maandag 1 juli 2024

Sinds de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 in werking is getreden zijn er veel vragen over de privacy bij een medewerkersonderzoek.

Mag een medewerkersonderzoek nog wel?

Zo ook veel van de organisaties waar wij een medewerkersonderzoek uitvoeren met de WerkVermogensMonitor® (WVM, onze digitale vragenlijst die ingaat op werkvermogen, leefstijl, bevlogenheid, werkdruk, mentale belasting en fysieke klachten, en op eventueel door de opdrachtgever bepaalde thema’s welke van belang zijn binnen de organisatie.)

Op zich logisch dat er vragen zijn, want de AVG is er niet voor niets en de boetes voor datalekken zijn niet mis. Echter, het lijkt alsof hierdoor een soort van AVG-angst is ontstaan. Lees meer hierover in de blog van Duco Molenaar “De AVG-angst

Om je te helpen van deze AVG-angst af te komen, zetten we de meest gestelde vragen (mét antwoord) voor je op een rij, en zelfs ook nog een bronvermelding erbij waar nodig.

Zodat jij met een gerust hart aan de slag kan met een medewerkersonderzoek, wetende dat je aan alle voorwaarden voldoet, en je de privacy-vragen van je medewerkers of OR ook kunt beantwoorden.

1. Is een medewerkersonderzoek überhaupt nog wel mogelijk?

De belangrijkste vraag is natuurlijk of het überhaupt nog wel kan, je stelt met een medewerkersonderzoek immers privacygevoelige vragen, oftewel je behandelt ‘bijzondere persoonsgegevens’.

Antwoord: Ja, een medewerkersonderzoek is wel degelijk mogelijk én uitvoerbaar onder de AVG

Verdere uitleg: In de AVG staat dat de verwerking van bijzondere persoonsgegevens, zoals gezondheid, in principe verboden is. Maar meteen daarna staat vermeld dat er 10 uitzonderingen zijn waarbij dit wel mogelijk is.

Een medewerkersonderzoek (zoals Preventned dat met de WVM uitvoert) valt onder diverse van deze uitzonderingen:

  1. “De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.”
    Deze uitzondering geldt bijvoorbeeld wanneer een bedrijf verplicht is om een PMO aan te bieden aan zijn medewerkers. Of wanneer een organisatie een onderzoek (of onze WerkVermogensMonitor®) wilt inzetten om uitval te voorkomen en het werkvermogen te versterken.
  2. “De bijzondere persoonsgegevens die worden verwerkt, hebben de betrokkenen zelf doelbewust openbaar gemaakt.”
    Voordat een deelnemer (oftewel, een medewerker van onze klant) de WVM invult wordt gevraagd of de deelnemer akkoord gaat met de voorwaarden en privacyverklaring van Preventned. Hierin wordt precies uitgelegd wat Preventned met de gegevens doet en waarom, hoelang we ze bewaren, wie er al dan niet inzage in heeft en ook hoe zij hun privacy rechten kunnen uitvoeren (zoals bijvoorbeeld het intrekken van de toestemming). De deelnemer (betrokkene) deelt dan doelbewust zelf deze gegevens.

2. Is de dienstverlening van Preventned AVG-compliant?

Antwoord: Ja, de werkwijze en diensten van Preventned zijn AVG-compliant. Wil je meer weten over wat deze voorwaarden precies inhouden? Lees verder of op de site van de KVK waar dit duidelijk staat uitgelegd.

Verdere uitleg: Om als gegevensverwerker AVG-compliant te zijn, moet je voldoen aan 9 goed te toetsen voorwaarden. En dat doen wij.

Want Preventned heeft:

  1. een goede reden om persoonsgegevens te verwerken (zie vraag 1);
  2. een Privacy-Officer aangesteld;
  3. een jaarlijkse update van onze DPIA ;
  4. onze methodes ingesteld op de principes van privacy by design/default;
  5. een verwerkingsregister aangelegd;
  6. de juiste maatregelen genomen om persoonsgegevens te beveiligen;
  7. een uitstekende verwerkersovereenkomst waarin de methodes, beveiliging en privacy gewaarborgd wordt;
  8. een heldere en leesbare privacyverklaring waarmee wij aan de informatieplicht voldoen;
  9. alles in huis wanneer deelnemers hun privacyrechten willen uitvoeren.

