De AVG en de zieke werknemer

Zieke werknemers, elke organisatie krijgt er vroeg of laat mee te maken. Maar hoe zit het nu met de AVG als het gaat om zieke werknemers? Wat mag ik als werkgever wel of niet vragen en/of registeren? De Autoriteit Persoonsgegevens heeft in het kader van haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ hierover nadere uitleg gegeven. Wij maakten u voor een korte samenvatting met de belangrijkste punten.

Wat mag een werkgever wel vragen en registeren als het gaat om de zieke werknemer?

Het uitgangspunt is dat een werkgever alleen datgene mag vragen en registeren wat zij noodzakelijkerwijs zou moeten weten. Dit is slechts in twee gevallen: een werkgever mag informatie hebben om te bepalen hoe het verder moet met de werkzaamheden van de werknemer en een werkgever mag informatie hebben om te beoordelen of een werkgever loon moet doorbetalen aan de werknemer. Werkgevers mogen uitsluitend in dat kader informatie vragen en vastleggen, omdat het gaat over informatie die is gerelateerd aan de gezondheid van de werknemer. Met andere woorden: hier is sprake van de verwerking van gezondheidsgegevens, en deze bijzondere persoonsgegevens verdienen extra bescherming op grond van de AVG.

Werkgevers mogen de volgende concrete informatie vragen en registeren over hun werknemers:

  • Het telefoonnummer waarop de werknemer te bereiken is en het (verpleeg)adres.
  • Hoe lang de werknemer denkt dat de ziekte gaat duren.
  • Wat de lopende werkzaamheden en afspraken zijn van de werknemer.
  • Of de ziekte van de werknemer verband houdt met een arbeidsongeval. Een werkgever mag niet vragen of het verzuim werkgerelateerd is.
  • Of er sprake is van een verkeersongeval met regresmogelijkheid. Dat houdt in dat de werkgever de kosten van het ziekteverzuim en re-integratie mogelijk kunt verhalen op de veroorzaker van het ongeval.
  • Of de werknemer onder 1 van de 4 vangnetregelingen valt op grond van de Ziektewet. De werknemer is daarbij niet altijd verplicht om te melden onder welke regeling hij/zij valt.

Wat mag een werkgever niet vragen en registeren als het gaat om de zieke werknemer?

Werkgevers mogen niet-noodzakelijke informatie niet vragen en registeren over hun zieke werknemers. Kort gezegd mag een werkgever geen informatie vragen en registreren dat gaat over de aard en oorzaak van iemands ziekmelding. Deze taak is uitsluitend voorbehouden aan de arbodienst en/of de bedrijfsarts. Werkgevers hebben deze (bijzondere) persoonsgegevens namelijk niet noodzakelijkerwijs nodig om te bepalen hoe het verder moet met de werkzaamheden van de werknemer of om te beoordelen of dat zij loon moet doorbetalen aan de werknemer.

Meer weten?

Wil je meer weten over dit onderwerp? Of heb je nog vragen? Neem gerust contact met ons op. Wij helpen je graag verder. Wij zijn bereikbaar via telefoonnummer 030 889 65 75 of via e-mailadres info@lumengroup.nl. Op de website van de Autoriteit Persoonsgegevens vind je ook nog meer informatie over dit onderwerp.

Even voorstellen: Evelien

Lumen Group groeit. Graag stellen we aan u voor: Evelien Scholten. We stellen Evelien een paar vragen, zodat u haar gelijk een beetje leert kennen.

Wat is jouw rol bij Lumen Group? 

“Ik ben Privacy Consultant. Dit houdt in dat ik opdrachtgevers adviseer en begeleid bij de implementatie en compliance van privacywet- en regelgeving. Ook houd ik toezicht op de naleving hiervan. Dit kan zowel op afstand als op locatie bij opdrachtgevers.”

Hoe zien jouw werkdagen er ongeveer uit?

