Werkgevers mogen gezondheidsgegevens niet verwerken

De Autoriteit Persoonsgegevens (AP) maakt bekend dat twee bedrijven na onderzoek zijn gestopt met het verwerken van gezondheidsgegevens van hun werknemers via wearables.

Beide bedrijven gaven hun werknemers een armband  waarmee de werkgever inzicht kreeg in de hoeveelheid beweging van de werknemers. Een van de werkgevers had ook inzicht in het slaappatroon. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp).

Gegevens over de hoeveelheid beweging en gegevens over slaappatronen zijn gevoelige persoonsgegevens die iets zeggen over de gezondheid. Voor deze bijzondere persoonsgegevens gelden strenge wettelijk eisen. Werkgevers mogen deze gegevens niet verwerken. In een arbeidsverhouding, waarin de werknemer financieel afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming, waardoor het verwerken van gezondheidsgegevens met toestemming van de werknemer niet mogelijk is.

“Een werkgever mag zo’n armband natuurlijk wel cadeau geven, maar het is niet de bedoeling om vervolgens gegevens over de gezondheid van werknemers in te zien. Ook niet als een medewerker hier toestemming voor geeft”, aldus Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens.

Voorwaarden

De Autoriteit Persoonsgegevens heeft de onderzochte bedrijven laten weten aan welke voorwaarden een werkgever moet voldoen om bij het gebruik van wearables niet in strijd met de Wbp te handelen. Behalve de werkgever, mogen ook collega’s of de leverancier van de wearable geen gezondheidsgegevens inzien en verwerken als dit in opdracht van de werkgever gebeurt. Dit houdt eveneens in dat zij de gegevens niet aan de werkgever mogen verstrekken, ook niet als dit anoniem gebeurt.

Dit mag wel

Een werkgever mag de armband wel cadeau doen aan werknemers, maar hierbij geen voorwaarden stellen voor het gebruik. De werknemer kan er vervolgens zelf voor kiezen om zijn gegevens met de leverancier van de armband te delen. Hij maakt dan zelf een account aan bij de leverancier. Een medewerker kan er natuurlijk voor kiezen de gegevens via de portal van de leverancier te delen met vrienden of collega’s, níet met de leidinggevende. De werkgever mag werknemers hier echter niet toe aanzetten.