Daarnaast heeft Preventned ook diverse certificaten om aan te tonen dat wij volgens de wet en regelgeving handelen specifiek met betrekking tot gegevensbescherming. Namelijk de ISO 27001 en ISO 9001.

Dit is terug te lezen bij ‘kwaliteit en databeveiliging

3. Moet ik mijn medewerkers toestemming vragen voor het uitvoeren van een medewerkersonderzoek?

Antwoord: Nee, je hebt geen aparte toestemming nodig van je medewerkers om ze uit te nodigen deel te nemen aan een medewerkers onderzoek. Wel is het van belang om voorafgaand aan het onderzoek duidelijk te maken wat de bedoeling is van het onderzoek.

Daarnaast is het wel mógelijk dat de organisatie toestemming vraagt aan de medewerkers om hun persoonsgegevens te verwerken voor dit doel. In dat geval moet de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig gegeven worden.

Verdere uitleg: In de AVG staat dat de verwerking van persoonsgegevens mag, mits de verwerking ervan overeenkomt met de doelstelling waarvoor de persoonsgegevens zijn verzameld. Een organisatie kan een dergelijk onderzoek onder de grondslag ‘gerechtvaardigd belang’ uit laten voeren. Een voorbeeld van dit gerechtvaardigd belang ligt in het verbeteren van de werkomstandigheden en het welzijn van medewerkers.

Iets duidelijker gezegd; een medewerkersonderzoek mag, mits je de betreffende medewerkers goed informeert over welke gegevens je verzamelt en wat je ermee gaat doen.

Wanneer een medewerker is uitgenodigd, wordt door Preventned vervolgens eerst nog gecheckt of de deelnemer akkoord is met de privacyverklaring en voorwaarden die Preventned hanteert, wat ook geldt als een toestemmingsverklaring voor het verwerken van de persoonlijke gegevens die de deelnemer zelf verstrekt.

4. Wanneer moet ik de OR betrekken als ik met Preventned wil gaan werken?

Antwoord: Voor de wet is het van belang om de OR er bij te betrekken tijdens de opzet-fase opdat zij hun instemmingsrecht kunnen uitvoeren (mits dit niet door de CAO is ingeperkt). Voor het succes van het traject is het minstens zo belangrijk om de OR er direct bij te betrekken en mee te nemen in de besluitvoering.

Verdere uitleg: Voor een succesvol traject is draagvlak nodig. En een OR is een belangrijke vertegenwoordiging van je organisatie. Alleen al hierom is het verstandig om de OR er zo vroeg mogelijk bij te betrekken.

Daarnaast heeft de OR een instemmingsrecht als het gaat om “een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen” ( art. 27 lid 1 WOR).

De OR moet dus akkoord zijn met het uitvoeren van een medewerkersonderzoek voordat het wordt uitgevoerd.

Maar….
In artikel 32 lid 3 staat dat een CAO of publiekrechtellijk orgaan het instemmingsrecht kan beperken. In dat geval heb je als organisatie wat meer vrijheden op dit onderdeel.

NB: Een traject bij Preventned begint met de zogenoemde ‘Scope-fase’. In deze fase worden de visie en de doelstellingen van het onderzoek duidelijk. Juist om duidelijkheid, commitment en draagvlak te creëren bij alle betrokken partijen, waaronder de OR.

5. Mag ik contactgegevens van mijn medewerkers verstrekken aan Preventned?

Antwoord: Ja, omdat wij onze dienstverlening niet kunnen uitvoeren zonder deze gegevens is het toegestaan om deze gegevens te delen, aangezien het uitvoeren van het onderzoek onder een gerechtvaardigd belang van de opdrachtgever valt.

Verdere uitleg: In de AVG staat het volgende: “De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld”.

De contactgegevens van je medewerkers zijn o.a. verzameld om bedrijfsbeleid uit te kunnen voeren. Zoals heel simpel om post te kunnen bezorgen met informatie over de organisatie. Een uitnodiging voor een vrijwillig medewerkersonderzoek valt hier ook onder. Ook kan je als organisatie aantonen dat een dergelijk onderzoek onder de grondslag ‘gerechtvaardigd belang’ valt. Een voorbeeld van dit gerechtvaardigd belang ligt in het verbeteren van de werkomstandigheden en het welzijn van medewerkers.

