POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
Arbodienst
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
28 april 2004 Z2003-0145
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
Klacht; verzoeker/arbodienst Naar aanleiding van de klacht van verzoeker heeft het College bescherming persoonsgegevens (CBP) besloten een onderzoek in te stellen. Hieronder volgen de conclusies van het onderzoek. Het CBP wil u vooraf zijn excuses aanbieden voor de late afhandeling van deze zaak. Klacht Op grond van de door verzoeker verstrekte informatie is de klacht als volgt geformuleerd: - Het feit dat de persoonsgegevens van verzoeker, die onder het medische beroepsgeheim vallen, middels een elektronisch medisch dossier voor alle bedrijfsartsen van de arbodienst beschikbaar zijn. - Het feit dat een onbekende bedrijfsarts zonder medeweten en toestemming van verzoeker een functie-ongeschiktheids-advies op basis van niet-actuele informatie heeft verstrekt aan het UWV (voorheen USZO geheten) en de werkgever. Onderzoek Bij brief van 19 maart 2003 heeft het CBP u in de gelegenheid gesteld op de klacht te reageren en daarnaast verzocht een aantal vragen te beantwoorden. Deze reactie werd op 1 juli 2003 ontvangen. Op 7 juli 2003 heeft het CBP telefonisch contact met u gehad voor aanvullende informatie. Een kopie van uw brief is aan verzoeker gestuurd. Naar aanleiding hiervan heeft verzoeker op 10 juli 2003 een reactie aan het CBP gestuurd. De voorlopige bevindingen van het onderzoek zijn op 30 september 2003 aan u toegestuurd. Het CBP heeft hierop een schriftelijke reactie van verzoeker en de arbodienst ontvangen. De voorlopige bevindingen van deze zaak zijn door het CBP op 30 september 2003 aan de arbodienst en verzoeker toegestuurd. Het CBP heeft op 23 oktober 2003 van verzoeker en op 7 november van de arbodienst een schriftelijke reactie ontvangen. Een kopie van deze reacties is aan verzoeker en de arbodienst toe gestuurd. Hierop heeft verzoeker op 22 november 2003 een reactie aan het CBP toegestuurd. Een kopie van deze brief voegt het CBP hierbij toe. de arbodienst verzocht in haar brief van 7 november 2003 om in de gelegenheid gesteld te worden om een mondelinge toelichting te geven. Het CBP achtte deze mondelinge toelichting niet noodzakelijk. Bevindingen De bevindingen van het CBP luiden als volgt: Verzoeker heeft een klacht ingediend over het feit dat haar persoonsgegevens, die zijn opgeslagen in een elektronisch medisch dossier, toegankelijk zijn voor alle bedrijfsartsen van de arbodienst. In BIJLAGEN BLAD
1
DATUM ONS KENMERK
28 april 2004 Z2003-0145
uw brief van 1 juli 2003 en het telefoongesprek van 7 juli 2003 bevestigt de arbodienst dat alle artsen toegang hebben tot de medische dossiers van alle cliënten omdat zij die nodig hebben voor hun werkzaamheden. Buiten de artsen zijn er geen personen die toegang hebben tot het elektronisch medisch dossier van de cliënten van de arbodienst. In de brief van 7 november komt de arbodienst hierop terug, door aan te geven in welke mate bedrijfsartsen bij de arbodienst toegang hebben tot de medische dossiers. In het kader van de functie en taakstelling is het noodzakelijk dat bedrijfsartsen bij de arbodienst ook toegang hebben tot andere medische dossiers dan de direct eigen cliëntenkring. Verzoeker heeft tevens geklaagd over het feit dat het functie-ongeschiktheids-advies door een voor haar onbekende bedrijfsarts op basis van niet actuele informatie is opgesteld en verstrekt aan het UWV (voorheen USZO). Over de totstandkoming van het functie-ongeschiktheidsadvies geeft de arbodienst toe dat de daarvoor bestemde procedure niet correct is uitgevoerd. In de brief van 19 maart 2003 vraagt het CBP of en welke maatregelen de arbodienst heeft getroffen om dit in de toekomst te voorkomen. Naar het oordeel van de arbodienst was er in dit geval sprake van een incident (brief 30 juni 2003). Voor zover bekend heeft een dergelijk voorval zich niet eerder voorgedaan. De regel is dat voor de totstandkoming van het functie-ongeschiktheids-advies de daarvoor bestemde procedure wordt gevolgd. Tenslotte geeft verzoeker in de brief van 15 januari 2003 aan de arbodienst aan dat het functieongeschiktheids-advies door de bedrijfsarts aan de werkgever is verstrekt. In de reactie van de arbodienst aan het CBP wordt gesteld dat de werkgever geen inzage krijgt in het functieongeschiktheids-advies omdat deze immers medische gegevens bevat. Er bestaat, volgens de arbodienst, in casu ook geen reden om aan te nemen dat het functie-ongeschiktheids-advies aan de werkgever van verzoeker is verstrekt. In de brief van verzoeker van 10 juli 2003 stelt zij dat