Medisch Update Corona – week 5
Verslag Zoom sessie
m.m.v. Prof. Arno R. Lodder, Vrije Universiteit Amsterdam
Bart van Velthoven, Privacy Security Officer MediCorps

Inhoud:

  • Casus 1: gezondheid groep versus privacy individu
  • Casus 2: eisen negatief geteste medewerker inzetten
  • Vraag deelnemer: bewaartermijn
  • Uitleg Data & Security door professor Arno Lodder
  • Uitgangspunten Privacy MediCorps door Bart van Velthoven

Casus 1:
Gezondheid van de groep versus privacy individu: medewerker die positief getest is en dit niet meldt en doorgaat met werken.
We komen als MediCorps soms tegen dat we weten dat iemand positief getest is en ondanks deze uitslag toch aan het werk gaat. Wij adviseren altijd aan de geteste persoon:
“Meld aan je leidinggevende, dat je positief getest bent en dat je thuis in quarantaine moet blijven”.
Uitleg Arno Lodder
De AVG zou het niet goed vinden als jullie deze informatie doorspelen aan een werkgever. Dit klinkt raar. Dat je een bedrijf en de medewerkers die daar werken blootstelt aan een besmet iemand die de maatregelen niet in acht neemt. Er zijn verschillende manieren waarop dit voorkomen kan worden.
1. Je moet het bij de GGD melden, zij doen contact onderzoek en zullen vermoedelijk ook de werkgever raadplegen.
2. Je zou het ook in een geanonimiseerde vorm kunnen communiceren. Het aantal van positieve testuitslagen kan dan doorgegeven worden. Het bedrijf kan dan zelf intern checken of ze hetzelfde aantal hebben.
3. Ethisch gezien kun je ook rekening houden met wat voor soort bedrijf het is. Bijvoorbeeld bij een lopende band bedrijf waar geen spatschermen staan dan is het risico wel heel groot dat ze anderen gaan besmetten. Dan kom je op een soort ethische beslissing of je het toch door gaat geven. Het blijft lastig dat je als test bedrijf wettelijk die verantwoordelijk niet mag nemen. Juridisch gezien ben ik van mening dat in de deze situatie het algemeen belang zwaarder weegt dan van het individu.
Casus 2
Mag je ‘eisen’ van uitzendbureau / onderaannemers, dat zij ‘negatief’ geteste medewerkers inzetten?
Uitleg door Arno Lodder
Dit hangt samen met het contract dat je met elkaar hebt. In meer algemene zin, is dat wat lastiger. Recent was er het voorval met de persoon die uit het buitenland kwam en niet wilde testen toen hij met het vliegtuig aankwam. De rechter gaf hem daarin gelijk. Omdat er geen wettelijk grondslag was om een test te eisen. Dus AVG technisch kun je dat niet eisen. In de economische sfeer kan het wellicht wel. Dan is het wel weer afhankelijk van de werkzaamheden: is dat bijvoorbeeld heel dicht op elkaar, dan is er een groot risico en is het redelijk dat mensen kunnen aantonen dat ze niet besmet zijn. Het hangt dus af van de werkomstandigheden.
Vraag van deelnemer: Wat wordt gezien als een passende bewaartermijn voor test- en vaccinatiegegevens?
Passende bewaartermijn moet je zien in het kader van het doel waarvoor je de gegevens verwerkt. Je moet nagaan voor welk doel je de gegevens verwerkt, als je ze voor dat doel niet meer nodig hebt dan kun je ze vernietigen. Dat is dan een passende bewaartermijn. In de praktijk is dit altijd lastig te bepalen maar je moet het altijd in het licht zien van het doel waarvoor je de gegevens verwerkt.
Uitleg Data & Security door professor Arno Lodder
Verwerking van Medische gegevens
Het is verboden om Medische gegevens te verwerken. Wat betreft verwerking, is het interessant om op te merken dat het om geautomatiseerde verwerking gaat. Wat veel mensen niet realiseren, is dat als je praat over medische gegevens, dit niet onder de AVG valt. Zelfs als je met pen en papier een slordige aantekening van medische gegevens maakt dan zou dit niet vallen onder de AVG.
De AVG gaat dus echt alleen om de geautomatiseerde verwerking van gegevens.
Afhankelijkheidsrelatie – toestemming

