Checklist basiscontract arbodienstverlener aangepast aan AVG

Door de komst van de nieuwe privacywetgeving, de AVG, moeten organisaties mogelijk extra maatregelen nemen om persoonsgegevens te beschermen. Daarom heeft OVAL de checklist voor het basiscontract met de arbodienstverlener aangepast aan de regels uit de AVG.

11 september 2018 | Door redactie

De Algemene verordening gegevensbescherming (AVG) (tools) heeft ook gevolgen voor de registratie en verwerking van bijzondere persoonsgegevens. Dat zijn gegevens die onder meer iets zeggen over de gezondheid van personen. Daarvoor gelden strenge regels; werkgevers mogen in principe geen gegevens over de gezondheid van werknemers verwerken. De Checklist basiscontract arbodienstverlening (pdf) van OVAL is aangepast aan de regels die in de AVG staan. Organisaties kunnen onder meer verplicht zijn een verwerkersovereenkomst te sluiten met derden, bijvoorbeeld  als zij verzuimgegevens door externe partijen laten beheren.

Bedrijfsarts verantwoordelijk voor beheer medisch dossier

De checklist gaat in op de uitwisseling van medische gegevens tussen de bedrijfsarts, werkgever en verzekeraars. De bedrijfsarts mag medische gegevens opslaan en verwerken in het medisch dossier. Hij is verantwoordelijk voor het beheer van dat dossier en mag maar heel beperkt gegevens uitwisselen met anderen, zoals de werkgever. De arbodienst of bedrijfsarts moet een medisch dossier 15 tot 40 jaar bewaren in een eigen, beveiligd systeem. Worden medische dossiers door derden bewaard, dan moet deze verwerking minimaal voldoen aan de eisen die de Autoriteit Persoonsgegevens stelt aan het opslaan van medische dossiers in verzuimsystemen.

Geen toegang medisch dossier voor werkgever

Zo mogen de arbodienst of bedrijfsarts geen medische gegevens opslaan in een systeem dat de werkgever zelf ook gebruikt én beheert. De werkgever mag immers nooit gegevens over aard en oorzaak van ziekteverzuim van een werknemer verwerken. Hij mag deze dus niet registreren, opslaan en uitwisselen. Hij mag wel aan de arbodienstverlener vragen of deze de medische gegevens wil verwerken in een verzuimsysteem dat hij zelf gebruikt, mits dat door een externe partij wordt beheerd. Zo wordt voorkomen dat de werkgever toegang heeft tot het medisch dossier. In zo’n geval moet de arbodienstverlener een verwerkersovereenkomst (tool) sluiten met de externe beheerder.