Vergroot contrast

Mijn zieke werknemer

De Algemene verordening gegevensbescherming (AVG) geeft u de ruimte om de noodzakelijke informatie over uw zieke werknemer vast te leggen. Bijvoorbeeld informatie om te laten beoordelen of u het loon moet doorbetalen.

Actueel: corona

Bent u op zoek naar informatie over het coronavirus? Wilt u bijvoorbeeld weten of u uw personeel mag temperaturen? Of dat u mag vragen aan uw werknemers of zij corona hebben? Kijk dan bij Temperaturen tijdens corona en Corona op de werkvloer.

Bijzondere persoonsgegevens

Maar gezondheidsgegevens zijn bijzondere persoonsgegevens. Ieder mens heeft het recht om dat soort gegevens zo veel mogelijk voor zichzelf te houden. Dus ook uw werknemer.

Gezagsverhouding

Daar komt bij dat uw werknemer onder uw gezag staat. Hierdoor kan hij/zij zich eerder verplicht voelen om informatie over zijn/haar ziekte te delen.

Daarom gelden er juist op de werkvloer een aantal specifieke regels rondom het vastleggen van informatie bij ziekte.

Wat mag wel?

Als werkgever mag u een aantal vragen stellen aan uw zieke werknemer. Zoals hoe lang hij/zij verwacht afwezig te zijn. En u mag bijvoorbeeld het verpleegadres registreren.

Ook mag u de zakelijk e-mail van uw zieke werknemer checken als dat nodig is.

Wat mag niet?

Als werkgever mag u niet vragen naar de aard en oorzaak van iemands ziekte. Ook wanneer uw werknemer uit zichzelf vertelt wat hij/zij mankeert, mag u deze informatie niet vastleggen of delen.

Beveiliging

Tot slot spreekt het voor zich dat u de gegevens van uw (zieke) werknemers zorgvuldig moet beveiligen

Nieuws

Alle nieuwsberichten over het onderwerp 'Mijn zieke werknemer'

Alle antwoorden op mijn vragenVragen over wat je mag weten en vastleggen van je zieke werknemer

 • Wat mag ik wél vragen en registreren als mijn werknemer zich ziek meldt?

  U mag alleen vragen en registreren wat noodzakelijk is voor u als werkgever om te weten. Mensen hebben namelijk het recht om informatie over hun gezondheid zo veel mogelijk voor zichzelf te houden.

  Noodzakelijke informatie

  Het is noodzakelijk voor u als werkgever om informatie te hebben waarmee u kunt bepalen hoe het verder moet met de werkzaamheden van uw werknemer. En informatie om te laten beoordelen of u het loon moet doorbetalen. Die informatie mag u daarom ook vastleggen.

  Concrete informatie die u mag vragen en registreren

  U mag de volgende informatie registreren over uw zieke werknemer:

  • Het telefoonnummer waarop uw werknemer te bereiken is en het (verpleeg)adres.
  • Hoe lang uw werknemer denkt dat de ziekte gaat duren.
  • Wat zijn/haar lopende werkzaamheden en afspraken zijn.
  • Of de ziekte van de werknemer verband houdt met een arbeidsongeval. Maar u mag niet vragen of het verzuim werkgerelateerd is.
  • Of er sprake is van een verkeersongeval met regresmogelijkheid. Dat houdt in dat u de kosten van het ziekteverzuim en re-integratie mogelijk kunt verhalen op de veroorzaker van het ongeval.
  • Of uw werknemer onder 1 van de 4 vangnetregelingen valt op grond van de Ziektewet. Uw werknemer is daarbij niet altijd verplicht om te melden onder welke regeling hij/zij valt.

  Niet-noodzakelijke informatie

  Het is als werkgever belangrijk om te weten hoe lang uw medewerker denkt dat zijn/haar afwezigheid gaat duren. Maar het is níet noodzakelijk om te weten wát iemand heeft. En waardoor dat komt. Daar mag u dus ook niet naar vragen.

  Zie ook

 • Wat mag ik niet vragen en registreren als mijn werknemer zich ziek meldt?

  Het is verboden om informatie over de aard en oorzaak van iemands ziekmelding te registreren. U mag er ook niet naar vragen. Dat is aan de arbodienst/bedrijfsarts.

