Privacy - Wat niemand over je mag weten

Communicatie bij ziekte

12-07-2018, 09:56 door Anoniem, 23 reacties
Onlangs was er discussie op de werkvloer over de communicatie rondom een chronisch zieke collega.

Op verzoek van de betreffende college zelf heeft de manager een mail rond gestuurd om collega's te informeren over de ziekte van de betreffende college. Nu wordt er gesteld dat er 'medische gegevens' in de mailboxen van medewerkers zit wat ten strengste verboden is.

Nog even los van het communicatiebeleid en de vraag of dergelijke berichtgeving per mail wenselijk is, lijkt het me persoonlijk dat men hier gewoon teveel naar de letter van de wet kijkt.

Wat zijn jullie gedachtes?
Reacties (23)
12-07-2018, 12:54 door SecOff - Bijgewerkt: 12-07-2018, 12:56
De zieke collega heeft hier toestemming gegeven voor het informeren van de collega's, tot zover geen probleem dus.
Mag dat dan via de e-mail? De wet zegt niets over het gebruik van e-mail alleen maar dat er passende technische en organisatorische maatregelen genomen moeten worden. Het is niet verboden medische informatie via e-mail uit te wisselen, dat hangt af van de genomen beveiligingsmaatregelen.

E-mail kan voldoende veilig kan zijn maar ook niet. Als het om jullie bedrijfsemail gaat en het e-mailsysteem en de apparatuur waarop de e-mail wordt gelezen in jullie organisatie zijn goed beveiligd (bijvoorbeeld gebruik van STARTTLS, versleuteling van de apparatuur, 2-factor authenticatie op de webmail) dan moet het gewoon kunnen.

Versturen naar prive e-mail adressen waarvan niet duidelijk is of de beveiliging op orde is wordt al discutabel (is de verzender in dit geval verantwoordelijk voor de beveiligng bij de ontvanger?)
12-07-2018, 13:25 door Anoniem
En wat als de collega in kwestie een briefje op het prikbord had gehangen of een blogsite over zijn ziekte zou zijn begonnen?
Ga gewoon aan het werk in plaats van over zo iets te beginnen. Verwijder het mailtje in kwestie en ga over tot de orde van de dag als je het niet wil lezen of weten.
12-07-2018, 19:36 door Anoniem
Door SecOff: De zieke collega heeft hier toestemming gegeven voor het informeren van de collega's, tot zover geen probleem dus.
Mag dat dan via de e-mail? De wet zegt niets over het gebruik van e-mail alleen maar dat er passende technische en organisatorische maatregelen genomen moeten worden. Het is niet verboden medische informatie via e-mail uit te wisselen, dat hangt af van de genomen beveiligingsmaatregelen.

E-mail kan voldoende veilig kan zijn maar ook niet. Als het om jullie bedrijfsemail gaat en het e-mailsysteem en de apparatuur waarop de e-mail wordt gelezen in jullie organisatie zijn goed beveiligd (bijvoorbeeld gebruik van STARTTLS, versleuteling van de apparatuur, 2-factor authenticatie op de webmail) dan moet het gewoon kunnen.

Versturen naar prive e-mail adressen waarvan niet duidelijk is of de beveiliging op orde is wordt al discutabel (is de verzender in dit geval verantwoordelijk voor de beveiligng bij de ontvanger?)

Ik ga een stuk met je mee, maar wat betreft dat laatste punt: dat is niet discutabel, de verzender (de gegevenshouder) is altijd verantwoordelijk voor de veiligheid van de gegevens, niet de ontvanger. Als de veiligheid niet in orde is, mag de mail niet worden verstuurd. Mail servers kunnen zodanig worden geconfigureerd dat ze alleen werken als een bericht versleuteld wordt verstuurd. Soms kan dat per adres, of misschien vereist het een additionele beveiligde mail server. Nogmaals, de verzender kan er ook voor kiezen het bericht helemaal niet naar buiten te sturen. Dat kan bijvoorbeeld door een string toe te voegen die altijd wordt tegengehouden op de uitgaande mail scanner. Als ik de chef was in deze bedrijfsomgeving zou ik het zo hebben gedaan. Eenvoudig en doeltreffend.