Om het medewerkersonderzoek uit te kunnen voeren moet Preventned de deelnemers uitnodigen. Om de privacy te kunnen waarborgen van de resultaten wordt er geen onderscheid gemaakt en worden alle medewerkers uitgenodigd. Om de uitnodigingen te kunnen verzenden (via email of post) hebben wij de contactgegevens nodig. In het geval dat na analyse duidelijk wordt dat bepaalde medewerkers gebaat zijn bij verdere begeleiding van Preventned is het belangrijk dat wij hen hiervoor telefonisch kunnen benaderen.
Om ‘dit anoniem voor de werkgever’ te kunnen doen, vragen wij vooraf van iedereen de telefonische contactgegevens om geen indicatie te hoeven geven om wie het gaat.

NB: De contactgegevens worden alleen voor het huidige traject gebruikt en niet voor andere doeleinden. Na afloop van het traject worden deze gegevens verwijderd.

6. Worden mijn resultaten besproken met mijn werkgever?

Antwoord: Nee je persoonlijke resultaten worden niet gedeeld met de werkgever.

Verdere uitleg: De individuele uitkomsten van deelnemers worden absoluut niet besproken met de werkgever.
Na het onderzoek worden alle gegevens samengevoegd en onderzocht. Hieruit volgt een anonieme groepsrapportage met adviezen waarmee de werkgever de organisatie kan verbeteren.

Deze anonimiteit garanderen wij door in de verschillende uitsplitsingen alleen de resultaten weer te geven van de groepen die 10 of meer deelnemers hebben.

7. Is een verwerkersovereenkomst verplicht?

Antwoord: Nee, een verwerkersovereenkomst is niet verplicht bij een onderzoek door Preventned.

Verdere uitleg: Als je Preventned of een andere partij inschakelt om persoonsgegevens te verwerken ben je verplicht om een verwerkersovereenkomst af te sluiten met de verwerker.

In de verwerkersovereenkomst staat o.a. welke juridische positie we ten opzichte van elkaar hebben (Verantwoordelijke of Verwerker), dat er persoonsgegevens worden verwerkt, op welke manier dat gaat, dat er maatregelen zijn genomen ter bescherming van deze gegevens en hoe te handelen als het toch mis gaat.

In het geval van een medewerkersonderzoek door Preventned is Preventned op het ene onderdeel de verwerker en op andere punten de verwerkingsverantwoordelijke, evenals onze klanten op bepaalde punten de verwerkingsverantwoordelijke is.

In deze situatie (als een partij zich blijkt te kwalificeren als Verwerker ten aanzien van het ene stuk werk en als Verwerkingsverantwoordelijke ten aanzien van het andere stuk werk) is Preventned Verwerkingsverantwoordelijke. Er hoeft dan geen VWO te worden afgesloten.

Maar….

Omdat het wel van belang is met elkaar af te spreken hoe we omgaan met de verantwoordelijkheid van de gegevensverwerking, de beveiliging en werkwijze, gebruiken wij bij onze traject een GegevensUitwisselingOvereenkomst (GUO).

Hierin staat o.a. in beschreven welke verwerkingen we gaan uitvoeren, hoe en waarom, en hoe we de beveiliging ervan garanderen.

8. Hoe en hoe lang slaan jullie de persoonsgegevens op?

Antwoord: Contactgegevens worden maximaal 3 jaar bewaard in het kader van de impactmeting. De persoonlijke data behaald uit de WVM (gepseudonimiseerde data) worden 10 jaar bewaard.

Verdere uitleg: De AVG geeft aan dat er strikter gekeken moet worden naar het nut en noodzaak van het opslaan en behouden van persoonsgegevens. Standaard geldt dat zo lang het noodzakelijk is voor het doeleinde, persoonsgegevens mogen worden opgeslagen en gebruikt.

