Gemiste kansen door te strikt gebruik AVG

Arbo en de AVG: ze lijken haaks op elkaar te staan. In menig bedrijf wordt AVG gebruikt om bepaalde arboverplichtingen niet uit te voeren. AVG wordt dan als 'excuus' gebruikt. Maar is dit wel terecht?
AVG en arbozaken
De privacywet Algemene Verordening Gegevensbescherming (AVG) geldt sinds 25 mei 2018 voor de hele Europese Unie, dus ook binnen Nederland. Internationaal heet de wet General Data Protection Regulation (GDPR).
Door de AVG gelden voor bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen meer verplichtingen bij het verwerken van deze persoonsgegevens dan voorheen. De privacyrechten van de klanten, personeel of andere personen zijn met de AVG versterkt en uitgebreid. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.
Hoe past de AVG bij arbozaken? Enkele voorbeelden.
Raadplegen bedrijfsarts voorafgaande aan het uitvoeren van de RI&E
Doel van de risico-inventarisatie en -evaluatie (RI&E) is om een goede diagnose op te stellen van de aanwezige arborisico’s en op basis daarvan in een plan van aanpak voorstellen te doen om die risico’s te reduceren. Een prachtig instrument om op een gestructureerde wijze verdere verbetering van werkomstandigheden te realiseren. De te nemen verbeteracties dienen dan wel gestoeld te zijn op een zo goed en compleet mogelijke diagnose (de RI&E).
Een belangrijke informatiebron hierin is de input vanuit het verzuim (bedrijfsarts). Deze heeft op basis van zijn spreekuur gegevens al veel informatie over mogelijke problemen en klachten op diverse werkplekken.
Het is essentieel om gebruik te maken van deze informatie voorafgaande aan de uitvoering van de RI&E. Belangrijke input zijn onder andere de CAS- en CVO-codes (CAS-code staat voor Classificatie van klachten, ziekten en oorzaken voor bedrijfsartsen en de CVO-code staat voor Classificatie van ongevallen en arbeidsgebonden factoren).
De bedrijfsarts kan deze informatie doorgeven, maar niet de naam van de betreffende medewerker en ook niet de medische oorzaken van het verzuim; dat is immers medisch beroepsgeheim. De gegeven informatie mag niet te herleiden zijn tot de betreffende persoon. Met de verkregen informatie, kan de uitvoerder tijdens de RI&E veel alerter op bepaalde problematiek inzoomen.
Kritische noot: In de praktijk krijgen wij als RI&E uitvoerder geregeld te horen dat de CAS- en CVO-codes niet geregistreerd worden (mag niet van de AVG). Dat klopt niet: werkgevers mogen dit niet, arbodiensten/ bedrijfsarts moeten dit juist. |
Een voorbeeld: indien de A&O'er een RI&E gaat uitvoeren en je krijgt de volgende informatie van de bedrijfsarts: 30% van het totale verzuim bestaat uit psychische aandoeningen (CAS-code), veroorzaakt door cognitieve overbelasting en emotionele overbelasting (beide CVO-codes). Dan kun je met de RI&E hierop focussen. Het geeft veel handvatten om aan preventie te doen.
Privacy kan en mag geen reden zijn om deze voor-oriëntatiefase over te slaan. De bedrijfsarts dient de gegevens te anonimiseren en te aggregeren waardoor het niet herleidbaar is naar individuen, maar wel naar de betreffende afdelingen.
In de nabije toekomst wordt het verplicht om voorafgaande aan de RI&E de bedrijfsarts te consulteren. Een goede ontwikkeling.
Nuttige informatie die vanuit de bedrijfsarts kan worden geleverd, is onder meer:
- Zijn er uit de verzuimbegeleiding onderwerpen die van belang zijn voor de RI&E (bijvoorbeeld fysieke klachten op afdelingen, werkdruk op een afdeling, enzovoort)?
- CAS- en CVO-codes.
- Hoe vaak is het preventief spreekuur ingezet?
- Is er vanuit het (preventief) spreekuur iets bekend over arbeidsgebonden problematiek?
- Zijn er beroepsziekten gemeld/bekend?