  Bijzondere persoonsgegevens

  Gezondheidsgegevens zijn bijzondere persoonsgegevens. Oftewel: gevoelige, persoonlijke informatie. Ieder mens heeft het recht om die gegevens zo veel mogelijk voor zichzelf te houden.

  Werknemer geeft informatie zelf

  Deelt uw werknemer spontaan informatie over zijn/haar ziekte? Ook dan mag u dit als werkgever niet vastleggen. Of het gebruiken om een oordeel te vormen over de inzetbaarheid van uw werknemer. Dat is aan de arbodienst/bedrijfsarts.

  U mag ook niet registreren welke medicijnen uw werknemer gebruikt. Wel kunt u als werkgever natuurlijk een luisterend oor bieden.

  Zie ook: Waarom mag ik mijn zieke werknemer niet vragen wat er aan de hand is?

  Uitzonderlijke situaties

  Alleen in uitzonderlijke gevallen mag u gegevens over de aard en oorzaak van ziekte in het personeelsdossier van uw werknemer registreren.

  Bijvoorbeeld wanneer uw werknemer epilepsie heeft en collega’s hiervan op de hoogte moeten zijn. Zodat ze weten wat ze moeten doen als uw werknemer een aanval krijgt.

  Uw werknemer kan dit ook via de bedrijfsarts/arbodienst melden.

 • Waarom mag ik mijn zieke werknemer niet vragen wat er aan de hand is?

  Gezondheidsgegevens zijn bijzondere persoonsgegevens. Ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden. Maar uw werknemer kan zich verplicht voelen om u die informatie wel te geven. Juist omdat u de werkgever bent.

  Bijzondere persoonsgegevens

  Informatie over iemands gezondheid beschouwt de Algemene verordening gegevensbescherming (AVG) als bijzondere persoonsgegevens. Het verwerken van bijzondere persoonsgegevens is in de meeste gevallen verboden.

  Ongelijkwaardige relatie

  Het voelt misschien onattent om niet te vragen wat uw werknemer heeft. Maar uw werknemer kan zich verplicht voelen om antwoord te geven op uw vraag. Juist omdat hij/zij onder uw gezag staat. Dat maakt de relatie ongelijkwaardig.

  Werknemer vertelt het zelf

  In de praktijk geven veel werknemers uit zichzelf wel aan wat zij hebben. Natuurlijk kunt u dan een luisterend oor bieden. En in een gesprek vragen hoe het gaat.

  Maar u mag deze informatie niet registreren. Of gebruiken om een oordeel te vormen over de inzetbaarheid van uw werknemer. Dat mag alleen de arbodienst/bedrijfsarts.

  Inschatten hoe lang iemand afwezig is

  Natuurlijk is het begrijpelijk dat u als werkgever wilt weten of iemand kort of langdurig ziek is. Maar daarvoor heeft u geen gezondheidsgegevens nodig.

  De arbodienst/bedrijfsarts mag u namelijk gewoon informeren over de verwachte duur van de ziekte en de belastbaarheid.

  Zie ook

 • Mag ik op basis van toestemming van mijn zieke werknemer vastleggen wat hij/zij mankeert?

  Nee. Toestemming is bijna nooit een geldige grondslag om dit soort gevoelige informatie over uw werknemer te registreren. Juist omdat u de werkgever bent, kan uw werknemer zich namelijk verplicht voelen om in te stemmen.

  Bijzondere persoonsgegevens

  Ook wanneer een werknemer uit zichzelf aangeeft wat hij/zij mankeert, mag u deze informatie niet vastleggen of delen met naaste collega’s.

  Gegevens over de aard van een ziekte zijn namelijk bijzondere persoonsgegevens. En ieder mens heeft het recht om die zo veel mogelijk voor zichzelf te houden.

  Uitzonderingen

  Alleen in zeer uitzonderlijke gevallen mag u op basis van toestemming van de werknemer gegevens over de aard en oorzaak van ziekte vastleggen en delen met direct-betrokkenen.

  Bijvoorbeeld wanneer uw werknemer een ernstige mate van suikerziekte heeft. Of epilepsie. Dan kan het noodzakelijk zijn dat de naaste collega’s hiervan op de hoogte zijn. Zodat ze weten hoe ze moeten handelen als uw werknemer zich niet goed voelt.