“We beginnen de dag als team met de dagstart: wat staat er op de planning voor vandaag? Vervolgens lees ik mijn e-mails en hou ik me bezig met het beantwoorden van klantvragen. De onderwerpen variëren van het beoordelen van een vermeend datalek tot vragen over implementatie of compliance van privacywetten- en regelgeving.”

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

Ik heb voor Lumen Group gekozen, omdat ik mezelf wil ontwikkelen tot een privacy-specialist. Bij Lumen Group kan ik erg veel leren en krijg ik de kansen om eigen verantwoordelijkheid te nemen.

Wat zijn jouw 3 opvallendste eigenschappen? 

Spontaan, doortastend, nuchter.

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

Er zijn meer sterren in het universum dan zandkorrels op aarde.

Datalek? “Show me, don’t tell me”


We hebben de zomervakantie nog niet eens volledig achter ons gelaten en in toenemende mate komen er al weer (vermeende) datalekken bij ons Datalek Loket binnen (gemiddeld 7 per week). Voorbeelden van (vermeende) datalekken die wij als Lumen Group en als FG/DPO in ons werk tegenkomen zijn:

  • In een openbare prullenbak is een groot aantal papieren dossiers gestopt met vertrouwelijke en bijzondere personeelsgegevens (waarmee kinderen vervolgens spelen en van de papieren iets bouwen in de speeltuin).
  • Iemand is zijn telefoon kwijt die hij/zij ook voor je werk gebruikt met daarin telefoonnummers van collega’s.
  • Door een fout in het toekennen of intrekken van toegangsrechten in een systeem met persoonsgegevens hebben onbevoegden toegang.
  • Een (onbeveiligde) werklaptop is gestolen in de trein.
  • Iemand stuurt een e-mail met persoonsgegevens naar een verkeerd e-mailadres.
  • Het netwerk is gehackt en niet uit te sluiten is dat persoonsgegevens worden ingezien of gestolen.
  • Kopiëren door onbevoegden van gemaakte camerabeelden van een diefstal (dat vervolgens op social media weer wordt gedeeld).
  • Per ongeluk openbaar zetten van een bestand of directory met persoonsgegevens of juist door dit per ongeluk op internet te publiceren.
  • Overnemen van persoonlijke mailbox door hackers / phishing (waarna geldsommen worden gevraagd aan alle aanwezigen in de mailbox).
  • Op de gang zetten van dozen papieren dossiers met personeelsgegevens en klantgegevens.
  • Open laten staat van een website met directe toegang tot een systeem met persoonsgegevens door niet af te sluiten op een computer in de openbare bibliotheek.

Dit geeft ons aan dat de bewustwording groeit en illustreert tevens de absolute noodzaak van de naleving van de AVG/GDPR en het risicobeheer daaromheen. Veel organisaties zijn daarin flinke slagen aan het maken, maar er zijn ook nog veel organisaties die (veel) te weinig doen.

Organisaties lopen risico’s als zij bij een onverhoopt datalek niet kunnen laten zien (‘show’) dat dit een incident is, dat plaatsvindt binnen een omgeving waarin privacy- en informatiebeveiliging alle aandacht krijgt.

De Autoriteit Persoonsgegevens (AP) kan bij een gemeld datalek getriggerd worden een onderzoek uit te voeren. Als daarin vervolgens geen structurele aanpak blijkt voor privacy en informatiebeveiliging, kan zij direct een boete toekennen bij voldoende ernst. Ook gebeurt het regelmatig dat reputatieschade wordt opgelopen door een organisatie doordat de feiten rondom het datalek in de pers zijn gekomen.

De AP, maar ook de FG/DPO, zal vragen naar structureel getroffen maatregelen en bewijs waaruit dit werkt. Ofwel; ‘show me, don’t tell me’.

Er komen allerlei soorten datalekken bij ons binnen. Kleine, maar ook grote en ‘tamelijk onhandige’ datalekken, zoals bijvoorbeeld waarbij personeelsdossiers in openbare prullenbakken worden aangetroffen.Dit maakt ons werk interessant maar liever voorkomen we datalekken met elkaar. Toch?