- Zijn er meldingen van bedrijfsongevallen en/of beroepsziekten bekend? Zo ja, waardoor zijn ze veroorzaakt? Wat was de aanleiding?
- Is er een (Periodiek) Arbeidsgezondheidskundig Onderzoek (PAGO) uitgevoerd?
- Wat is je visie op het verzuim en de arbeidsomstandigheden in de organisatie?
Dit is allemaal niet persoons-specifieke informatie en waarbij om AVG-redenen geen argumenten zijn om dit niet te doen.
Ziekteverzuim
Momenteel wordt de leidinggevende niet door de bedrijfsarts geïnformeerd over de medische gegevens van de medewerker. Wel kan zoals boven aangegeven de mogelijke oorzaken van het verzuim en meer afdelingsbrede informatie aangeleverd worden.
Vertrouwenspersoon
Eenzelfde situatie als boven beschreven over de informatie vanuit de bedrijfsarts geldt ook voor de vertrouwenspersoon die over privacygevoelige informatie beschikt. De vertrouwenspersoon zal geen namen registeren, maar wel afdelingen, vorm van de ongewenste omgangsvorm en type dader (collega, cliënt/klant).
Resultaten RIE-enquêtes
Als bij het uitvoeren van een risico-inventarisatie en -evaluatie gewerkt wordt met vragenlijsten bijvoorbeeld in de vorm van een digitale enquête, dan mogen de daarmee verkregen gegevens niet herleidbaar zijn tot de persoon. Om dit te voorkómen moeten de gegevens van kleinere afdelingen samengevoegd worden en geaggregeerd worden tot een groter geheel.
Over groepen van 10 of meer kan worden gerapporteerd zonder persoonsgegevens als man/vrouw, leeftijdsgroepen en dergelijke waardoor het tot de persoon herleidbaar kan zijn. Maar juist daardoor worden de door de medewerkers in de enquête aangegeven problemen soms niet goed meer te adresseren naar de specifieke werkplekken. Het gevolg is dat er ook niet veel met die resultaten kan worden gedaan. Net als boven eveneens een gemiste kans.
Voor het houden van enquêtes is het meer een probleem dat bedrijven aangeven dat ze e-mailadressen niet zomaar willen aanleveren, maar dat kan weer ondervangen worden door de te stellen vragen aan het bedrijf te geven die dan via hun interne systeem de digitale enquête houden.
Werkplekonderzoeken
Bij het houden van werkplekonderzoeken van medewerkers moeten de gegevens daarvan naar de leidinggevende om deze in staat te stellen bepaalde aanpassingen te verrichten. Als hij die werkplekgegevens om privacyredenen niet zou mogen krijgen, is hij ook niet in staat verbetermaatregelen door te voeren. Ook hier geldt wel weer dat strikt medische gegevens hierbuiten vallen.
Arbeidsgezondheidskundig onderzoek (AGO)
De werkgever is in veel gevallen verplicht op basis van de RI&E, medewerkers periodiek in de gelegenheid te stellen een onderzoek te ondergaan dat erop gericht is de risico’s die de arbeid voor de gezondheid van de werknemers met zich meebrengt zoveel mogelijk te voorkómen of te beperken (Arbowet art. 18). Medewerkers kunnen hiervan op vrijwillige basis gebruik maken. De inhoud van het onderzoek moet zijn afgestemd op de gevaren en risico’s die de arbeid voor de gezondheid van de werknemers kan hebben (Nota van toelichting Arbowet).
Zo hoeft bijvoorbeeld het gehoor alleen onderzocht te worden als er in het werk sprake is van blootstelling aan geluiddosisniveaus die kunnen leiden tot gehoorschade. Feitelijk is de AGO een controleloop op de effectiviteit van de genomen risicobeheersmaatregelen.