  Zie ook

 • Wat mag ik over iemands afwezigheid vertellen aan collega’s?

  Hoewel u er niet naar mag vragen, vertellen veel werknemers uit zichzelf waarom zij zich ziek melden. Het is begrijpelijk dat u die informatie vanuit betrokkenheid met de naaste collega’s wilt delen. Maar wat uw werknemer over zijn/haar ziekte wil delen, blijft aan uw werknemer.

  Collega’s informeren

  Natuurlijk mag u de directe collega’s wel informeren over de verwachte duur van de afwezigheid.

  Ook kunt u uw zieke werknemer de open vraag stellen wat hij/zij wil dat u aan de naaste collega’s vertelt.

  Verder kunt u tegen de andere medewerkers zeggen dat het aan de betreffende werknemer is om meer informatie te delen.

  Geen druk

  Het is in ieder geval belangrijk dat uw zieke werknemer zich op geen enkele manier onder druk gezet voelt om informatie over zijn ziekte te delen. Met u en de collega’s.

  Dit speelt een extra belangrijke rol in de relatie werkgever-werknemer. Uw werknemer staat namelijk onder uw gezag. En kan zich hierdoor eerder verplicht voelen om informatie over zijn/haar ziekte te delen wanneer u daarnaar vraagt.

  Zie ook

 • Mag ik met mijn zieke werknemer praten over zijn/haar functionele beperkingen en mogelijkheden?

  Ja, dat mag, onder de voorwaarde dat een bedrijfsarts in kaart heeft gebracht wat de functionele beperkingen en mogelijkheden van uw medewerker zijn.

  Aan de hand hiervan kunt u met uw werknemer bespreken wat dit betekent voor zijn of haar werk en hoe u samen de re-integratie verder vorm gaat geven.

Alle antwoorden op mijn vragenOverige vragen van werkgevers over zieke werknemers en preventie

 • Mag ik controleren of mijn werknemer ziek is?

  U mag dat niet zelf doen. Maar u mag wel de arbodienst/bedrijfsarts vragen om dit voor u te doen. U mag hierbij niet meer inbreuk maken op iemands privacy dan nodig.

  Wat mag niet?

  U mag bijvoorbeeld niet van uw werknemer eisen dat hij/zij de hele dag thuis is. Ook mag u de arbodienst/bedrijfsarts niet dagelijks laten langskomen als dat niet nodig is.

  Wat mag wel?

  U kunt bijvoorbeeld vastleggen dat zieke werknemers op bepaalde tijdstippen thuis moeten zijn, zodat de arbodienst/bedrijfsarts kan bellen of langskomen.

  Ook kunt u eisen dat uw zieke werknemer naar het spreekuur van de arbodienst/bedrijfsarts komt, als dat mogelijk is.

  En dat uw werknemer de arbodienst/bedrijfsarts informatie geeft over de aard en oorzaak van uw ziekte. Want u mag uw werknemer daar zelf niet direct naar vragen

  Verdergaande controle

  In uitzonderlijke gevallen mag u een verdergaande controle laten uitvoeren als uw werknemer zich ziek heeft gemeld. Bijvoorbeeld door een recherchebureau.

  U moet hier dan wel een zwaarwegende reden voor hebben. Zoals aanwijzingen dat uw werknemer ergens anders aan het werk is terwijl hij/zij zich ziek heeft gemeld en u het loon doorbetaalt.

 • Mag ik bij ziekte de zakelijke mailbox van mijn werknemer checken?

  Ja, dat mag. Want als werkgever heeft u er belang bij dat het werk van uw zieke werknemer doorgaat. Het checken van de e-mail moet dan wel noodzakelijk zijn. En u mag alleen de zakelijke e-mails lezen.

  Is het checken van e-mail echt nodig?

  Is er een andere, minder ingrijpende manier om de voortgang van het werk te borgen? Dan moet u daarvoor kiezen.

  Bijvoorbeeld door uw zieke werknemer te vragen of deze in staat is om een volledige overdracht te geven van alle lopende werkzaamheden.

  Zakelijk of privé

  Blijkt uit de titel van een mailtje dat het persoonlijk is? Dan mag u als werkgever dat bericht niet lezen. Ook al staat het in de zakelijke mailbox.