De deelnemerslijsten van onze opdrachtgevers waarin contactgegevens van deelnemers zijn vermeld hebben een maximale bewaartermijn van 3 jaar. Zodra deze bewaartermijn is verstreken worden de persoonsgegevens binnen een jaar uit het bestand verwijderd en vernietigd. Deze 3 jaar wordt alleen behaald wanneer dat strikt noodzakelijk is, zoals bij impactmeting, welke over het algemeen plaatsvindt binnen een periode van 3 jaar. Een organisatie kan aangeven dat dit niet wenselijk is. In dit geval verwijderen wij de data na afloop van het traject.

De gegevens die deelnemers invullen via de WVM zijn ondergebracht bij hostingprovider True uit Amsterdam. True is door Lloyd’s Register Quality Assurance (LRQA) gecertificeerd en True bezit de benodigde certificaten, zoals ISO27001 (certificaatnummer: IS 708611), ISO9001 en NEN7510.

De genoemde gegevens zijn gepseudonimiseerd en niet terug te herleiden door derden naar de betreffende deelnemers.

Deze niet te herleiden data wordt ook gebruikt voor academisch onderzoek (Erasmus MC) waardoor de bewaartermijn verplicht 10 jaar is. De betreffende data wordt na afloop van deze bewaartermijn binnen een jaar verwijderd door de Privacy Officer van Preventned.

9. Hoe garanderen jullie de anonimiteit van mijn (bijzondere) persoonsgegevens?

Antwoord: De persoonsgegevens worden gepseudonimiseerd en er wordt alleen op geaggregeerd niveau teruggekoppeld.

Verdere uitleg: De bijzondere persoonsgegevens welke verzameld worden met de WerkVermogensMonitor® worden met behulp van een unieke code gekoppeld aan een persoon. Deze koppeling kan alleen handmatig gedaan worden door de betreffende medewerkers van Preventned. Deze handeling wordt pseudonimisering genoemd.

De uitkomsten van de onderzoeken worden alleen op geaggregeerd niveau (niet individueel herleidbaar en anoniem) teruggekoppeld naar de opdrachtgever.

Deze anonimiteit garanderen wij bijvoorbeeld door in de verschillende uitsplitsingen alleen de resultaten weer te geven van de groepen die 10 of meer deelnemers hebben.

10. Wie heeft inzage in de gegevens?

Antwoord: Medewerkers van Preventned, en in speciale gevallen ook de betreffende arbodienst of bedrijfsartsen.

Verdere uitleg: Toegang tot de gegevens hebben alleen Preventned-medewerkers die direct dan wel indirect betrokken zijn bij de uitvoering van de contractueel overeengekomen dienstverlening van Preventned aan de betreffende klant. Onze medewerkers hebben alleen toegang tot die delen van de gegevens, waarover zij voor een goede taakuitoefening moeten beschikken.

Professionals van Preventned en door hen gesuperviseerde medewerkers, welke direct bij de behandeling of begeleiding betrokken zijn, hebben toegang tot de gegevens. Denk hierbij aan de adviseurs die de Health Check uitvoeren of met wie een deelnemer een Individueel Verdiepend Gesprek heeft.

In speciale gevallen hebben derden ook inzage in de gegevens, maar alleen als daarvoor ook de nodige geheimhoudingsdocumenten zijn getekend. Dit betreft dan bijvoorbeeld een bedrijfsarts of arbodienst. Wanneer dit het geval is laat de werkgever dit vooraf weten aan de deelnemers.

Hiermee zijn de meest gestelde vragen die wij krijgen beantwoord. Mocht je toch nog een vraag hebben die hier niet wordt bij staat, stuur mij dan een mail of bel mij gerust.

Zonder AVG-Angst een medewerkersonderzoek uitvoeren?

Dat kan dus prima, als je maar goed voorbereidt bent. Wij helpen je daar bij.  Wil je graag eens sparren over de mogelijkheden binnen jouw organisatie voor een medewerkersonderzoek? Dan kan je bij de onderstaande knop een gratis en vrijblijvend adviesgesprek inplannen.


Eveline Berende organiseert bij Preventned de interne processen. Zij is creatief in haar werk en denken en heeft bij van alles gelijk een beeld. Haar blogs gaan over wat haar persoonlijk raakt rondom haar eigen inzetbaarheid en waar mogelijk ondersteunt door cijfers uit onze database. Herkenbaar, persoonlijk en informatief tegelijk.