Uiteraard geldt ‘waar gehakt wordt vallen spaanders’ maar veelal is dit te voorkomen door het vergroten van de bewustwording van medewerkers. Heeft u ook een datalek? Neem dan snel contact met ons Datalek Loket om dit met elkaar te bespreken via 030- 889 65 75 of datalekloket@lumengroup.nl. Snel handelen voorkomt vaak veel erger!

Wilt u werken aan structurele verbeteringen in uw AVG aanpak, dan kunnen wij u als Lumen Group hierbij uiteraard ook verder helpen.

Bericht van jouw FG

Beste lezer,

Het schooljaar is nu bijna ten einde waarin het belang van privacy en informatiebeveiliging zichtbaar zijn gegroeid. Wij als Lumen Group merken dat vooral aan het toenemend aantal vragen en datalekken en beveiligingsincidenten die bij ons binnenkomen. Wij zijn trots op de veranderingen die jullie binnen het onderwijs afgelopen jaar hebben doorgezet. Echter, er ligt voor ieder schoolbestuur en samenwerkingsverband nog steeds een uitdaging om de implementatielat te gaan aantikken en daarna goed voorbereid te zijn op een situatie waarin privacy en informatiebeveiliging structureel en doorlopend en aantoonbaar geborgd zijn binnen de PDCA cyclus.

Daarnaast hebben wij in het tweede kwartaal van 2019 gewerkt aan een Q&A die op een slimme wijze IBP toegankelijk maakt. Verderop in de nieuwsbrief kun je lezen welke updates wij voor het nieuwe schooljaar gaan doorvoeren zodat deze Q&A doorlopend blijft groeien en jullie voor veel vragen in eerste aanleg daar ook terecht kunnen.

Voor degenen die we niet meer spreken; wij wensen jullie alvast een prettige zomervakantie waarna we weer vol aan de slag gaan.

Met vriendelijke groet,

Stijn Sarneel

Functionaris Gegevensbescherming

Even voorstellen: Peter en Mitchell

Lumen Group groeit. Graag stellen we aan u voor: Peter Tanamal en Mitchell Hendriks. We stellen Peter en Mitchell een paar vragen, zodat u hen gelijk een beetje leert kennen.

Wat is jouw rol bij Lumen Group? 

Peter: “Ik volg een opleiding om Functionaris Gegevensbescherming te worden. Mijn praktijkgedeelte loop ik bij de Lumen Group. In oktober wil ik worden gecertificeerd. Stagiair ben ik.”

Mitchell: “Ik werk bij Lumen Group als Privacy Consultant. Binnen deze rol zal ik onze opdrachtgevers adviseren en begeleiden bij de implementatie en compliance van privacywet- en regelgeving door middel van het bieden van praktische oplossingen.”

Hoe zien jouw werkdagen er ongeveer uit?

Peter: “Ik begin met het ontwijken van de files. Klokslag 09.00 heb ik in de auto de dag start, wie doet wat vandaag. Als ik binnenkom haal ik koffie voor mijn collega’s en mijzelf. Ik begin met het maken van monitoringsrapporten, evalueren van dataregisters, telefonisch acquireren, datalekken melden bij de Autoriteit Persoonsgegevens, deelnemen aan sales overleggen, ondersteuning bieden aan schoolbesturen, vragen beantwoorden uit datalekken, deelnemen aan steekproeven om een uitspraak te doen in welke mate een school AVG compliant is.”

Mitchell: “Hoofdzakelijk beantwoord ik de privacy gerelateerde vragen van onze opdrachtgevers door middel van praktische oplossingen en werkwijzen. Daarnaast begeleid ik hen bij implementatie en compliance van privacywet- en regelgeving. Tot slot organiseer ik privacy gerelateerde trainingen en seminars voor onze opdrachtgevers.”

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

Peter:  Ik heb ervaring als bedrijfsconsultant in het MKB, grootbedrijf en multinationals, voorts heb ik ervaring als 1e graads docent in het PO, VO en MBO en HBO onderwijs. Nu wil ik Functionaris Gegevensbescherming worden dat is een combinatie van mijn werkervaring. In het onderwijs is de Lumen Group marktleider als het gaat om het leveren van externe FG diensten. Een betere leerschool kan ik mij niet wensen.”