  Valt er geen duidelijke scheiding te maken tussen de zakelijke en privé e-mail? Dan moet er als werkgever toch rekening mee houden dat u per ongeluk een privébericht kunt openen.

  Uw werknemer mag van u verwachten dat u deze berichten meteen sluit zodra u dat ontdekt.

  Informeer uw werknemer over regels checken e-mail

  Het is aan te raden om uw werknemers te informeren dat hun e-mail tijdens vakantie of ziekte kan worden gecheckt.

 • Welke informatie krijg ik over zieke werknemers via de arbodienst of bedrijfsarts?

  De arbodienst/bedrijfsarts geeft u standaard díe informatie over uw zieke werknemer die voor u als werkgever noodzakelijk is. Alleen in uitzonderlijke gevallen kunnen zij op basis van toestemming van de werknemer extra medische informatie geven.

  Standaard informatie

  De arbodienst/bedrijfsarts mag zonder toestemming van uw werknemer de volgende informatie aan u verstrekken:

  • dat uw werknemer (tijdelijk) arbeidsongeschikt is;
  • hoelang de afwezigheid ongeveer gaat duren;
  • wat de belastbaarheid van de medewerker is als deze (gedeeltelijk) weer aan het werk gaat;
  • welke eventuele werkaanpassingen gewenst zijn.

  Op andere (verdergaande) medische gegevens heeft u als werkgever geen recht. Want dat tast de privacy van uw werknemer te veel aan.

  U heeft die informatie bovendien niet nodig om te bepalen hoe het verder moet met de lopende werkzaamheden.

  Uitzonderlijke situaties

  In uitzonderlijke situaties mag de arbodienst/bedrijfsarts met de uitdrukkelijke toestemming van uw werknemer meer medische informatie met u delen.

  Het moet dan wel gaan om noodzakelijke informatie. Bijvoorbeeld wanneer uw medewerker epilepsie heeft. En de naaste collega’s moeten weten hoe zij moeten handelen in een noodsituatie.

  Werknemer deelt informatie zelf

  Het staat de medewerker natuurlijk vrij om u als werkgever zelf te informeren. Dat komt dan ook veel voor. Maar uw werknemer is dit niet verplicht en u mag er niet naar vragen.

 • Is mijn zieke werknemer verplicht om te zeggen onder welke vangnetregeling hij/zij valt?

  Een zieke werknemer hoeft u als werkgever niet te vertellen onder welke vangnetregeling hij of zij valt. Maar er zijn 2 uitzonderingen.

  Een vangnetregeling zegt iets over de aard van iemands ziekte. Daarom hoeft uw werknemer u in principe niet te vertellen onder welke vangnetbepaling hij/zij valt.

  Dat past bij het uitgangspunt van de wet dat werknemers hun gezondheidsgegevens niet delen met hun werkgever, maar alleen met de arbodienst of bedrijfsarts.

  De uitzonderingen

  De Ziektewet heeft voor de ‘no-risk polis’ en de ‘oudere langdurig werkloze-regeling’ een uitzondering gemaakt. Vraagt u aan uw werknemer of hij of zij mogelijk onder een van deze 2 vangnetregelingen valt? Dan moet uw werknemer u daarover informeren.

  Deze verplichting geldt pas zodra de werknemer 2 maanden of langer in dienst is. Dit kunt u vinden in artikel 38b van de Ziektewet.

  Over de 4 vangnetregelingen

  Hoofdregel in de Ziektewet is: recht op loon bij ziekte sluit het recht op uitbetaling van ziekengeld uit. Maar als een werknemer ziek wordt, doet in 4 gevallen de Ziektewet dienst als ‘vangnet’.

  Werknemers die tot deze in de Ziektewet geregelde uitzonderingscategorieën behoren, hebben dan naast recht op loon recht op ziekengeld. De werkgever hoeft dan niet het (hele) loon te betalen.