Uiteraard zijn er uitzonderingen. De AVG geldt niet als de betrokkene toestemming heeft gegeven. Bij gezondheidsgegevens, zeker in een werkgever-werknemer relatie, is dit lastig omdat er dan een afhankelijkheidsrelatie bestaat en er niet snel sprake is van vrijwilligheid. De medewerker kan toestemming geven door een formulier te ondertekenen.
Het is wel een bepaling die directe werking heeft. Er is dus geen aanvullende nationale regelgeving nodig om deze grondslag te hebben; om toch deze medische gegevens te verwerken. Dit geldt wel voor BNI Dus op het moment dat het noodzakelijk is voor de verplichting die je als werkgever hebt of als de verwerking noodzakelijk is om rede van algemeen belang op het gebied van de volksgezondheid. Daar is nationale regelgeving voor nodig. Dat is bij de AVG onder andere de uitvoeringswet AVG artikel 22 en 30. Deze gaan over medische gegevens. Bij veel corona maatregelen wordt er een beroep gedaan op de wet publieke gezondheid. Dat is een meer algemene wet die allerlei maatregelingen mogelijk maakt.
Dit is de pijler van de AVG. In een meer algemene zin zijn er drie pijlers

  1. De verwerkingsverantwoordelijke, die de gegevens verwerken en aan allerlei verplichtingen moeten voldoen.
  2. Betrokkenen, van wie de gegevens verwerkt worden en die allerlei rechten hebben.
  3. Toezichthouder
&   Op de sheet staan de normen die van toepassing zijn op de verwerkingsverantwoordelijke.

  • Doelbinding: je hebt een heel duidelijk doel voor ogen waarom je de gegevens wilt verwerken. Dit moet een legitiem doel zijn. Verder moet je jezelf kunnen verantwoorden richting jezelf en naar de autoriteit toe als deze langs zou komen.

Minimale gegevensverwerking is ook van belang nu met corona omdat er een moment komt dat de gegevens niet meer van belang zijn. Daarna moet je ze gewoon vernietigen.

  • Integriteit en vertrouwelijkheid, heeft te maken met beveiliging. Dit is een beginsel waar je aan moet voldoen en waar je over moet kunnen verantwoorden. Artikel 32 van de AVG gaat hier specifiek op in; waar je aan moet voldoen. Wat is de stand van de techniek, rekening houdend met de waarschijnlijkheid en ernst van uiteenlopende risico’s, en wat zijn passende technische en organisatorisch maatregelen die we moeten nemen.
 
Technisch en organisatorisch beveiligen
Dit punt is bij de GGD niet helemaal goed gegaan, dit is ook heel lastig om recht te krijgen omdat het technisch gezien al niet mogelijk is om iets perfect te beveiligen. Organisatorisch is nog lastiger om iets zo in te richten dat er geen risico’s zijn. Je kan er wel voor zorgen dat er zo weinig mogelijk risico’s zijn. Door bijvoorbeeld toegang en autorisatie kritisch te evalueren en het gedrag van medewerkers te monitoren ten aanzien van de gegevens die ze raadplegen.
Het is belangrijk om kritisch na te denken over wie heeft nou toegang tot bepaalde informatie nodig.
Centraal bij alle beslissingen

Wat centraal staat bij alle beslissingen die je neemt in lijn van de AVG en dus ook als het corona specifieke zaken betreft, is dat je over 3 vragen met name moet nadenken:
– subsidiariteit
– proportionaliteit
– je gezond verstand gebruiken. Dat laatste geldt voor veel AVG maatregelen en is een goede toets bij het verwerken van persoonsgegevens. Echter is het ook een gevaarlijke. Het kan dat je vanuit gezond verstand iets verdedigt waar de autoriteit het niet mee eens is en je alsnog een boete krijgt. Dit is dus ook een reden waarom mensen iets niet zouden willen doen omdat ze bang zijn er een boete voor te krijgen. De andere twee zijn juridisch concepten, subsidiariteit en proportionaliteit.

  • Subsidiariteit: als je een maatregel neemt denk dan na of er eventueel ook andere maatregelen zijn die hetzelfde doel kunnen realiseren maar waarbij er dan minder persoonsgegevens gebruikt worden of dat minder inbreuk zullen maken op de privacy van de betrokkenen.
  • Proportionaliteit: als je een verwerking hebt om het doel te realiseren dan moet dat in verhouding staan tot de inbreuk op de persoonlijke levenssfeer.

De handreikingen van de RIVM:

  • De maatregel die je neemt is bedoelt om te zorgen voor een gezonde werkplek, naast continuïteit van de werkzaamheden. De vrijwilligheid is belangrijk, en dat heeft deels met toestemming te maken, dat mensen niet op enige wijze gedwongen worden om met toestemming hun persoonsgegevens te verwerken. Er mag in dat opzicht geen dwang zijn.
  • En conform landelijk testbeleid.
& Uitgangspunten privacy MediCorps
Wij hebben een protocol dat bij de inspectie is voorgelegd. Hierin zijn de uitgangspunten van onze werkwijze rondom privacy vastgelegd. De inspectie heeft hieraan zijn goedkeuring verleend. In grote lijnen komt dit neer op de volgende 4 onderdelen. Het uitgebreide document verstrekken wij graag, mail dan naar samensterk@medicorps.nl