Werkgevers mogen geen medische dossiers niet opslaan

Een werkgever mag geen gegevens over de aard en oorzaak van de ziekte van zieke werknemers verwerken. Het is dan ook niet toegestaan dat een bedrijfsarts of arbodienst medische dossiers van werknemers opslaat in een verzuimsysteem dat de werkgever zelf gebruikt en beheert.

De AP meldt regelmatig vragen van werkgevers te krijgen over het opslaan van medische dossiers in verzuimsystemen. De privacytoezichthouder heeft daarom nu een aantal do’s & don’ts op een rijtje gezet om meer duidelijkheid te geven. Zo is het niet toegestaan medische gegevens op te slaan in een zelf beheerd verzuimsysteem, maar mag een bedrijfsarts of arbodienst wel gevraagd worden medisch dossiers wel werknemers op te slaan in een door de werkgever uitgekozen verzuimsysteem. Dit kan bijvoorbeeld het (extern beheerder) verzuimsysteem zijn dat hij zelf gebruikt.

In dit geval is het wel noodzakelijk een bewerkersovereenkomst af te sluiten met de beheerder van het verzuimsysteem. In deze overeenkomst moet onder andere zijn opgenomen dat alleen de bedrijfsarts of arbodienst toegang krijgt tot de medische dossiers. Ook moet zijn vastgelegd dat deze zich bij toegang via internet moet identificeren via meerfactorauthentificatie.