Mitchell: “De voornaamste reden dat ik voor Lumen Group heb gekozen is dat zij staat voor kwaliteit en expertise in combinatie met een praktische aanpak. Daarnaast wil Lumen Group graag de beste zijn binnen haar branche. De combinatie van deze factoren matcht naadloos met mijn DNA.”

Wat zijn jouw 3 opvallendste eigenschappen? 

Peter: “Resultaatgericht, ik wil winnen, zin voor realiteit”

Mitchell: “Ik denk dat mijn opvallendste eigenschap is dat ik lastige theorie begrijpelijk weet te maken en vervolgens praktische oplossingen weet voor te stellen. Daarnaast ben ik erg open-minded en nieuwsgierig waardoor ik het onbekende niet schuw. Tot slot ben ik ook kritisch ingesteld, wat maakt dat ik altijd zal doorvragen totdat het ware probleem is blootgelegd.”

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

Peter: “Pieker niet alleen over vraagstukken, hulp vragen aan anderen is geen schande.”

Mitchell: “Privacy lijkt op het eerste oog vaak een struikelblok voor organisatieprocessen, maar vaak opent het juist de deuren naar iets nieuws.”

AVG software uitgelicht: EasyPrivacy

Er zijn meerdere aanbieders van AVG-software voor het onderwijs. Lumen Group kent de verschillende aanbieders vanuit het werkveld. Wij denken graag met jullie mee. Welke pakketten zijn er, waar moet je op letten en welk pakket is het meest geschikt voor jullie situatie? Wij zitten hier dus objectief en onafhankelijk in, en lichten af en toe uiteenlopende AVG softwareprogramma’s uit. Dit keer EasyPrivacy, vanwege de koppeling met de PDCA.

EasyPrivacy is een online systeem, waarmee alle privacyverplichtingen voor scholen inzichtelijk zijn en worden vertaald naar praktische beheersmaatregelen. EasyPrivacy levert overzicht en inzicht en je kunt op transparante wijze verantwoording afleggen. Elke school heeft zijn eigen dashboard en voor het bestuur is alles samengebracht in één duidelijk overzicht.

Proeflicentie

EasyPrivacy bevat een bibliotheek met veel standaarddocumenten en templates. De FG kan op afstand meelezen, zodat deze op efficiënte wijze de naleving van de AVG kan monitoren. Je kunt kosteloos een proeflicentie aanvragen. Meer informatie? Klik hier.

Ontwikkelingen AVG/AP

Update van jouw FG

Iedereen is nog steeds druk met de implementatie van de AVG. Er worden grote stappen gezet en er begint steeds meer structuur te komen. Sommige zijn net gestart met de inrichting van een PDCA (Plan-Do-Check-Act) cyclus. Dit zorgt ervoor dat je als onderwijsinstelling doorlopend aantoonbaar ‘AVG proof’ zal zijn. Meer weten of vragen hierover? Neem gerust contact met ons op.

Ondertussen ontwikkelt Lumen Group zich ook hard door. We hebben er veel nieuwe onderwijsklanten bijgekregen (PO, VO, MBO en Samenwerkingsverbanden). Ook voor wat betreft kennisdeling en het beschikbaar stellen van best practices maken wij grote stappen. Dit is vooral te danken aan het feit dat we veel onderwijsklanten hebben en hierdoor veel AVG/IBP vragen, issues en beveiligingsissues tegenkomen. Wij willen voorkomen dat verschillende scholen het wiel proberen uit te vinden. Wij zien het als één van onze taken binnen het FG abonnement om naast goed toezicht en advies, waarde toe te voegen door kennis en kunde te delen.