Voorbeeld AGO geluid
In een bepaalde werksituatie heerst een hoog geluidsniveau. Er zijn tal van maatregelen genomen: stillere machines, regelmatig onderhoud van machines, extra omkasting van de bron is aangebracht waar dat kan, het indirect geluid wordt gedempt met sound baffles, enz.. Maar nog steeds is het geluidsniveau in die ruimte boven de 85 DB(A) als dagdosis. Daarom zijn de werknemers helaas verplicht gehoorbescherming te dragen. De medewerkers hebben voorlichting over geluid gekregen. Zij hebben gehoorbescherming in de vorm van voldoende dempende gehoorkappen en otoplastieken gekregen en de leidinggevende houdt regelmatig toezicht erop dat ze die ook daadwerkelijk dragen.
Het periodiek meten van het gehoor (audiometrisch onderzoek) is als AGO een middel om regelmatig te bepalen of het gehoor van de medewerkers toch niet achteruitgaat. Als dat zo blijkt te zijn, dan dienen aanvullende maatregelen te worden genomen.
Het zou kunnen dat bepaalde gehoorbeschermingsmiddelen toch onvoldoende dempen. Mogelijk zijn er extra machines bij geplaatst waardoor het geluidsniveau hoger is, dan waarvoor de gehoorbeschermingsmiddelen dempen. Het kan ook zijn dat sommige medewerkers het dragen van de gehoorkappen of otoplastieken vervelend vinden en deze niet dragen als de baas er niet is. Als 1 uur per dag de gehoorkappen of otoplastieken niet worden gedragen geeft dat al ca. 10 dB(A) minder demping over de hele dag.
Juist uit zo’n audiometrisch onderzoek kan blijken dat sommige medewerkers in hun gehoor achteruitgaan. Dat gegeven stelt dan de leidinggevende in staat aanvullende maatregelen te nemen om verdere achteruitgang van het gehoor van de medewerkers te voorkómen. Maar om privacy-redenen zou de leidinggevende niet mogen weten wie het betreft.
Dat hoeft ook niet per se als dit werkplek gerelateerd is. Een simpel geluidsonderzoek op de werkplek geeft de meetdata die nodig is voor beheersmaatregelen. De bedrijfsarts kan aangeven van welke werkplek/omgeving hij meetdata wil ontvangen.
Voorbeeld AGO gevaarlijke stoffen
Eenzelfde voorbeeld kan ook genoemd worden over biologische monitoring naar stoffen in de urine of het bloed van medewerkers die met gevaarlijke stoffen werken. De leidinggevende zou dan toch juist wel moeten horen wie een verhoogde waarde heeft. Dan kan de leidinggevende (of de arbeidshygiënist) samen met de betreffende werknemer diens werkhandelingen nader bekijken en nagaan bij welke werkzaamheden een verhoogde blootstelling en bijgevolg een verhoogde opname van die gevaarlijke stoffen kan optreden.
Als de leidinggevende om privacyredenen niet mag weten bij welke werknemer die verhoogde waardes zijn aangetroffen, kan hij ook niet gericht verder kijken en verbetermaatregelen nemen.
De werknemer mag overigens hierin wel zelf actie ondernemen. Het gaat immers om zijn gezondheid en de werknemer mag zijn gezondheidsinformatie wel delen met de leidinggevende. Ook de bedrijfsarts kan hierin in actie komen door op de werkplek te gaan kijken (zijn/haar recht), maar ook kan een collega arbokerndeskundige ingeschakeld worden. Bijvoorbeeld de Arbeidhygiënist.
Registratie op naam van medewerkers die werken met carcinogene en mutagene stoffen
Medewerkers die met categorie 1A en1B kankerverwekkende (carcinogene) of mutagene stoffen werken moeten op naam geregistreerd worden. Dit is een wettelijke verplichting zoals beschreven in het Arbobesluit artikel 4.15: Lijst van werknemers:
1. Er wordt een lijst bijgehouden van werknemers die worden of kunnen worden blootgesteld aan kankerverwekkende of mutagene stoffen of stoffen die vrijkomen bij een kankerverwekkend proces, onder vermelding van de blootstelling die zij hebben ondergaan.
Zo’n lijst wordt in verschillende bedrijven niet opgesteld met als argumentatie dat dit de privacy van de betreffende medewerkers zou aantasten.
Dat argument houdt geen steek. Zo’n lijst kan prima worden opgesteld, maar moet niet voor iedereen toegankelijk zijn. Dit is eigenlijk vaak het probleem: iedereen schiet in de kramp en roept maar meteen dat het niet mag. Maar feitelijk mag wel zeer veel, als het maar doelmatig is.
In de stralingshygiëne is zo’n registratie in de vorm van de zogenaamde persoonsregistratie al vele jaren gebruikelijk. De dosisresulaten gaan naar de betreffende medewerker en naar de stralingsdeskundige. Als blijkt dat de opgelopen dosis te hoog is, worden in overleg tussen de betreffende werknemer, de stralingsdeskundige en de leidinggevende bekeken wat de oorzaak geweest kan zijn van de verhoogde dosis en worden zo nodig aanvullende maatregelen genomen om herhaling in de toekomst (verhoogde dosis) te voorkómen. Privacyredenen zijn daarvoor geen obstakel.
Ongevallen
Ongevallen dienen te worden geregistreerd. Als wettelijk verplichtingen t.a.v. de registratie van ongevallen gelden:
- Het is verplicht ongevallen te melden bij de Inspectie SZW die leiden tot de dood, een blijvend letsel of een ziekenhuisopname en hier desgevraagd zo spoedig mogelijk over rapporteren aan de I-SZW.
- Ook moet een lijst worden bijhouden (binnen het bedrijf) van de gemelde arbeidsongevallen èn van de arbeidsongevallen welke hebben geleid tot een verzuim van meer dan 3 werkdagen (kan veel later zijn). Daarop moet de aard en de datum van het ongeval worden geregistreerd.
Privacyredenen zijn geen excuus om dit niet te doen. Wel geldt dat de gegevens alleen beschikbaar mogen zijn voor daartoe geautoriseerde personen.
Wat niet meer kan om privacyredenen is dat een ongeval met naam en toenaam van het slachtoffer door het hele bedrijf kenbaar wordt gemaakt als bewustwordingsmiddel. De persoonsgegevens (en dus ook foto’s van het slachtoffer) mogen daar niet op staan. Tenzij het slachtoffer dat zelf toestaat. Vaak wordt er ook voor gekozen om in het register geen personen meer te registeren, het gaat immers om de trends. De registratie op naam kan bijvoorbeeld wel bij in het medisch dossier van de bedrijfsarts.
AVG onterecht gebruikt?
AVG wordt vaak onterecht gebruikt om bepaalde arbozaken niet te doen.
Draven we daarin niet te ver door en spannen we met de AVG niet het paard achter de wagen? Privacy zou dan belangrijker worden dan het beheersen van gezondheidsrisico’s. Dat kan toch niet de bedoeling zijn.
In het slechtste geval is dan de privacy van de werknemer weliswaar goed beschermd, maar helaas loopt die werknemer een beroepsziekte op. Dit omdat bepaalde zaken om privacyredenen niet doorgespeeld mochten worden naar de leidinggevende die daardoor geen (vroegtijdige) interventie kon plegen.
AVG regelt plat gezegd alleen maar dat niet geautoriseerde mensen geen toegang mogen krijgen tot bepaalde gegevens. Geautoriseerde mensen mogen dat wel.
Het pleidooi van dit artikel is dat we hier wat ruimer mee moeten omgaan. Dus iets minder privacy mag best. Privacy is een groot goed maar als je in loondienst bent, lever je gedurende de werktijd al een groot deel van de privacy in.
Het moet dan toch kunnen dat gegevens over de arbeidsbelastende factoren worden doorgespeeld naar mensen die daar in positieve zin verbetermaatregelen in kunnen innemen. Er is dan ook geen reden om door AVG allerlei zinvolle arboacties niet uit te voeren en sterker nog bepaalde arboverplichtingen niet na te komen.
Veel privacyzaken in relatie tot arbozaken zijn prima uit te voeren, wanneer de betreffende medewerkers die er iets mee moeten (dit kunnen ook leidinggevenden en arboadviseurs/preventiemedewerkers zijn), daar prudent mee omgaan en deze gegevens niet delen met anderen die daar niets mee te maken hebben.
Vraag gewoon toestemming aan de medewerker. Er zijn volop mogelijkheden, maar men moet wel de wil hebben om dit uit te (laten) zoeken.