@Vandaag, 13:25 door Anoniem
Wat als een ontvanger op de maan zit? Niet aan de orde. "Wat als" is doorgaans geen geldig argument. Je verdere commentaar is onzinnig en beledigend.
12-07-2018, 20:14 door Anoniem
Een beetje een Jiskefet afdelings discussie.

Als een collega zelf vraagt om iedereen op de hoogte te stellen dan mag dat natuurlijk. (Het is wel nieuw, want tot in de jaren 70 mocht er bijvoorbeeld door apotheken geen bijsluiter bij pillen worden gegeven. Toen was medisch geheim inderdaad enkel voor dokters...)

Altijd netjes om zo een mail te beginnen met dat de collega daar zelf om heeft gevraagd en het prima vindt dat het per email gaat. En eerst de zieke collega het concept even laten lezen, nog netter natuurlijk.

Dat niemand mag weten wat je mankeert is wel heel ouderwets gedacht.
12-07-2018, 20:52 door Anoniem
Er is een groter probleem als de rondgezonden e-mail. Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.
12-07-2018, 21:27 door karma4
De gdpr heeft het over persoonsgegevens bijzondere persoonsgegevens en de toestemming dan vrijwillig in openbaarheid brengen van informatie door de persoon zelf.

Er is door de persoon zelf een keuze gemaakt om die informatie te openbaren. De enige echte vraag is of het een vrijwillige keuze is. Als dat zo is dan heb je dat te respecteren en het is jouw keus wat jij daar mee doet.
12-07-2018, 22:27 door Tha Cleaner
Door Anoniem: Er is een groter probleem als de rondgezonden e-mail. Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.
Je bedoelt dat je de vraag niet gelezen hebt?

Op verzoek van de betreffende college zelf heeft de manager een mail rond gestuurd om collega's te informeren over de ziekte van de betreffende college. Nu wordt er gesteld dat er 'medische gegevens' in de mailboxen van medewerkers zit wat ten strengste verboden is.
Daarnaast mag je wel gewoon heel open met je werkgever praten over je ziekte. Goed communiceren en overleggen werkt namelijk vaak heel goed en vaak beter dan geheimzinnig doen of meteen je poten in het zand zetten en over je rechten beginnen.
Soms is dat helaas ook nodig, maar vaak niet. Bij een goede werkgever en werknemer verhouding werkt dit het beste.
12-07-2018, 23:32 door Anoniem
Door Anoniem:
Op verzoek van de betreffende college zelf heeft de manager een mail rond gestuurd om collega's te informeren over de ziekte van de betreffende college. Nu wordt er gesteld dat er 'medische gegevens' in de mailboxen van medewerkers zit wat ten strengste verboden is.

Wie heeft dat gesteld?
De betreffende zieke collega, de manager, de directie, of een collega van de werkvloer die ook even wil meekletsen
over het populaire onderwerp van vandaag, de AVG??
13-07-2018, 09:58 door Briolet
Door Anoniem: Er is een groter probleem als de rondgezonden e-mail. Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.

Lijkt me in zijn algemeenheid onjuist. Zelf ben ik ook werkgever met een paar personeelsleden. (<5). Ik denk dat ze het kil zouden vinden als ik hun ziekte zou negeren. Dat is niet goed voor de arbeidsverhouding. Natuurlijk ga je hen vragen hoe ze zich voelen. En als je ziet dat iemand zich op de werkvloer niet lekker voelt, vraag je erna en stuurt ze eventueel eerder naar huis.