  Het gaat om:

  • Werknemers die ziek zijn door zwangerschap of bevalling. Zie artikel 29a Ziektewet.
  • Werknemers die arbeidsongeschikt zijn door een orgaandonatie. Zie artikel 29, lid 2 en lid 8 Ziektewet.
  • Werknemers met een structurele functionele beperking (arbeidsgehandicapten). Zie artikel 29b Ziektewet. Deze vangnetregeling wordt ook wel aangeduid als de ‘no-risk polis’. Deze werknemers hebben de eerste 5 jaar van hun dienstbetrekking recht op uitbetaling van ziekengeld vanaf de eerste dag dat zij arbeidsongeschikt zijn (de termijn van 5 jaar kan worden verlengd als sprake is van een aanzienlijk verhoogd risico op ernstige gezondheidsklachten).
  • Oudere langdurig werklozen. Zie artikel 29d Ziektewet. Het gaat om personen die geboren zijn vóór 8 juli 1954. En die in dienst treden na meer dan 1 jaar werkloos te zijn geweest. Deze werknemers hebben de eerste 5 jaar van hun dienstbetrekking recht op uitbetaling van ziekengeld zodra ze langer dan 13 weken arbeidsongeschikt zijn.
 • Mag ik als werkgever informatie ontvangen uit wearables van mijn werknemers?

  Nee, dat mag niet. Gegevens uit een wearable - zoals over iemands fitheid, bewegingspatroon, gewicht en stressgevoeligheid - zijn namelijk gezondheidsgegevens. Als werkgever mag u die niet verwerken. Zelfs niet als een werknemer hiervoor toestemming zou geven.

  Om ziekteverzuim proberen te voorkomen kunt u uw werknemers een wearable (zoals een smartwatch) cadeau doen, zodat zij zelf aan de slag kunnen om hun fitheid te verbeteren. Daarbij kunt u een dienstverleningsovereenkomst afsluiten met een bedrijf om de gegevens uit de wearables te analyseren en voor de werknemers inzichtelijk te maken.

  Geen uitzondering

  Uw doel kan zijn om uw werknemers te stimuleren actief te zijn. Misschien is uw doel ook om inzicht te krijgen in gegevens over de gezondheid van uw werknemers. Bijvoorbeeld om vast te stellen of zij wel genoeg bewegen tijdens en na het werk en of ze voldoende slapen.

  Ondanks dat het voor u van belang kan zijn om dit te weten, biedt de privacywet geen uitzonderingsgrond voor het verwerken van gezondheidsgegevens voor dit doel.

  Geen vrije toestemming

  Ook toestemming van de betrokkene (uw werknemer) kan in dit geval niet gelden als uitzondering op het verbod om gegevens over de gezondheid te verwerken.

  Wanneer het bedrijf dat de gegevens uit de wearables analyseert deze vervolgens al dan niet geanonimiseerd aan u verstrekt, is er namelijk sprake van een verwerking binnen de relatie tussen werkgever en werknemer.

  Uw werknemer is (financieel) afhankelijk van u en kan zich daardoor verplicht voelen om toestemming te geven. Daarom kan de toestemming voor deze verwerking nooit ‘vrij’ zijn, zoals wettelijk is vereist.

Alle antwoorden op mijn vragenVragen over verzuimsystemen

 • Mag ik als werkgever verzuimgegevens registreren in een extern verzuimsysteem?

  Dat mag alleen als u een verwerkersovereenkomst heeft afgesloten met de externe partij die het systeem beheert.

  Bij de begeleiding en re-integratie van zieke werknemers bent u de verwerkingsverantwoordelijke voor de verwerking van gegevens over de ziekmeldingen en de (door de bedrijfsarts vastgestelde) beperkingen en mogelijkheden van uw werknemers. Dit zijn verzuimgegevens.

  Verwerkt u deze verzuimgegevens in een extern verzuimsysteem (een systeem door een externe partij wordt beheerd)? Dan is deze externe partij een verwerker. Dat betekent dat u een verwerkersovereenkomst met deze partij moet afsluiten.

  Verzuimgegevens versus medische gegevens

  Let op: als werkgever mag u een beperkt aantal verzuimgegevens van uw werknemers verwerken (en dus opslaan in een intern of extern systeem). U mag géén andere gegevens over de gezondheid verwerken, zoals gegevens over de aard en oorzaak van de ziekte.

  Dat betekent dat u dus ook niet aan de bedrijfsarts of arbodienst mag vragen om deze gegevens in uw eigen verzuimsysteem (dat u zelf beheert) op te slaan.

