Beleidsregels Autoriteit Persoonsgegevens zieke werknemer
Op 21 april 2016 heeft de Autoriteit Persoonsgegevens (AP) de beleidsregels getiteld "de zieke werknemer" gepubliceerd. In deze beleidsregels geeft de AP zijn visie op de interpretatie van de Wet bescherming persoonsgegevens, in relatie tot het verwerken van medische persoonsgegevens van werknemers. Overigens geeft de AP ook een oordeel over (de interpretatie van) diverse andere wetten, maar de AP is daar niet de toezichthouder op.
Enkele feit dat iemand ziek is....
In de beleidsregels wordt het begrip gezondheidsgegeven (zeer) ruim opgevat. Zo is in de beleidsregels het volgende te lezen:
Zo is het enkele feit dat iemand zich ziek heeft gemeld een gegeven over de gezondheid,ook al zegt dat nietsover de aard van de aandoening.
Hierbij wordt verwezen naar ondertussen 18 jaar oude kamerstukken. Daarin valt het volgende te lezen:
De richtlijn is ruimer daar waar «gegevens omtrent gezondheid» meer omvat dan «gegevens van medische aard». Het enkele gegeven dat iemand ziek is, is – conform de richtlijn – een gezondheidsgegeven in de zin van het wetsvoorstel
Europese benadering van privacyrecht
Opvallend is dat de Autoriteit Persoonsgegevens niet verwijst naar rechtspraak van het Hof van Justitie. De Wet bescherming persoonsgegevens (Wbp) vloeit immers voor uit de privacyrichtlijn. Het laatste woord over de interpretatie van het begrip bijzonder persoonsgegevens is dus aan het Hof van Justitie van de EU.
Lindqvist-arrest: ruime uitleg begrip gezondheidsgegeven
Er zijn in dat kader twee belangrijke arresten door het Hof gewezen. Het eerste is het Lindqvist-arrest uit 2003. Hierin merkt het Hof het volgende op over het begrip "gezondheidsgegevens":
Gelet op het doel van de richtlijn, moet aan de uitdrukking gegevens die de gezondheid betreffen in artikel 8, lid 1, een ruime uitlegging worden gegeven, zodat informatie over alle - zowel fysieke als psychische - aspecten van iemands gezondheid daaronder valt.
Vervolgens overweegt het Hof in dat arrest het volgende:
Op de vierde vraag moet derhalve worden geantwoord, dat de vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven betreffende de gezondheid in de zin van artikel 8, lid 1, van richtlijn 95/46 is.
De combinatie van de reden van verlof (het bezeren van de voet) en het feit dat iemand met verlof is, is dus een bijzonder persoonsgegeven.
CN-arrest: niet te ruime uitleg begrip persoonsgegeven
In het CN-arrest uit 2015 overweegt het Gerecht dat het begrip gezondheidsgegeven weliswaar ruim, maar niet te ruim moet worden uitgelegd.
De letterlijke overweging van het Gerecht luidt als volgt:
Volgens de rechtspraak moet aan de uitdrukking „gegevens die de gezondheid betreffen” een ruime uitlegging worden gegeven, zodat informatie over alle – zowel fysieke als psychische – aspecten van iemands gezondheid daaronder valt [zie naar analogie arrest van 6 november 2003, Lindqvist, C‑101/01, Jurispr., EU:C:2003:596, punt 50, betreffende richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31)]. Dat begrip mag echter niet zo ruim worden uitgelegd dat het ook ziet op uitdrukkingen die geen openbaarmaking van gegevens betreffende iemands gezondheid of medische toestand tot gevolg hebben (zie in die zin arrest van 31 mei 2005, Dionyssopoulou/Raad, T‑105/03, JurAmbt., EU:T:2005:189, punt 33).
Oftewel kort en goed: als er niets openbaar wordt gemaakt over de medische toestand, dan is er geen sprake van een medisch persoonsgegeven. Het enkele feit dat iemand ziek is zou in die lijn dus geen bijzonder persoonsgegeven zijn.