Maar dat is hier niet aan de orde omdat het initiatief van de zieke zelf kwam. Blijkbaar wil hij voorkomen dat er allerlei verhalen over hem de ronde gaan doen door het via een officieel kanaal te laten vertellen.
13-07-2018, 10:19 door Anoniem
Door Briolet:
Door Anoniem: Er is een groter probleem als de rondgezonden e-mail. Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.

Lijkt me in zijn algemeenheid onjuist. Zelf ben ik ook werkgever met een paar personeelsleden. (<5). Ik denk dat ze het kil zouden vinden als ik hun ziekte zou negeren. Dat is niet goed voor de arbeidsverhouding. Natuurlijk ga je hen vragen hoe ze zich voelen. En als je ziet dat iemand zich op de werkvloer niet lekker voelt, vraag je erna en stuurt ze eventueel eerder naar huis.

Maar dat is hier niet aan de orde omdat het initiatief van de zieke zelf kwam. Blijkbaar wil hij voorkomen dat er allerlei verhalen over hem de ronde gaan doen door het via een officieel kanaal te laten vertellen.

Het is meer dat je bijvoorbeeld kanker hebt, en dat werkgevers hier huiverig voor zijn.

Een bedrijfsarts mag dan wel kijken of je echt ziek bent, en wanneer je weer aan het werk kan. Maar dit mag niet doorgegeven worden aan de werkgever. Dus wel: Vragen wanneer je weer aan het werk kan. Dus niet: Vragen wat je mankeerde.

Als ik het me goed herinner dan.
13-07-2018, 10:35 door MathFox
Mijn idee over privacy is dat je zelf bepaalt wat je over jezelf deelt. Ik vind het heel nuttig dat mijn collega's weten over mijn voedselallergie, dus dat deel ik. Andere aandoeningen deel ik meestal niet.
13-07-2018, 10:46 door Anoniem
Door Briolet:
Door Anoniem: Er is een groter probleem als de rondgezonden e-mail. Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.

Lijkt me in zijn algemeenheid onjuist. Zelf ben ik ook werkgever met een paar personeelsleden. (<5). Ik denk dat ze het kil zouden vinden als ik hun ziekte zou negeren. Dat is niet goed voor de arbeidsverhouding. Natuurlijk ga je hen vragen hoe ze zich voelen. En als je ziet dat iemand zich op de werkvloer niet lekker voelt, vraag je erna en stuurt ze eventueel eerder naar huis.

Ja maar wacht even, er is een groot verschil tussen wat je als mens logisch lijkt om te doen en goed voor de verhouding,
en wat DE WET daar van zegt!

Een jaar of 10 geleden was er op mijn werk zo'n "terugdringen verzuim" protocol wat betekende dat als je ziek
was je ZELF moest bellen naar je EIGEN leidinggevende en daar moest gaan uitleggen wat er aan de hand was.
Dat was bedacht door zo'n huppelkut die dacht dat een flink deel van het verzuim psychosomatisch was en gerelateerd
aan werksituaties, en men wilde dus de kans hebben om dat aan de orde te stellen zonder dat iemand ineens weer
een aantal dagen "ziek" was zonder contactmogelijheden (dan kwam er een afspraak met de bedrijfsarts en dat duurde
allemaal wel even en ondertussen tikte de verzuimstatistiek in een richting die het management niet wilde).
De achterliggende bedoeling was uiteraard mede om de mensen te bewegen zich niet voor het minste of geringste
ziek te melden omdat dit lastige gesprek dan gevoerd moest worden.
Maar goed dat is natuurlijk een buitengewoon ongewenste situatie en heel wat anders dan belangstellend informeren
naar de ernst van de ziekte zoals jij kennelijk bedoelt.
Het is op zich goed dat er wat gedaan is tegen deze praktijken, alleen zoals altijd bij wetten heeft dat ook wel weer een
effect in de andere richting zodat je nu niet meer mag doen wat jou zo menselijk lijkt, althans volgens de wet.
En dat verzuimprotocol is er dus ook allang niet meer.
13-07-2018, 10:53 door Anoniem
Een werkgever mag inderdaad niet vragen naar waarom iemand ziek thuis is. Zelfs de bedrijfsarts mag dan niet zeggen. Wel mag de werkgever doorbetalen gedurende 2 jaar.
13-07-2018, 11:09 door Anoniem
Op verzoek van de betreffende college zelf heeft de manager een mail rond gestuurd om collega's te informeren over de ziekte van de betreffende college. Nu wordt er gesteld dat er 'medische gegevens' in de mailboxen van medewerkers zit wat ten strengste verboden is.