  U mag wél vragen medische gegevens op te slaan in een verzuimsysteem dat u zelf ook gebruikt als dit extern wordt beheerd en u zelf geen toegang heeft tot deze gegevens.

 • Mag ik als bedrijfsarts of arbodienst medische dossiers opslaan in een verzuimsysteem van een werkgever zelf?

  Nee, dat mag niet. Een werkgever (uw opdrachtgever) mag medische dossiers met gegevens over de gezondheid van zijn werknemers (aard en oorzaak van de ziekte e.d.) niet verwerken. En mag u dus ook niet vragen om deze gegevens op te slaan in een systeem dat hij zelf beheert.

  Een werkgever mag u wél vragen medische dossiers op te slaan in een verzuimsysteem dat hij zelf ook gebruikt als dit extern wordt beheerd.

 • Mag ik als bedrijfsarts of arbodienst medische dossiers opslaan in een verzuimsysteem dat een werkgever uitkiest?

  Wil een werkgever (uw opdrachtgever) dat u de medische dossiers van zijn zieke werknemers opslaat in een door hem uitgekozen verzuimsysteem? Bijvoorbeeld het (extern beheerde) verzuimsysteem dat hij zelf ook gebruikt? Dat mag alleen onder bepaalde voorwaarden.

  Op grond van de Algemene verordening gegevensverwerking (AVG) moet de werkgever minimaal aan de volgende eisen voldoen.

  Verwerkersovereenkomst

  U bent de verwerkingsverantwoordelijke voor het medisch dossier van de werknemer. En u moet deze verantwoordelijkheid daadwerkelijk kunnen uitoefenen.

  Daarom moet de werkgever ervoor zorgen dat u een verwerkersovereenkomst kunt afsluiten met de beheerder van het verzuimsysteem voor het beheer van de medische dossiers.

  Rechten werknemers

  De werknemers hebben privacyrechten. De werkgever moet er daarom voor zorgen dat zijn werknemers weten waar zij terecht kunnen als zij:

  • inzage willen in hun medisch dossier;
  • de gegevens willen laten corrigeren, beperken of verwijderen;
  • bezwaar willen maken tegen de verwerking. 

  Dat betekent dat de werkgever uw contactgegevens moet doorgeven aan werknemers die daarom vragen.

  Nieuwe bedrijfsarts/arbodienst

  Stelt de werkgever een nieuwe bedrijfsarts of arbodienst aan of is er een reorganisatie of fusie? Dan kunt u onder bepaalde voorwaarden een deel van de medische dossiers overdragen aan de nieuwe bedrijfsarts/arbodienst.

  U mag de dossiers alleen overdragen als aan alle drie van deze voorwaarden is voldaan:

  • De verstrekking is noodzakelijk. Dit is het geval bij lopende ziektegevallen. Of als de werknemer binnen vier weken na de herstelmelding weer uitvalt.
  • Er is instemming van de ondernemingsraad.
  • De werknemers zijn geïnformeerd over de overdracht en hebben de kans gekregen om bezwaar te maken.

  In alle andere gevallen mag u de medische dossiers niet overdragen aan de nieuwe bedrijfsarts of arbodienst.

  De nieuwe bedrijfsarts/arbodienst kan, met toestemming van de werknemer, wel gerichte informatie (dus geen hele dossiers) bij u opvragen als dit noodzakelijk is voor de begeleiding en re-integratie van een zieke werknemer.

 • Mag ik als bedrijfsarts of arbodienst medische dossiers opslaan in een extern verzuimsysteem?

  Dat mag alleen als u een verwerkersovereenkomst heeft afgesloten met de externe partij die het systeem beheert.

  Bij de begeleiding en re-integratie van zieke werknemers bent u de verwerkingsverantwoordelijke voor de verwerking van gegevens over de gezondheid van deze werknemers in hun medische dossiers.

  Verwerkt u deze gegevens in een extern verzuimsysteem (een systeem dat door een externe partij wordt beheerd)? Dan is deze externe partij een verwerker.

  Dat betekent dat u een verwerkersovereenkomst met deze partij moet afsluiten.

 • Wat moet er in de verwerkersovereenkomst staan tussen de bedrijfsarts/arbodienst en de beheerder van een verzuimsysteem?

