Geldt de privacywetgeving (GDPR) ook in tijden van Coronacrisis?

De Coronacrisis heeft een grote impact op ons allemaal.  Heel wat mensen zijn -terecht- ongerust over hun gezondheid en bij heel wat bedrijven bestaat de vraag op welke manier zij hun personeelsleden het best kunnen beschermen tegen besmetting.  Daarvoor kunnen praktische maatregelen genomen worden, zoals thuiswerk, afstand houden, handgels ter beschikking stellen, etc…

In een aantal gevallen echter zien we dat bedrijven ook interne crisiscommunicatie willen voeren en dat zij daarbij bekijken in welke mate zij bepaalde informatie over hun personeelsleden kunnen verzamelen (bvb wie recent met skivakantie ging in Italië of Oostenrijk, wie gezinsleden heeft die ziek zijn) of zelfs in welke mate zij zelf controles kunnen invoeren (bvb koortsmetingen met warmtescanners aan de ingang van het gebouw.

Sommige bedrijven lijken daarbij uit te gaan van het principe “nood breekt wet” om tot actie over te gaan.  Het is daarbij echter belangrijk om in het achterhoofd te houden dat de privacywetgeving (met name de Algemene Verordening Gegevensbescherming, AVG of GDPR) van kracht is en blijft ook tijdens deze crisis. De inhoud hiervan heeft voorrang op eventuele crisismaatregelen van de Belgische overheid.  Het gaat immers om een Europese Verordening die voorgaat op nationale wetgeving.

Het is dus belangrijk om bij élke beslissing ten aanzien van personeel en klanten enkele basisprincipes goed in het achterhoofd te houden:

  • Medische gegevens mogen alleen verwerkt worden als de betrokkene voorafgaand zijn (vrije) toestemming daarvoor gegeven heeft.  De vraag of iemand Corona heeft, of iemand koorts heeft, of iemand gekende risicoaandoeningen heeft, etc… zijn stuk voor stuk vragen naar medische gegevens en die kunnen niet gesteld worden aan personeel of klanten zonder voorafgaande toestemming.  Ook het zelf inzamelen ervan, bijvoorbeeld met warmtescanners, kan niet zonder de (opnieuw vrije) toestemming van de betrokkene. “Vrij” betekent hier dat de betrokkene neen moet kunnen zeggen zonder daarvoor op welke manier dan ook nadeel te ondervinden…
    De GDPR voorziet weliswaar een uitzondering waarbij medische gegevens verwerkt mogen worden zonder voorafgaande toestemming als dat noodzakelijk is voor de bescherming van de “vitale belangen” van de betrokkene of van anderen. De Gegevensbeschermingsautoriteit, de bevoegde overheid die toeziet op het naleven van de GDPR, heeft zeer duidelijk gezegd dat dat zelfs in deze tijden van Coronacrisis niet het geval is. De uitzondering kan enkel gebruikt worden als er rechtstreeks en dadelijk levensgevaar bestaat, wat ondanks het feit dat mensen kunnen overlijden aan Corona niet het geval is.
  • Niet-medische gegevens kunnen ook enkel verzameld worden als daarvoor een geldige rechtsgrond bestaat.  Dat kan toestemming zijn of eventueel in een aantal gevallen wellicht “gerechtvaardigd belang”, maar in elk geval moet die rechtsgrond blijken uit de dataregisters van het bedrijf en uit de privacy policy van het bedrijf.

  • In alle gevallen (medische gegevens of niet, toestemming of niet) moet élke verwerking “proportioneel” zijn. Je mag als bedrijf enkel persoonsgegevens verwerken die noodzakelijk zijn, je moet voor elke verwerking de impact op de betrokkene afwegen, je mag gegevens niet langer bijhouden dan nodig en ze enkel delen met derden als dat strikt noodzakelijk is. Zo zal je bijvoorbeeld niet zomaar kunnen eisen dat je personeelsleden vertellen waar ze met skivakantie geweest zijn.  Die informatie is immers voor jou als werkgever niet noodzakelijk en het zal erg moeilijk zijn om aan te tonen dat jouw belang als bedrijf groter is dan het recht op privacy van de betrokkene. Het stigma dat al snel rust op iemand die net uit de skigebieden terugkomt is immers erg groot…