dinsdag 22 februari 2022

Sinds de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 in werking is getreden zijn er veel vragen over de privacy bij een medewerkersonderzoek.

Mag een medewerkersonderzoek nog wel?

Zo ook veel van de organisaties waar wij een medewerkersonderzoek uitvoeren met de WerkVermogensMonitor® (WVM, onze digitale vragenlijst die ingaat op werkvermogen, leefstijl, bevlogenheid, werkdruk, mentale belasting en fysieke klachten, en op eventueel door de opdrachtgever bepaalde thema’s welke van belang zijn binnen de organisatie.)

Op zich logisch dat er vragen zijn, want de AVG is er niet voor niets en de boetes voor datalekken zijn niet mis. Echter, het lijkt alsof hierdoor een soort van AVG-angst is ontstaan. Lees meer hierover in de blog van Duco Molenaar “De AVG-angst

Om je te helpen van deze AVG-angst af te komen, zetten we de meest gestelde vragen (mét antwoord) voor je op een rij, en zelfs ook nog een bronvermelding erbij waar nodig.

Zodat jij met een gerust hart aan de slag kan met een medewerkersonderzoek, wetende dat je aan alle voorwaarden voldoet, en je de privacy-vragen van je medewerkers of OR ook kunt beantwoorden.

1. Is een medewerkersonderzoek überhaupt nog wel mogelijk?

De belangrijkste vraag is natuurlijk of het überhaupt nog wel kan, je stelt met een medewerkersonderzoek immers privacygevoelige vragen, oftewel je behandelt ‘bijzondere persoonsgegevens’.

In de AVG staat dat de verwerking van bijzondere persoonsgegevens, zoals gezondheid, in principe verboden is. Maar meteen daarna staat vermeld dat er 10 uitzonderingen zijn waarbij dit wel mogelijk is.

Een medewerkersonderzoek (zoals Preventned dat met de WVM uitvoert) valt onder diverse van deze uitzonderingen:

  1. “De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.”
    Deze uitzondering geldt bijvoorbeeld wanneer een bedrijf verplicht is om een PMO aan te bieden aan zijn medewerkers. Of wanneer een organisatie een onderzoek (of onze WerkVermogensMonitor®) wilt inzetten om uitval te voorkomen en het werkvermogen te versterken.
  2. “De bijzondere persoonsgegevens die worden verwerkt, hebben de betrokkenen zelf doelbewust openbaar gemaakt.”
    Voordat een deelnemer (oftewel, een medewerker van onze klant) de WVM invult wordt gevraagd of de deelnemer akkoord gaat met de voorwaarden en privacyverklaring van Preventned. Hierin wordt precies uitgelegd wat Preventned met de gegevens doet en waarom, hoelang we ze bewaren, wie er al dan niet inzage in heeft en ook hoe zij hun privacy rechten kunnen uitvoeren (zoals bijvoorbeeld het intrekken van de toestemming). De deelnemer (betrokkene) deelt dan doelbewust zelf deze gegevens.

Antwoord: Ja, een medewerkersonderzoek is wel degelijk mogelijk én uitvoerbaar onder de AVG

2. Is de dienstverlening van Preventned AVG-compliant?

Om als gegevensverwerker AVG-compliant te zijn, moet je voldoen aan 9 goed te toetsen voorwaarden. En dat doen wij.

Want Preventned heeft:

  1. een goede reden om persoonsgegevens te verwerken (zie vraag 1);
  2. een Privacy-Officer aangesteld;
  3. een jaarlijkse update van onze DPIA ;
  4. onze methodes ingesteld op de principes van privacy by design/default;
  5. een verwerkingsregister aangelegd;
  6. de juiste maatregelen genomen om persoonsgegevens te beveiligen;
  7. een uitstekende verwerkersovereenkomst waarin de methodes, beveiliging en privacy gewaarborgd wordt;
  8. een heldere en leesbare privacyverklaring waarmee wij aan de informatieplicht voldoen;
  9. alles in huis wanneer deelnemers hun privacyrechten willen uitvoeren.

Antwoord: Ja, de werkwijze en diensten van Preventned zijn AVG-compliant. Wil je meer weten over wat deze voorwaarden precies inhouden? Kijk dan op de site van de KVK waar dit duidelijk staat uitgelegd.

3. Moet ik mijn medewerkers toestemming vragen voor het uitvoeren van een medewerkersonderzoek?

In de AVG staat dat de verwerking van persoonsgegevens mag, mits de verwerking ervan overeenkomt met de doelstelling waarvoor de persoonsgegevens zijn verzameld.

Iets duidelijker gezegd; een medewerkersonderzoek mag, mits je de betreffende medewerkers goed informeert over welke gegevens je verzamelt en wat je ermee gaat doen.

Wanneer een medewerker is uitgenodigd, wordt door Preventned vervolgens eerst nog gecheckt of de deelnemer akkoord is met de privacyverklaring en voorwaarden die Preventned hanteert, wat ook geldt als een toestemmingsverklaring voor het verwerken van de persoonlijke gegevens die de deelnemer zelf verstrekt.