  Verwerkt u als bedrijfsarts of arbodienst medische dossiers van werknemers in een extern verzuimsysteem (een systeem dat door een externe partij wordt beheerd)? Dan moet u een verwerkersovereenkomst afsluiten met de beheerder van het systeem. Wat precies in deze overeenkomst moet staan, staat beschreven in artikel 28, lid 3 van de Algemene verordening gegevensbescherming (AVG).

  In Wat moet er in een verwerkersovereenkomst staan? leest u wat er allemaal in een verwerkersovereenkomst moet staan. Let in uw geval vooral op de volgende punten.

  Toegang

  De beheerder geeft alleen aan u toegang tot de medische dossiers van de werknemers. Uw opdrachtgever (de werkgever) of zijn werknemers mogen géén toegang krijgen.

  Beveiliging

  Wordt het verzuimsysteem ontsloten via internet? Dan mag u alleen toegang tot het systeem krijgen met meerfactorauthenticatie.

  Het systeem moet ook voldoen aan alle andere beveiligingseisen die voortvloeien uit artikel 32 AVG.

  Bewaartermijn

  De beheerder moet de medische dossiers 20 jaar bewaren en daarna direct vernietigen.

  Is er een risico op een beroepsziekte die zich na verloop van (nog langere) tijd kan openbaren? Dan moeten de medische gegevens voor dit doeleinde langer worden bewaard.

  Toegang tijdens bewaartermijn

  Het medisch dossier valt onder uw verantwoordelijkheid. Daarom moet u (als enige arts) toegang tot het medische dossier blijven krijgen zo lang als het dossier bewaard blijft (minimaal 20 jaar).

  Rechten werknemers

  De werknemers moeten hun recht op inzage, correctie, beperking en verwijdering van hun gegevens en het recht van bezwaar kunnen uitoefenen.

  Dat betekent onder meer dat u de dossiers in leesbare vorm aan (ex-)werknemers moet kunnen geven die inzage willen.

  Deze privacyrechten van werknemers gelden zo lang als hun dossier bewaard blijft (minimaal 20 jaar).

 • Hoe moet ik als organisatie de online toegang tot ziekteverzuimgegevens beveiligen?

  Is het verzuimsysteem dat u als werkgever, arbodienst of re-integratiebedrijf gebruikt via internet toegankelijk voor bevoegde medewerkers? Dan mag toegang tot het systeem alleen via meerfactorauthenticatie verlopen.

  Meerfactorauthenticatie houdt in dat de identiteit van de persoon die wil inloggen met minstens twee authenticatiefactoren wordt gecontroleerd. Inloggen met alleen een gebruikersnaam en wachtwoord is dus niet genoeg.

  Gegevens over iemand ziekteverzuim kunnen iets zeggen over zijn gezondheid. Voor de beveiliging van gezondheidsgegevens gelden extra strenge eisen.

  Daarom moet iedereen die in het verzuimsysteem in kan loggen om ziekteverzuimgegevens te bekijken naast het ‘gewone’ inloggen ook op een andere manier zijn identiteit aantonen om toegang te krijgen. Bijvoorbeeld door een token te gebruiken.

 • Mag een bedrijfsarts of arboarts het interne ICT-systeem gebruiken?

  Een werkgever kan een eigen bedrijfsarts of arboarts in dienst hebben. Deze arts mag niet zomaar hetzelfde ICT-systeem gebruiken als de rest van de organisatie. Dit mag alleen als verzekerd is dat uitsluitend deze arts toegang heeft tot de medische gegevens van de medewerkers.

  Anderen die het ICT-systeem gebruiken, zoals leidinggevenden of de systeembeheerder van het bedrijf, mogen geen toegang hebben tot deze gegevens.

  Medisch beroepsgeheim

  Een arts heeft medisch beroepsgeheim en moet er daarom voor zorgen dat niemand anders de medische gegevens van de medewerkers kan inzien.

  De organisatie moet technische en organisatorische maatregelen treffen om te verzekeren dat uitsluitend de bedrijfsarts, de arboarts (of een onder zijn verantwoordelijkheid werkende medewerker) bij de medische gegevens kan.

  Is dit in het ICT-systeem van de organisatie niet mogelijk? Dan mag de arts geen medische gegevens in het systeem opslaan.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden