De AVG in coronatijd
De Algemene verordening gegevensbescherming (AVG) zorgt ervoor dat persoonsgegevens van alle inwoners binnen de Europese Unie, via dezelfde privacywetgeving beschermd worden. Door de coronacrisis, moet er nagedacht worden op welke manier de werkgever met informatie over testuitslagen en vaccinaties om mag gaan. In deze blog lees je meer over de AVG in coronatijd en welke informatie je als werkgever wel of niet mag opvragen.
Welke gegevens mag een ondernemer in de horeca of met een contactberoep aan klanten vragen en registreren?
Wanneer je ondernemer in de horeca bent of wanneer je een contactberoep zoals masseur, kapper of schoonheidsspecialist uitoefent, moet je een checkgesprek voeren met iedere klant die binnenkomt. Verder ben je verplicht om te vragen of je de contactgegevens van de klant mag registreren. Het checkgesprek bestaat uit het vragen naar de gezondheid van de klant. De antwoorden die de klant heeft, mag je beslist niet registreren, alleen aanhoren. Verder mag je geen vragen stellen als iemand een online reservering bij je plaatst, dit mag pas als diegene fysiek bij je langskomt.
Hoewel je als ondernemer of werknemer met contactberoep de klanten moet vragen naar het registreren van hun contactgegevens, is de klant niet verplicht dit te doen. De contactgegevens worden door de GGD gebruikt voor bron- en contactonderzoek, maar je klanten hoeven hier niet aan mee te werken. Je mag klanten die weigeren om hun contactgegevens achter te laten, niet weigeren. Je mag de klant namelijk niet onder druk zetten om de contactgegevens achter te laten, door een nadelig gevolg voor de klant.
Hoe lang mag je de contactgegevens van klanten bewaren?
De contactgegevens van klanten in de horeca, kapperszaken en andere contactberoepen mogen maximaal 14 dagen bewaard worden. Wanneer je dit langer bewaart dan 14 dagen, riskeer je een boete van de AP (Autoriteit Persoonsgegevens). Zorg er dus voor dat je de contactgegevens iedere 14 dagen vernietigt.
Mogen werkgevers registreren of hun medewerkers zijn gevaccineerd tegen corona?
De AP controleert bedrijven op het correct hanteren van de AVG. Als werkgever mag je enkel en alleen met een gerechtvaardigd doel registreren of je werknemer tegen corona gevaccineerd is. Er is voor jou bijvoorbeeld geen reden om te registreren of je werknemer gevaccineerd is als dit geen verschil maakt qua risico of de inzetbaarheid van werknemers. Wil je bijvoorbeeld een registratie bijhouden van gevaccineerde werknemers omdat je snel immuniteit op de werkvloer wil creëren? Dan is dit ook geen gegronde reden. Werknemers die gevaccineerd zijn, kunnen het virus namelijk nog steeds bij zich dragen.
Wanneer je niet kunt bewijzen waarom het voor jou een noodzaak is om gevaccineerde werknemers te registreren, overtreed je de AVG. Kun je dit wel, dan dien je duidelijk omschreven doel aan te leveren bij de AP, mochten zij je hierop komen controleren. Verder kan het registreren van werknemers die wel gevaccineerd zijn, het gevoel geven aan de niet-gevaccineerden dat andere zij verplicht worden om zich ook te laten vaccineren. Volgens de Nederlandse regering moet de vaccinatie vrijwillig blijven. Je mag gevaccineerd werknemers bijvoorbeeld ook niet meer rechten geven dan niet-gevaccineerd werknemers. Alleen bedrijfsartsen en de arbodienst hebben recht op het verwerken van gezondheidsgegevens van je werknemers.
Mogen organisaties een coronasneltest doen als toegangscontrole?
Organisaties moeten aan eisen van de AVG voldoen, voordat zij bij werknemers, bezoekers of klanten sneltests mogen afnemen. Volgens de AVG mag je de uitslag van een sneltest alleen aflezen en niet in een bestand bewaren. Verder mag de verwerking van de uitslag van de sneltest mag ook niet geautomatiseerd zijn. Eigenlijk dien je de uitslag dus direct weg te gooien.
Op welke manier worden de gegevens van klanten of collega’s op de thuiswerkplek beschermd?
Wanneer je werknemers meer vanuit huis laat werken gedurende de coronaperiode, is het belangrijk om datalekken vanuit de thuiswerkplekken te voorkomen. Het is niet de bedoeling dat persoonsgegevens op straat komen te liggen. Vandaar dat je er als werkgever voor moet zorgen dat je werknemers thuis beveiligd aan het werk kunnen. Bescherm gevoelige documenten tegen internetcriminelen en zorg dat je voorzichtig bent in het gebruik van video-bel apps. Daarnaast moet er extra op pfishingmails gelet worden als je werknemers vanaf hun eigen computer of laptop werken. Vermijd gratis iCloud- email- of opslagdiensten. De kans is groot dat deze onvoldoende beveiligd zijn. Dit maakt het voor hackers makkelijk om bij de documenten en persoonsgegevens te komen. Het beste is daarom om je werknemers van apparatuur van de zaak te voorzien. Zo kan er altijd op dezelfde beveiligde server als op kantoor worden ingelogd. Je beperkt hiermee het risico van de impact die thuiswerken kan hebben op de beveiliging van persoonsgegevens.
Mag je als werkgever je personeel controleren op corona?
Nee, je mag als werkgever zelf geen testen uitvoeren bij werknemers. Wil je toch je personeel op corona laten testen? Schakel hier dan een bedrijfsarts voor in. De bedrijfsarts is namelijk wel bevoegd om je personeel te testen op het virus.
Wil je meer weten over de AVG? Schakel ons dan in als jouw kennispartner
Bij Payingit zijn wij gespecialiseerd in alles wat met cao’s, arbeidscontracten, wet- en regelgeving omtrent je klanten en werknemers te maken heeft. Wij zorgen er constant voor dat ons team op de hoogte is van de laatste veranderingen op het gebied van werkgeverschap, verloningen en nog veel meer. Wanneer je met ons samenwerkt, zorgen wij ervoor dat je tijdig van belangrijke veranderingen en informatie op de hoogte wordt gebracht. We werken altijd samen met jou aan een oplossing wanneer er nieuwe wetten of regels worden ingevoerd.