Het is helemaal niet verboden om *met toestemming en op verzoek van de desbetreffende zieke collega* zo'n mail rond te sturen. Wiens belang denk je hier te verdedigen ? Niet die van je zieke collega, die zelf heeft gevraagd deze informatie te delen ? Of ben je simpelweg aan het azijn pissen ?

Een werkgever mag namelijk niet vragen naar de ziekte van een werknemer. Dit heb ik ooit op BNR Nieuwsradio gehoord.

Dat wil nog niet zeggen dat je als werknemer niet mag vertellen wat er mis is, en eventueel kan vragen om die informatie te delen met de afdeling. Nergens wordt er gezegd dat de werkgever hiernaar gevraagd heeft.

Overigens vertel ik *altijd* wat er aan de hand is, wanneer ik mij ziek meldt. En een arbo-arts heb ik nog nooit gesproken.
13-07-2018, 11:23 door PietdeVries - Bijgewerkt: 13-07-2018, 11:26
NRC had er eerder deze week een aardig stukje over. 't Kwam er op neer dat de combinatie van breed-uitgemeten ("vage") wetteksten samen met de belofte op gigantische boetes genoeg zijn om bijvoorbeeld bovenstaande problemen te veroorzaken. Bidden in de kerk voor een zieke moeder - namen worden alleen genoemd na akkoord van zieke. Mailen van rontgenfoto's van de tandarts - doen we niet meer. Wellicht niet allemaal terecht, maar mensen zijn te bang dat ze straks voor een rechter staan die ze fors laat betalen...

https://www.nrc.nl/nieuws/2018/07/10/bidden-voor-de-zieken-mag-dat-van-de-privacywet-a1609537
13-07-2018, 11:24 door Anoniem
Nog even los van het communicatiebeleid en de vraag of dergelijke berichtgeving per mail wenselijk is, lijkt het me persoonlijk dat men hier gewoon teveel naar de letter van de wet kijkt.

Men snapt de letter van de wet kennelijk totaal niet. De wet verbiedt niet om, met toestemming, de genoemde informatie te delen. Men heeft op je werk de klok horen luiden maar weet niet waar de klepel hangt.....

Straks gaan ze nog zeggen dat er sprake is van een datalek indien de zieke collega zelf iets over de aandoening plaats op zijn eigen social media. Of wanneer hij vrienden en familie mailt, met een update over zijn ziekte.
13-07-2018, 11:35 door Anoniem
NRC had er eerder deze week een aardig stukje over. 't Kwam er op neer dat de combinatie van breed-uitgemeten ("vage") wetteksten samen met de belofte op gigantische boetes genoeg zijn om bijvoorbeeld bovenstaande problemen te veroorzaken.

Welk bovenstaand probleem. Er is hier immers helemaal geen sprake van een datalek, of een situatie waaruit een boete voort zou kunnen vloeien. Hier wordt op verzoek van, en met toestemming van, een zieke collega informatie over zijn situatie gedeeld met collega's. Niets mis mee.

Bidden in de kerk voor een zieke moeder - namen worden alleen genoemd na akkoord van zieke.

Geen enkel probleem. GDPR heeft verder geen enkele impact.

Mailen van rontgenfoto's van de tandarts - doen we niet meer.

Geen enkel probleem, zolang tandarts dergelijke zaken alleen deelt met goedkeuring van patient. Zoals het hoort.

Spijkers op laag water aan het zoeken ?
13-07-2018, 14:05 door Anoniem
@Vandaag, 11:24 door Anoniem
@Vandaag, 11:35 door Anoniem

Jullie vergeten voor het gemak dat medische gegevens wel degelijk bescherming behoeven. Je mag tot op zekere hoogte medische gegevens wel delen op verzoek van de zieke met zijn (directe) collega's, maar dat ontslaat je niet van de plicht deze gegevens te beschermen tegen derden.

Er is dus wel degelijk een exclusiviteitsprobleem als je er niet ervoor kan instaan dat de gegevens niet door een van de ontvangers automatisch of handmatig kan worden gedeeld met derden. Je kunt dat op verschillende manier bereiken, bijvoorbeeld door te verwijzen naar een interne websitepagina en tegelijkertijd te voorkomen dat deze informatie naar buiten kan. Of door het per email te verzenden met een expiratiedatum en uitgaande email te filteren.

Email is een methode waarmee je normaal gesproken geen medische informatie kunt versturen tenzij je zeker weet dat de toegang goed beschermd is, bijvoorbeeld door de email intern te houden, onder centraal beheer en met mailfilter. Vaak is dat niet zo en wordt email als ongeschikt geclassificeerd door een interne beleidsmaatregel. Dat moet dan worden gerespecteerd.
13-07-2018, 15:21 door Anoniem
Door Anoniem:
NRC had er eerder deze week een aardig stukje over. 't Kwam er op neer dat de combinatie van breed-uitgemeten ("vage") wetteksten samen met de belofte op gigantische boetes genoeg zijn om bijvoorbeeld bovenstaande problemen te veroorzaken.

Welk bovenstaand probleem. Er is hier immers helemaal geen sprake van een datalek, of een situatie waaruit een boete voort zou kunnen vloeien. Hier wordt op verzoek van, en met toestemming van, een zieke collega informatie over zijn situatie gedeeld met collega's. Niets mis mee.

Bidden in de kerk voor een zieke moeder - namen worden alleen genoemd na akkoord van zieke.

Geen enkel probleem. GDPR heeft verder geen enkele impact.

Mailen van rontgenfoto's van de tandarts - doen we niet meer.

Geen enkel probleem, zolang tandarts dergelijke zaken alleen deelt met goedkeuring van patient. Zoals het hoort.Spijkers op laag water aan het zoeken ?

Ik denk dat wordt gedoeld op het feit dat de vaagheid van de AVG, in combinatie met de hoge boetes die op eventuele overtredingen komen te staan er voor zorgen dat bedrijven, instanties en whatever zo nerveus worden dat ze de zandzakken voor de deur leggen en diensten die voor 25 mei heel gewoon waren, nu ineens weigeren.

Als details over de ziekte van een collega kunnen worden gezien als patient gegevens dan wil je die niet op je computer hebben, omdat daar formele eisen voor zijn. Even zo voor 't noemen van naam (& toenaam?) van zieken in een kerk - als dat gebeurt zonder hun toestemming, mag jij dan tegen de gemeente vertellen dat Oma Roos ziek is en dat we voor haar moeten bidden?

Dus wellicht noem jij 't spijkers op laag water - ik denk dat de overheid hier een flinke steek heeft laten vallen door wetten in het leven te roepen die zo dubbel interpreteerbaar zijn dat zelfs de overheid niet precies weet wat er nou geldt (neem alleen maar het BSN verwerkt in het KVK nummer - BSN was volgens het CBP helemaal geen bijzonder persoonsgegeven, maar is daar toch recent, door de rechter gedwongen, op terug gekomen...)
13-07-2018, 15:55 door Anoniem
Jullie vergeten voor het gemak dat medische gegevens wel degelijk bescherming behoeven. Je mag tot op zekere hoogte medische gegevens wel delen op verzoek van de zieke met zijn (directe) collega's, maar dat ontslaat je niet van de plicht deze gegevens te beschermen tegen derden.