Antwoord: Nee, je hebt geen aparte toestemming nodig van je medewerkers om ze uit te nodigen deel te nemen aan een medewerkers onderzoek. Wel is het van belang om voorafgaand aan het onderzoek duidelijk te maken wat de bedoeling is van het onderzoek.

4. Wanneer moet ik de OR betrekken als ik met Preventned wil gaan werken?

Voor een succesvol traject is draagvlak nodig. En een OR is een belangrijke vertegenwoordiging van je organisatie. Alleen al hierom is het verstandig om de OR er zo vroeg mogelijk bij te betrekken.

Daarnaast heeft de OR een instemmingsrecht als het gaat om “een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen” ( art. 27 lid 1 WOR).

De OR moet dus akkoord zijn met het uitvoeren van een medewerkersonderzoek voordat het wordt uitgevoerd.

Maar….
In artikel 32 lid 3 staat dat een CAO of publiekrechtellijk orgaan het instemmingsrecht kan beperken. In dat geval heb je als organisatie wat meer vrijheden op dit onderdeel.

Een traject bij Preventned begint met de zogenoemde ‘Scope-fase’. In deze fase worden de visie en de doelstellingen van het onderzoek duidelijk. Juist om duidelijkheid, commitment en draagvlak te creëren bij alle betrokken partijen, waaronder de OR.

Antwoord: Voor de wet is het van belang om de OR er bij te betrekken tijdens de opzet-fase opdat zij hun instemmingsrecht kunnen uitvoeren (mits dit niet door de CAO is ingeperkt). Voor het succes van het traject is het minstens zo belangrijk om de OR er direct bij te betrekken en mee te nemen in de besluitvoering.

5. Mag ik contactgegevens van mijn medewerkers verstrekken aan Preventned?

In de AVG staat het volgende: “De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld”.

De contactgegevens van je medewerkers zijn o.a. verzameld om bedrijfsbeleid uit te kunnen voeren. Zoals heel simpel om post te kunnen bezorgen met informatie over de organisatie. Een uitnodiging voor een vrijwillig medewerkersonderzoek valt hier ook onder.

Om het medewerkersonderzoek uit te kunnen voeren moet Preventned de deelnemers uitnodigen. Om de privacy te kunnen waarborgen van de resultaten wordt er geen onderscheid gemaakt en worden alle medewerkers uitgenodigd. Om de uitnodigingen te kunnen verzenden (via email of post) hebben wij de contactgegevens nodig. In het geval dat na analyse duidelijk wordt dat bepaalde medewerkers gebaat zijn bij verdere begeleiding van Preventned is het belangrijk dat wij hen hiervoor telefonisch kunnen benaderen.
Om ‘dit anoniem voor de werkgever’ te kunnen doen, vragen wij vooraf van iedereen de telefonische contactgegevens om geen indicatie te hoeven geven om wie het gaat.

De contactgegevens worden alleen voor het huidige traject gebruikt en niet voor andere doeleinden. Na afloop van het traject worden deze gegevens verwijderd.

Antwoord: Ja, omdat wij onze dienstverlening niet kunnen uitvoeren zonder deze gegevens is het toegestaan om deze gegevens te delen

6. Worden mijn resultaten besproken met mijn werkgever?

De individuele uitkomsten van deelnemers worden absoluut niet besproken met de werkgever.
Na het onderzoek worden alle gegevens samengevoegd en onderzocht. Hieruit volgt een anonieme groepsrapportage met adviezen waarmee de werkgever de organisatie kan verbeteren.

Deze anonimiteit garanderen wij door in de verschillende uitsplitsingen alleen de resultaten weer te geven van de groepen die 10 of meer deelnemers hebben.

Antwoord: Nee je persoonlijke resultaten worden niet gedeeld met de werkgever.

7. Is een verwerkersovereenkomst verplicht?

Ja, als je Preventned of een andere partij inschakelt om persoonsgegevens te verwerken (en dat is wat je doet als je een medewerkersonderzoek gaat uitvoeren) ben je verplicht om een verwerkersovereenkomst af te sluiten met de verwerker.

In de verwerkersovereenkomst staat o.a. welke juridische positie we ten opzichte van elkaar hebben (Verantwoordelijke of Verwerker), dat er persoonsgegevens worden verwerkt, op welke manier dat gaat, dat er maatregelen zijn genomen ter bescherming van deze gegevens en hoe te handelen als het toch mis gaat.

In dit geval is Preventned de verwerker, en jij als onze klant bent de verwerkingsverantwoordelijke.

Als verantwoordelijke ben jij degene die de verwerkersovereenkomst opstelt. In principe.
Jij als verwerkingsverantwoordelijke bent namelijk degene die de instructies of opdracht geeft tot verwerking.