Strikt genomen gaat dit arrest niet over de privacyrichtlijn, maar over een interne EU privacyverordening. De formulering van het begrip bijzondere persoonsgegevens in die verordening is echter nagenoeg woordelijk gelijk aan die uit de richtlijn (zie de overeenstemming in vet):
| Communautaire privacyverordening | Privacyrichtlijn |
|---|---|
| artikel 10 lid 1 De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksueel gedrag betreffen, is verboden | artikel 8 lid 1 De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen. |
Het is vaste rechtspraak van het Hof van Justitie dat begrippen uit het Europees recht uniform moeten worden uitgelegd. Zie bijvoorbeeld de Grote Kamer van het Hof in het arrest van 4 oktober 2011:
188 In die omstandigheden moeten, gelet op de eisen inzake eenheid en samenhang van de rechtsorde van de Unie, de in al die richtlijnen gebruikte begrippen dezelfde betekenis hebben, tenzij de Uniewetgever in een specifieke wetgevende context een andere wil kenbaar heeft gemaakt.
Overigens verwijst het Gerecht in de zaak over de communautaire privacyverordening zelf ook terug naar de hiervoor al genoemde Lindqvist-zaak (over de privacyrichtlijn). De Europese rechters lijken dus geen bezwaar te zien in het toepassen van dezelfde criteria op verschillende richtlijnen/verordeningen die allemaal over privacy gaan.
Hoge boetes op schending privacyrecht
Volgens de boetebeleidsregels van de Autoriteit Persoonsgegevens staat op het schenden van het verbod om bijzondere persoonsgegevens te verwerken een minimumboete van € 360.000,--. Een hele stevige sanctie dus, zeker als je bedenkt dat de AP de wettelijke begrippen (wel erg) ruim uitlegt.
Ter illustratie tot welke (absurde) consequenties deze opvatting zou kunnen leiden. Een leidinggevende van een bedrijf dat een zieke medewerker per e-mail of WhatsApp "beterschap" wenst, zou in de opvatting van de AP waarschijnlijk de wet schenden. Uit de wens blijkt immers dat de werknemer ziek is (een niet-zieke wens je geen beterschap). De wens is verder niet noodzakelijk voor de begeleiding en re-integratie in de zin van artikel 21 Wbp. En er is geen toestemming gevraagd voor de beterschapswens (artikel 23 Wbp). De wens is dus niet toegestaan.
Volgt er in dat voorbeeld direct een boete? Voor een boete is opzet vereist. Dat vereist weliswaar willens en wetens handelen (en dat is zeker een bepaalde drempel), maar de bewijslast ligt niet zo hoog dat aangetoond moet worden dat de dader de wet wilde overtreden. Het lijkt voldoende als de Autoriteit kan aantonen dat de dader behoorde te weten of wist dat zijn gedrag in strijd met de wet zou zijn. Het lezen van deze blog werkt in zoverre dus potentieel averechts (wees gerust, u wordt door ons niet getracked).
Hof EU: privacyrecht is bovendien niet absoluut
Ten slotte het volgende. Het is vaste lijn van het Hof dat het privacyrecht niet absoluut is. Zie bijvoorbeeld het Hof letterlijk in de zaak over Deutsche Telekom:
51 Het recht op bescherming van persoonsgegevens heeft evenwel geen absolute gelding, maar moet in relatie tot de functie ervan in de maatschappij worden beschouwd (arrest van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, nog niet gepubliceerd in de Jurisprudentie, punt 48 en aldaar aangehaalde rechtspraak).
Verder is al vanaf het Lindqvist-arrest vaste rechtspraak dat het privacyrecht moet worden uitgelegd met inachtneming van andere grondrechten en het evenredigheidsbeginsel:
87. Bijgevolg moeten de autoriteiten en de rechterlijke instanties van de lidstaten niet alleen hun nationaal recht conform richtlijn 95/46 uitleggen, maar moeten zij er ook op toezien dat zij zich niet baseren op een uitlegging daarvan die in conflict zou komen met de door de communautaire rechtsorde beschermde grondrechten of met de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel.
Beide aspecten zie je eigenlijk niet tot nauwelijks (ik denk eigenlijk: nooit) terugkomen in publicaties van de Autoriteit Persoonsgegevens.
Slotopmerking
Ik vraag me af of het enkele feit dat iemand ziek is op grond van de laatste rechtspraak nog steeds een bijzonder persoonsgegevens is. Ook vraag ik me, in lijn met het hiervoor aangehaalde - uiteraard bewust wat extreme - voorbeeld, af het altijd evenredig en/of in de lijn met de maatschappelijke functie van het privacyrecht is het begrip zo strikt te interpreteren. En of veel werknemers een beterschapswens niet juist enorm zouden waarderen. We zullen zien hoe dit leerstuk zich verder ontwikkelt.
