Wij hebben een vraagstuk binnen onze organisatie inzake de opslag van vertrouwelijke stukken van onze psychologen en ingehuurde bedrijfsartsen. We hadden georganiseerd dat zowel de psychologen, bij ons indienst, als de bedrijfsarts/bedrijfsverpleegkundigen binnen ons eigen informatiesysteem hun informatie invoeren, bewerken en opslaan. Door de invoering van de AVG hebben we dit proces nog eens onderzocht en gevraagd aan de AP hoe hier mee om te gaan. Deze beschrijft het volgende:

De Autoriteit Persoonsgegevens wordt regelmatig gevraagd wat wel en niet mag als het gaat om zieke medewerkers. Mogen werkgevers medische dossiers van hun personeel opslaan?

Het antwoord is net zo kort als duidelijk: nee. De autoriteit heeft hierover richtlijnen op haar website gezet: “Een werkgever mag géén gegevens over de aard en oorzaak van de ziekte van zijn zieke werknemers verwerken. Daarom mag een bedrijfsarts of arbodienst de medische dossiers van werknemers niet opslaan in een verzuimsysteem dat de werkgever zelf gebruikt én beheert.”

Bewerkersovereenkomst
Wat mag dan wel? Werkgevers mogen een bedrijfsarts of arbodienst vragen om de medische dossiers van hun zieke werknemers te bewaren in een verzuimsysteem naar keuze. Strikte voorwaarde is echter dat de bedrijfsarts of arbodienst een bewerkersovereenkomst afsluit met de beheerder van het systeem.

Do’s en dont’s

Deze overeenkomst moet in elk geval vermelden dat alleen de bedrijfsarts/arbodienst toegang krijgt tot de medische gegevens van het personeel. Om toegang tot een medisch dossier te krijgen, dient de bedrijfsarts/arbodienst zijn identiteit te bewijzen met meerfactorauthenticatie. Meer informatie over de do’s en dont’s met betrekking tot medische gegevens zijn te vinden op de website van de Autoriteit Persoonsgegevens.

Bij mij roept dit de volgende vragen op:

Hoe deel je dan informatie met elkaar?

Hoe organiseer je het archiefbeheer op deze informatie?

Waarom voldoet wel een bewerkersovereenkomst met een externe beheerder en niet met een interne beheerder?

Zijn er gemeenschappelijke regelingen die dit goed op orde hebben?

Welke informatiesystemen zijn er beschikbaar op de markt?

Weergaven: 414

Hierop reageren

Berichten in deze discussie

Toevallig heeft de AP net richtlijnen hierover gepubliceerd in verband met de verplichte DPIA.

zie punt 7

http://www.breednetwerk.nl/profiles/blogs/de-autoriteit-persoonsgeg...

Hallo Yvonne,

Bedankt voor de verwijzing.

Echter, wordt mij dan nog niet duidelijk wat waar vastgelegd dient te worden.

Moet het dus altijd een externe beheerd informatiesysteem zijn? Met daaronder verwerkersovereenkomsten tussen bedrijfsartsen en de externe beheerder. Zoals ik het lees op de website van AP. do’s en dont’s met betrekking tot medische gegevens.

Die DPIA, een soort risicoanalyse, moet je houden om te kunnen beoordelen of je nu wel of geen verwerkersovereenkomst moet sluiten. het lijkt mij dat je dat wel moet doen. Al sinds een tijdje heten bewerkersovereenkomsten verwerkersovereenkomsten, zie ook website IBD.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-p...

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden