Werkgevers mogen geen géén gegevens over de aard en oorzaak van de ziekte van hun zieke werknemers verwerken. Daarom mag een bedrijfsarts of arbodienst de medische dossiers van werknemers niet opslaan in een verzuimsysteem dat de werkgever zelf gebruikt én beheert, aldus de Autoriteit Persoonsgegevens. De toezichthouder krijgt regelmatig vragen over de opslag van medische dossiers in verzuimsystemen.

Daarom heeft de Autoriteit Persoonsgegevens een aantal richtlijnen online gezet. Daarin wordt gesteld dat werkgevers medische dossiers niet in hun eigen verzuimsystemen mogen opslaan. Wel mag een werkgever een bedrijfsarts of arbodienst vragen de medische dossiers van zijn zieke werknemers op te slaan in een door de werkgever uitgekozen verzuimsysteem, bijvoorbeeld het (extern beheerde) verzuimsysteem dat hij zelf ook gebruikt.

De bedrijfsarts of arbodienst moet in zo’n geval een bewerkersovereenkomst afsluiten met de beheerder van het verzuimsysteem. Daar moet onder meer in staan dat alleen de bedrijfsarts/arbodienst toegang krijgt tot de medische dossiers. En dat deze zich bij toegang via internet met zogeheten meerfactorauthenticatie moet identificeren.

Bron; Security