Het College bescherming persoonsgegevens (CBP) heeft na onderzoek geconcludeerd dat het verzuimbedrijf Verzuimreductie in strijd met de wet handelde door de wijze waarop het bedrijf medische gegevens van zieke werknemers verzamelde ten behoeve van zijn opdrachtgevers, de werkgevers.
Medische gegevens toegankelijk voor werkgevers
Uit het onderzoek blijkt dat zogeheten casemanagers van het verzuimbedrijf allerhande medische persoonsgegevens opvroegen en daarbij verder gingen dan noodzakelijk was voor de verzuimbegeleiding van de zieke werknemers. Bovendien is gebleken dat de verzamelde medische informatie vaak ook toegankelijk was voor de werkgevers.
Werkwijze aangepast
Verzuimreductie heeft inmiddels verklaard dat het zijn werkwijze heeft aangepast en dat het bedrijf alleen de medische gegevens verzamelt die noodzakelijk zijn voor de verzuimbegeleiding en re-integratie van de werknemer.
Inzagerecht voor werknemer
Het verzuimbedrijf heeft het CBP toegezegd alle werknemers van zijn opdrachtgevers te informeren over hun recht op inzage in de medische persoonsgegevens die het verzuimbedrijf van hen heeft verzameld. Werknemers krijgen hiervoor tot 1 oktober 2012 de tijd. Hierna zal het verzuimbedrijf alle onrechtmatig verzamelde medische gegevens in de lopende en afgesloten dossiers vernietigen.
Ook werkgevers moet gegevens vernietigen
Ook eist het CBP dat Verzuimreductie de werkgevers informeert over het feit dat zij ook de onrechtmatig verkregen medische persoonsgegevens dienen te vernietigen. Met het treffen van deze maatregelen zijn de overtredingen van de Wet bescherming persoonsgegevens opgeheven.
-
Lees de mededeling van het CBP
over de Zembla-uitzending van 23 maart 2012
Regels
Een werkgever - of een in zijn opdracht werkend verzuimbureau - mag in het kader van de verzuimbegeleiding van zieke werknemers een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Dit betreft onder meer gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Het CBP heeft geconcludeerd dat Verzuimreductie meer medische gegevens verzamelde dan noodzakelijk is voor de verzuimbegeleiding en re-integratie van de zieke werknemer. Dat is in strijd met de wet.
Aanleiding onderzoek
Het CBP startte het onderzoek naar de werkwijze van Verzuimreductie na een uitzending van Zembla op 23 maart 2012: '
De verzuimpolitie
' van Ton van der Ham en Manon Blaas. Hierin stond de vraag centraal wat de gevolgen van de opkomst en werkwijze van verzuimbureaus zijn voor de zieke werknemer. Medische gegevens zijn gevoelige gegevens en voor het verwerken daarvan gelden extra wettelijke eisen.
Systeem zo lek als een mandje
ZEMBLA ontdekt na de uitzending ‘
De Verzuimpolitie
’ dat het systeem waar Verzuimreductie mee werkt zo lek is als een mandje. Oplettende kijkers zien dat Verzuimreductie werkt in de verzuimapplicatie Humannet en mailen naar de redactie: ‘Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.’ Een andere kijker is al een stap verder gegaan. Via een eenvoudige hackpoging achterhaalt hij een gebruikersnaam en wachtwoord. En zo kan hij in de database met medische gegevens, zo is te zien in ZEMBLA - '
Verzuimpolitie II
'