haar werkgever bij de arbodienst om het functie-ongeschiktheids-advies heeft verzocht en dat zij ervan uitgaat dat de werkgever ook een reactie van de bedrijfsarts op dit verzoek heeft gekregen. Zij wil van de arbodienst weten welke reactie haar werkgever heeft ontvangen. Norm / wettelijk kader Voor bedrijfsartsen geldt een medisch beroepsgeheim. Hoewel de geheimhoudingsplicht op basis van de WGBO (artikel 7:457 Burgerlijk Wetboek) (nog) niet van toepassing is voor alle handelingen van bedrijfsartsen, geldt er wel op grond van artikel 88 van de Wet BIG geheimhouding voor bedrijfsartsen. Op basis van artikel 9, vierde lid Wet bescherming persoonsgegevens (WBP) dient een verwerking van de persoonsgegevens achterwege te blijven indien een geheimhoudingsplicht daaraan in de weg staat. Het CBP is van oordeel dat alleen bedrijfsartsen en degenen die vanuit hun functie en taakstellingstelling de medische gegevens nodig hebben, toegang mogen hebben tot het (elektronisch) medisch dossier van een werknemer c.q cliënt. De toegang tot het dossier kan slechts plaats vinden voor zover dat noodzakelijk is voor de door hen te verrichten werkzaamheden. Dit noodzakelijkheidsvereiste volgt uit artikel 21, eerste lid, onder f, sub 1 en 2 van de WBP. Op basis van artikel 13, WBP moet de verantwoordelijke passende organisatorische
BLAD
2
DATUM ONS KENMERK
28 april 2004 Z2003-0145
en technische maatregelen treffen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerkingen. Beoordeling Hieronder volgt een puntsgewijze behandeling van de klacht. De eerste vraag is of de medische gegevens van verzoeker middels het elektronisch medische dossier aan alle bedrijfsartsen van de arbodienst beschikbaar mogen worden gesteld. Op basis van artikel 9, vierde lid in samenhang met artikel 21, eerste lid, onder f, sub 1 en 2 van de WBP mogen alleen de bedrijfsarts en degenen die vanuit hun functie en taakstellingstelling de medische gegevens nodig hebben, toegang hebben tot een (elektronische) medische dossier. Dat betekent dat een bedrijfsarts in principe alleen toegang heeft tot die dossiers van werknemers c.q. cliënten waarbij hij gezien zijn functie en taakstelling direct of als vervanger betrokken is en dat een elektronisch dossier niet toegankelijk mag zijn voor alle bedrijfsartsen. In de brief van 7 november 2003 onderkent de arbodienst dat een bedrijfsarts slechts toegang mag hebben tot de elektronische dossiers die hij voor zijn functie en taakstelling nodig heeft. de arbodienst heeft hierbij aannemelijk gemaakt dat het voor de taakuitoefening van de bedrijfsarts noodzakelijk is dat er een (beperkt) onderlinge uitwisselbaarheid van medische dossiers is. Er bestaat namelijk geen exclusieve relatie tussen een werknemer en een specifieke bedrijfsarts. Daarnaast moet een bedrijfsarts voor de dienstverlening en advisering richting een organisatie kunnen beschikken over de informatie van alle werknemers van de desbetreffende organisatie. Op basis van artikel 13, WBP dient de arbodienst passende organisatorische en technische maatregelen treffen om te zorgen dat de bedrijfsartsen slechts toegang krijgen tot de elektronische medische dossiers die zij voor de uitvoering van hun functie en taakstelling nodig hebben. Technische maatregelen, zoals toegang middels autorisatie, heeft hierbij de voorkeur. Een verantwoordelijke mag pas overgaan tot het treffen van louter organisatorische maatregelen als hij kan aantonen dat het niet mogelijk is passende technische maatregelen te nemen. Dit dient dan wel gecompenseerd te worden met extra organisatorische maatregelen en controle op de naleving hiervan. de arbodienst geeft in de brief van 7 november 2003 aan dat het praktisch onuitvoerbaar is om per medisch dossier aan te geven welke bedrijfsarts hiertoe toegang heeft. Wel heeft de arbodienst middels een éénduidige organisatie zijn medewerkers hierover geïnformeerd. Daarnaast zorgen de gerichte selectiecriteria bij het opvragen van een elektronisch medisch dossier voor een barrière voor een niet-noodzakelijke inzage. de arbodienst geeft hiermee aan dat de toegang tot de elektronische medische dossiers beperkt blijft tot de bedrijfsarts en zijn vervangers die deze gegevens gezien hun functie en taakstelling nodig hebben. Dit is middels regels vastgelegd in het privacyreglement en het Kwaliteitshandboek. Controle hierop vindt plaats door een externe audit-organisatie in het kader van het certificaat dat een arbodienst verplicht is te hebben. Hiermee heeft de arbodienst passende organisatorische en technische maatregelen getroffen om de elektronische medische dossiers te beschermen tegen onrechtmatige verwerkingen.