Wij hebben echter zelf ook een basis-verwerkersovereenkomst opgesteld waarin onze manier van werken, eventuele uitzonderingen en alle punten die verder nog in de overeenkomst horen te staan al omvat. Deze kunnen we dan waar nodig nog aanpassen naar jouw organisatie en eventuele specifieke instructies.

Antwoord: Ja een verwerkersovereenkomst is verplicht

8. Hoe en hoe lang slaan jullie de persoonsgegevens op?

De AVG geeft aan dat er strikter gekeken moet worden naar het nut en noodzaak van het opslaan en behouden van persoonsgegevens. Standaard geldt dat zo lang het noodzakelijk is voor het doeleinde, persoonsgegevens mogen worden opgeslagen en gebruikt.

De deelnemerslijsten van onze opdrachtgevers waarin contactgegevens van deelnemers zijn vermeld hebben een maximale bewaartermijn van 3 jaar. Zodra deze bewaartermijn is verstreken worden de persoonsgegevens binnen een jaar uit het bestand verwijderd en vernietigd. Deze 3 jaar wordt alleen behaald wanneer dat strikt noodzakelijk is, zoals bij impactmeting, welke over het algemeen plaatsvindt binnen een periode van 3 jaar. Een organisatie kan aangeven dat dit niet wenselijk is. In dit geval verwijderen wij de data na afloop van het traject.

De gegevens die deelnemers invullen via de WVM zijn ondergebracht bij hostingprovider True uit Amsterdam. True is door Lloyd’s Register Quality Assurance (LRQA) gecertificeerd en True bezit de benodigde certificaten, zoals ISO27001 (certificaatnummer: IS 708611), ISO9001 en NEN7510.

De genoemde gegevens zijn gepseudonimiseerd en niet terug te herleiden door derden naar de betreffende deelnemers.

Deze niet te herleiden data wordt ook gebruikt voor academisch onderzoek (Erasmus MC) waardoor de bewaartermijn verplicht 10 jaar is. De betreffende data wordt na afloop van deze bewaartermijn binnen een jaar verwijderd door de Privacy Officer van Preventned.

Antwoord: Contactgegevens worden maximaal 3 jaar bewaard in het kader van de impactmeting. De persoonlijke data behaald uit de WVM (gepseudonimiseerde data) worden 10 jaar bewaard.

9. Hoe garanderen jullie de anonimiteit van mijn (bijzondere) persoonsgegevens?

De bijzondere persoonsgegevens welke verzameld worden met de WerkVermogensMonitor® worden met behulp van een unieke code gekoppeld aan een persoon. Deze koppeling kan alleen handmatig gedaan worden door de betreffende medewerkers van Preventned. Deze handeling wordt pseudonimisering genoemd.

De uitkomsten van de onderzoeken worden alleen op geaggregeerd niveau (niet individueel herleidbaar en anoniem) teruggekoppeld naar de opdrachtgever.

Deze anonimiteit garanderen wij bijvoorbeeld door in de verschillende uitsplitsingen alleen de resultaten weer te geven van de groepen die 10 of meer deelnemers hebben.

Antwoord: De persoonsgegevens worden gepseudonimiseerd en er wordt alleen op geaggregeerd niveau teruggekoppeld.

10. Wie heeft inzage in de gegevens?

Toegang tot de gegevens hebben alleen Preventned-medewerkers die direct dan wel indirect betrokken zijn bij de uitvoering van de contractueel overeengekomen dienstverlening van Preventned aan de betreffende klant. Onze medewerkers hebben alleen toegang tot die delen van de gegevens, waarover zij voor een goede taakuitoefening moeten beschikken.

Professionals van Preventned en door hen gesuperviseerde medewerkers, welke direct bij de behandeling of begeleiding betrokken zijn, hebben toegang tot de gegevens. Denk hierbij aan de adviseurs die de Health Check uitvoeren of met wie een deelnemer een Individueel Verdiepend Gesprek heeft.

In speciale gevallen hebben derden ook inzage in de gegevens, maar alleen als daarvoor ook de nodige geheimhoudingsdocumenten zijn getekend. Dit betreft dan bijvoorbeeld een bedrijfsarts of arbodienst. Wanneer dit het geval is laat de werkgever dit vooraf weten aan de deelnemers.

Antwoord: Medewerkers van Preventned, en in speciale gevallen ook de betreffende arbodienst of bedrijfsartsen.

Toch nog meer vragen?

Hiermee zijn de meest gestelde vragen beantwoord. Mocht je toch nog een vraag hebben die hier niet wordt beantwoord, stuur mij dan een mail of bel mij gerust.


Eveline Berende organiseert bij Preventned de interne processen. Zij is creatief in haar werk en denken en heeft bij van alles gelijk een beeld. Haar blogs gaan over wat haar persoonlijk raakt rondom haar eigen inzetbaarheid en waar mogelijk ondersteunt door cijfers uit onze database. Herkenbaar, persoonlijk en informatief tegelijk.