Voorbeelden hiervan zijn:

  • Onze doorontwikkelde AVG Zelftoets. Deze ontvangen jullie binnenkort. De toets stelt jullie in staat om een goede risico-inschatting te maken van de ontwikkelingen rondom AVG en IBP. Het is de bedoeling deze Zelftoets in te vullen en te bespreken met o.a. de FG. Uit ervaring weten wij dat dit een krachtig instrument is om te kijken hoe jouw organisatie ervoor staat. De AVG Zelftoets zal ook centraal staan in de FG rapportage besprekingen die wij komende tijd met iedere onderwijsorganisatie gaan voeren.
  • Een interactief platform met AVG FAQ voor onderwijs. Een eerste ‘bètaversie’ hiervan zal spoedig verschijnen en is gebaseerd op praktijkervaring en externe bronnen. Het is de bedoeling dat we deze database aan blijven vullen met nieuwe vragen & antwoorden. Wij laten het weten zodra de lijst online staat.
  • Op 21 maart (Deventer) en 28 maart (Woerden) organiseren wij samen met Verus twee landelijke AVG kennissessies specifiek voor schooldirecteuren. De bijeenkomst is kosteloos voor onze abonnementhouders en geïnteresseerden. Klik hier voor meer informatie en aanmelden.
  • Op 14 juni organiseren we een bijeenkomst specifiek voor samenwerkingsverbanden (PO/VO). Deze bijeenkomst vindt plaats in Utrecht. Het is een ronde tafel met vooral als doel om van elkaar te leren. De samenwerkingsverbanden in ons netwerk worden hier nog apart over geïnformeerd.

Onze FG-ers zullen jullie komende maanden allemaal (weer) bezoeken. We nemen dan ook de bovenstaande en andere ontwikkelingen met elkaar door.

Cyber Security Spreekuur

Lumen Group organiseert in 2019 iedere maand een cyber security spreekuur.

Tijdens dit spreekuur kunnen onze klanten bij ons terecht met vragen over de informatiebeveiliging van systemen, netwerken en applicaties. Het eerste spreekuur zal plaatsvinden op:

17 januari, van 14:00 uur tot 15:00 uur.

Bel ons op 030 – 889 65 75.

Natuurlijk zijn we ook buiten dit spreekuur bereikbaar voor vragen (over uiteenlopende onderwerpen). Dit spreekuur is echter bedoeld om optimale focus en aandacht te hebben op dit specifieke onderwerp.

Even voorstellen: Nina

Lumen Group groeit. Ook qua management ondersteuning breiden wij uit. Graag stellen we aan u voor: Nina van Wilgen. We stellen Nina een paar vragen, zodat u haar gelijk een beetje leert kennen.

Wat is jouw rol bij Lumen Group? 

“Bij Lumen Group werk ik veel achter de schermen. Ik zorg voor de ‘onboarding’ van nieuwe klanten en de facturatie. Ook richt ik mij op business development en onderzoek ik nieuwe kansen.”

Hoe zien jouw werkdagen er ongeveer uit?

“Bij Lumen Group houden we van focus en structuur. We starten we elke dag met een dagstart. Hierin bespreken we wat er gebeurd is en wat we die dag zelf gaan doen. Na de dagstart ga ik meestal door de e-mails heen en begin ik deze af te werken. We lunchen altijd gezamenlijk, dat is erg gezellig. In de middag werk ik meestal aan de business development. Aan het eind van de dag sluiten we nog even af door te bespreken wat we die dag hebben gedaan en waar we de volgende dag mee beginnen.”

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

“Ik heb gekozen om bij Lumen Group te gaan werken omdat ik veel affiniteit heb met het onderwijs, een belangrijke markt van Lumen Group. Hiernaast werk ik namelijk ook nog in de bijles- en huiswerkbegeleiding. Ook de zorg een andere doelgroepen van Lumen Group vind ik interessant.”

Wat zijn jouw 3 opvallendste eigenschappen? 

“Mijn 3 opvallendste eigenschappen zijn mijn doorzettingsvermogen, mijn punctualiteit en mijn spontaniteit.”

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

“Ik wens alle klanten van Lumen Group een heel gelukkig en productief 2019 en ik hoop jullie allemaal eens te zien!”