BLAD
3
DATUM ONS KENMERK
28 april 2004 Z2003-0145
De tweede vraag gaat over het feit dat een onbekende bedrijfsarts een functie-ongeschiktheidsadvies op basis van niet actuele informatie aan het UWV heeft verstrekt. In de brief aan verzoeker van 21 juni 2002 geeft de arbodienst toe dat de procedure voor de functie-ongeschiktheids-advies niet correct is uitgevoerd. Het CBP ziet daarom geen aanleiding tot verdere opmerkingen. de arbodienst stelt dat de verstrekking van een functie-ongeschiktheids-advies op basis van niet actuele informatie een éénmalige gebeurtenis is en heeft maatregelen getroffen om dit in de toekomst te voorkomen. Gezien het feit dat er geen signalen bij het CBP zijn dat het hier geen incident betreft, acht het CBP deze reactie afdoende. Tenslotte is er de vraag of het functie-ongeschiktheids-advies door de bedrijfsarts aan de werkgever is verstrekt. In de voorgelegde stukken veronderstelt verzoeker dat de uitslag van de functie-ongeschiktheids-advies aan de werkgever is verstrekt, maar is niet gebleken dat de verstrekking daadwerkelijk heeft plaats gevonden. Uit de aangedragen feiten en omstandigheden blijkt niet of en op welke wijze de arbodienst heeft gehandeld in strijd met de WBP. Het CBP acht zich daarom onvoldoende in staat hierover een oordeel te vellen. In de brief van 23 oktober 2003 geeft verzoeker aan dat zijn wil weten of de werkgever een positief functie-ongeschiktheidsadvies van de arbodienst heeft ontvangen. Het betreft een brief die hierover door de arbodienst aan de werkgever is verstrekt en waar verzoeker niet over beschikt. Gelet op het feit dat deze brief persoonsgegevens van verzoeker bevat adviseert het CBP haar om op basis van artikel 35, WBP inzage in deze brief te vragen. Conclusie Bij de arbodienst wordt de toegang tot de medische dossiers bepaald door de functie en taakstelling van de bedrijfsarts. de arbodienst heeft aannemelijk gemaakt dat het voor de taakuitoefening van de bedrijfsarts noodzakelijk is dat medische dossiers (beperkt) onderling worden uitgewisseld. Zoals uit het voorgaande blijkt, heeft de arbodienst bij de toegang van de medische dossiers aan het noodzakelijkheidsvereiste van artikel 21, eerste lid, onder f, sub 2 van de WBP voldaan. Het CBP is derhalve van oordeel dat de arbodienst niet in strijd heeft gehandeld met artikel 9, vierde lid in samenhang met 21, eerste lid, onder f, sub 1 en 2 van de WBP. De arbodienst heeft passende organisatorische en technische maatregelen getroffen om de elektronische medische dossiers te beschermen tegen verlies en onrechtmatige verwerkingen. Het CBP is van oordeel dat de arbodienst niet in strijd met artikel 13 van de WBP heeft gehandeld. Over het niet correct uitvoeren van de procedure voor het functie-ongeschiktheids-advies ziet het CBP geen aanleiding tot het geven van verdere opmerkingen. Over de vraag of de arbodienst het functie-ongeschiktheids-advies aan de werkgever mag verstrekken heeft het CBP geen oordeel geveld. Het CBP wijst verzoeker op de mogelijkheid om hier inzage in te verzoeken. Afsluiting Met deze brief beschouwt het CBP de zaak als afgedaan.
BLAD
4
DATUM ONS KENMERK
28 april 2004 Z2003-0145
Het besluit van het CBP om het onderzoek te beëindigen is geen besluit in de zin van de Algemene wet bestuursrecht. U kunt derhalve geen bezwaarschrift indienen. U kunt het CBP alleen verzoeken om terug te komen op zijn besluit wanneer u nieuwe feiten en omstandigheden kunt aangeven die kunnen leiden tot een andere beslissing. Het CBP vertrouwt erop u hiermee voldoende geïnformeerd te hebben. Hoogachtend,
mr. U. van de Pol Collegelid
BLAD
5
