overtredingen inmiddels beëindigd.

    Autoriteit Persoonsgegevens
    19 mei 2021

    Nieuws-persbericht

    Nieuws-persbericht
     

    Gevoelige informatie

    De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Het is niet noodzakelijk dat een werkgever deze informatie verwerkt voor de re-integratie van werknemers.

    Bijzondere persoonsgegevens

    Gezondheidsgegevens zijn zogeheten bijzondere persoonsgegevens, die extra beschermd moeten worden. Ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden. Dat geldt ook voor werknemers. Maar een werknemer kan zich verplicht voelen om die informatie wel aan zijn werkgever te geven. Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op een werknemer.

    Aard en oorzaak van ziekte

    De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts. In uitzonderlijke situaties mag een werkgever de aard en de oorzaak van de ziekte van een werknemer registeren. Bijvoorbeeld wanneer iemand epilepsie heeft en collega’s hiervan op de hoogte moeten zijn, zodat ze weten wat ze moeten doen als diegene een aanval krijgt.

    Verzuimregistratie stond online

    De verzuimregistratie van CP&A was online toegankelijk, zonder enige vorm van authenticatie. Gegevens over iemands ziekteverzuim kunnen iets zeggen over zijn gezondheid. Voor de beveiliging van gezondheidsgegevens gelden daarom extra strenge eisen. Alleen bevoegde medewerkers mogen bij deze gegevens. Als een verzuimsysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactorauthenticatie verlopen. Naast het ‘gewone’ inloggen moeten bevoegde medewerkers hun identiteit ook op een andere manier aantonen om toegang te krijgen. Bijvoorbeeld door een token te gebruiken. Inloggen met alleen een gebruikersnaam en wachtwoord is dus niet genoeg.

    Noodzakelijke vragen stellen mag

    Katja Mur, bestuurslid van de AP: "Het is natuurlijk heel begrijpelijk dat een werkgever wil weten of iemand kort of langdurig ziek is. Maar daarvoor hoeft de werkgever zelf geen gezondheidsgegevens te verwerken of op de stoel van de dokter te gaan zitten. De arbodienst of bedrijfsarts mag hem namelijk gewoon informeren over de verwachte duur van de ziekte en de belastbaarheid." Een werkgever mag een zieke medewerker natuurlijk wel een aantal vragen stellen die noodzakelijk zijn om te kunnen bepalen hoe het verder moet met de werkzaamheden van de werknemer.

    Artikel delen

    Reacties

    MEER REACTIES

    Laat een reactie achter

    U moet ingelogd zijn om een reactie te plaatsen.

    KENNISPARTNER

    Rosalie Brand

    Contact

    Cursus: Inzage- en verwijderverzoeken

    In deze cursus wordt eerst kort ingegaan op de verschillende soorten privacyrechten: hoe herken je deze en hoe kun je ze van elkaar onderscheiden. Vervolgens wordt met name dieper ingegaan op inzage- en verwijderverzoeken. Hoe handel je inzage – en verwijderverzoeken goed en zorgvuldig af? Tijdens deze cursus krijg je handvatten geboden voor het efficiënt en compliant beoordelen en afhandelen van privacyverzoeken, met veel voorbeelden uit de praktijk

    Meer informatie

    Grip op privacyrisico’s van de organisatie

    Met deze combinatie van de ‘E-cursus DPIA’ en de twee dagdeel cursussen ‘Inkoop van software’ en ‘Datalekken: voorbereiden, herkennen en reageren’, krijgt u inzicht in de belangrijkste privacy- en beveiligingsrisico’s van organisaties en hoe daarop te anticiperen.

    Bekijk opleiding

    Datalekken: voorbereiden, herkennen en reageren

    De huidige stand van zaken ten aanzien van de meldplicht datalekken wordt behandeld. Wat precies kwalificeert een datalek en welke wettelijke verplichtingen gelden? De aanvullende verplichtingen die volgen uit de beleidsregels en de praktijk rondom het melden van een datalek bij de AP wordt besproken. 

    Bekijk programma

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2024 Berghauser Pont | Website gemaakt door Buro Zero