Sure, maar dat geldt voor alle email in die zakelijke mailboxes. Is slechts 1 voorbeeldje van vertrouwelijke informatie die je in die mailboxen kunt vinden. Spreekt redelijk voor zich.
13-07-2018, 16:00 door Anoniem
Ik denk dat wordt gedoeld op het feit dat de vaagheid van de AVG, in combinatie met de hoge boetes die op eventuele overtredingen komen te staan er voor zorgen dat bedrijven, instanties en whatever zo nerveus worden dat ze de zandzakken voor de deur leggen en diensten die voor 25 mei heel gewoon waren, nu ineens weigeren.

Tuurlijk, zullen genoeg bedrijven en personen zijn die de vraag hoe ze hiermee om moeten gaan lastig vinden. Als ze daar nu nog over moeten nadenken, zijn ze rijkelijk laat.

Even zo voor 't noemen van naam (& toenaam?) van zieken in een kerk - als dat gebeurt zonder hun toestemming, mag jij dan tegen de gemeente vertellen dat Oma Roos ziek is en dat we voor haar moeten bidden?

AVG gaat over bedrijfsmatige verwerking van persoonsgegevens. Niet over een particulier die de naam van een zieke, al dan niet in de kerk, en al dan niet met toestemming, noemt.

Dus wellicht noem jij 't spijkers op laag water - ik denk dat de overheid hier een flinke steek heeft laten vallen door wetten in het leven te roepen die zo dubbel interpreteerbaar zijn dat zelfs de overheid niet precies weet wat er nou geldt

Misschien dat je je moet verdiepen in de vraag wat er wel/niet onder deze wet valt, lijkt je niet geheel duidelijk te zijn. Voor wat betreft ondernemers; als die dergelijke zaken niet uitzoeken, dan is dat hun eigen verantwoordelijkheid. Jij en ik horen de wet te kennen, bij ondernemers is dat niet anders.

Nemen ze hun verantwoordelijkheid niet om zich voor te bereiden op wetswijzigingen, dan laten ze zelf een steek vallen in hun bedrijfsvoering. Wijzen naar de overheid, en roepen dat het nu nog niet duidelijk is, dat is wel erg gemakzuchtig.
13-07-2018, 16:23 door karma4
Door Anoniem: .... - BSN was volgens het CBP helemaal geen bijzonder persoonsgegeven, maar is daar toch recent, door de rechter gedwongen, op terug gekomen...)
Het cbp is tegenwoordig ap autoriteitpersoonsgegevens. Valt onder bzk en naast rvig. Dat zijn de instituten die falen in het leveren van gedegen autenticatie. Eidas wordt september verplicht. Het bsn is een nl uitzondering om geheim te houdenstaat niet inde gdpr. Het ap maakt zich daar heel druk om om maar doet weer niets met translink en ns.
13-07-2018, 16:42 door Briolet
Door Anoniem: …Jullie vergeten voor het gemak dat medische gegevens wel degelijk bescherming behoeven. Je mag tot op zekere hoogte medische gegevens wel delen op verzoek van de zieke met zijn (directe) collega's, maar dat ontslaat je niet van de plicht deze gegevens te beschermen tegen derden.

En toch gebeurd het. Denk b.v. aan de kanker van burgemeester v.d. Laan. Hij heeft blijkbaar toestemming gegeven om zijn ziekte te delen. Ik ben hier echter niet door hemzelf of zijn naaste op de hoogte gebracht. Ik heb het van derden vernomen. (De media).

Nu lijkt me de media het grootste privacylek en toch heb ik niets over boetes gehoord betreffende medische gegevens. Dus als daar niet ingegrepen wordt door de AP, lijkt me een mailtje op eigen verzoek zeker kan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.