Vaccinatiegegevens van personeel opvragen en bijhouden: mag dat? Op het kruispunt tussen arbeidsrecht en de GDPR

De vaccinatiecampagne draait op volle toeren, waardoor de kans toeneemt dat u als werkgever wordt geconfronteerd met een werknemer die zich (eventueel tijdens de werkuren) laat vaccineren. Als werkgever is het ongetwijfeld nuttig voor uw werkorganisatie en welzijns- en preventiebeleid om de vaccinatiestatus van uw werknemers te kennen. Misschien denkt u eraan om bij te houden wie van uw werknemers al werd gevaccineerd? Toch even oppassen, want daarbij moet u rekening houden met het recht op privacy van de werknemer, en meer bepaald het gegevensbeschermingsrecht.

Mag een werkgever een vaccinatiebewijs opvragen bij zijn werknemers?

De verwerking van gezondheidsgegevens is principieel verboden op grond van artikel 9.1 van de Algemene Verordening Gegevensbescherming of “AVG”, beter gekend onder de Engelstalige benaming “GDPR”. Het eenvoudig opvragen van gezondheidsgegevens wordt eveneens als een verwerking beschouwd.  Dit betekent dat u in principe geen vaccinatiegegevens, laat staan een vaccinatiebewijs, mag opvragen bij uw werknemers.

Toch biedt de GDPR een aantal uitzonderingsgronden waarop u zich eventueel zou kunnen beroepen om de gezondheidsgegevens van uw werknemers op te vragen en te verwerken.

Ten eerste wordt de verwerking van gezondheidsgegevens wel toegestaan door de GDPR als de betrokkene uitdrukkelijk toestemming geeft voor de verwerking voor één of meer welbepaalde doeleinden (artikel 9.2, a) GDPR). Deze toestemming moet uitdrukkelijk zijn, zoals een (eventueel elektronische) schriftelijke, ondertekende verklaring.

Vraag is of die uitzonderingsgrond wel kan aangewend worden in de relatie tussen een werkgever en een werknemer. Per definitie houdt deze relatie een gezagsrelatie in, waarbij de werknemer zich in een onderschikte positie bevindt. In de rechtsleer wordt aangenomen dat de toestemming van een werknemer in het kader van artikel 9.2, a) van de GDPR,  nooit “vrij” kan zijn, zodat de werkgever zich niet kan beroepen op de toestemming van de werknemer om gezondheidsgegevens van het personeel te verwerken. Ook de Gegevensbeschermingsautoriteit (hierna: “de GBA”) gaf op haar website al aan dat een werkgever de verwerking in principe niet mag baseren op de toestemming van zijn werknemers, en dit omwille van de druk die de werkgever op hen zou kunnen uitoefenen. Het spontaan afleveren van een vaccinatiebewijs of het uitdrukkelijk geven van toestemming tot verwerking van de vaccinatiestatus door de werknemers, zorgt er dus niet voor dat de verwerking van die gegevens gerechtvaardigd wordt.

Op basis van een wettelijke grondslag kan er wél een uitzondering op het verbod tot verwerking van gezondheidsgegevens worden gemaakt.

Een eerste mogelijke wettelijke uitzonderingsgrond is de verwerking van gevoelige persoonsgegevens om te voldoen aan de verplichtingen van de werkgever op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (artikel 9.2, b) GDPR). Artikel 20, 2° van de Arbeidsovereenkomstenwet verplicht de werkgever om als een goede huisvader te zorgen voor de veiligheid en de gezondheid van de andere werknemers. Deze verplichting wordt geconcretiseerd in de welzijnswetgeving, zoals in artikel 5, § 1 van de Welzijnswet, dat de werkgever verplicht om de nodige maatregelen te treffen ter bevordering van het welzijn van zijn werknemers, waarbij hij risico’s moet voorkomen en bestrijden bij de bron. Het verwerken van de vaccinatiegegevens door de arbeidsarts, zorgt er inderdaad voor dat de werkgever aan zijn verplichtingen uit de welzijnsreglementering kan voldoen, waardoor er hier een mogelijkheid bestaat voor de werkgever om zich op deze uitzonderingsgrond te beroepen.

Een tweede mogelijke wettelijke uitzonderingsgrond is de verwerking van persoonsgegevens indien de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen (artikel 9.2, h) GDPR). Hierbij is wel vereist dat die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim is gebonden, of tot geheimhouding is gehouden. Deze uitzondering is van toepassing bij het verwerken van de gegevens door o.a. een arbeidsgeneesheer.

Op basis van deze twee wettelijke grondslagen zouden de vaccinatiegegevens van werknemers kunnen verwerkt worden. Belangrijk om hierbij op de merken is dat deze uitzonderingsgronden niet rechtstreeks door de werkgever in te roepen zijn, maar louter door de arbeidsarts.

Ten derde bepaalt de GDPR dat de verwerking van persoonsgegevens toegelaten is indien de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid (artikel 9.2, i) GDPR), op grond van Unierecht of nationaal recht. Een grondslag om over te gaan tot verwerking van vaccinatiegegevens in het kader van het algemeen belang is er op vandaag evenwel niet.

Hoewel de verwerking van vaccinatiegegevens nuttig kan zijn voor de werkgever, lijkt een gepaste juridische grondslag hiertoe te ontbreken. Vanuit arbeidsrechtelijk standpunt is het dan ook gewenst dat de wetgever een uitdrukkelijk juridisch instrument voor deze verwerking voorziet.

Wat met de registratie van gegevens in het kader van het klein verlet?

In onze vorige nieuwsbrief gaven we reeds mee dat middels de federale wet van 28 maart 2021 een recht op klein verlet (“vaccinatieverlof”) wordt toegekend aan werknemers die zich tijdens hun werkuren laten vaccineren tegen COVID-19. De vraag rijst onmiddellijk hoe de werkgever moet omgaan met de vaccinatie-uitnodiging van zijn werknemers en hoe hij hun afwezigheid tijdens de werkuren moet boeken.

De wet van 28 maart 2021 verplicht de werknemer om zijn werkgever vooraf te verwittigen, en dit zo spoedig mogelijk vanaf dat het tijdstip of tijdslot van vaccinatie hem bekend is. De werkgever mag op zijn beurt vragen om hiervan bewijs voor te leggen. Het volstaat voor de werknemer om de bevestiging van de afspraak bij het vaccinatiecentrum voor te leggen. De werkgever moet in de mogelijkheid zijn om de reden voor het klein verlet te controleren, waardoor het louter tonen van de afspraakbevestiging voldoende is. Op die manier kan de werkgever het tijdstip van de afspraak controleren.

Slechts wanneer de afspraakbevestiging het tijdstip en de plaats van vaccinatie niet aangeeft, moet de werknemer zijn oorspronkelijke vaccinatie-uitnodiging voorleggen. Aangezien het tijdstip op de vaccinatie-uitnodiging en het tijdstip op de afspraakbevestiging van elkaar kunnen verschillen, gaf de wetgever de voorkeur aan het voorleggen van de afspraakbevestiging (m.a.w. het meest recente document).

Opgelet, de werkgever mag dit bewijs niet registreren of bijhouden. De informatie omtrent de vaccinatie mag enkel gebruikt worden met het oog op de organisatie van het werk (gelet op de afwezigheid van de werknemer) en het verzorgen van een correcte loonadministratie. Deze restrictie werd opgenomen in de wet naar aanleiding van het advies van de GBA op 8 maart 2021. Het is de werkgever bijgevolg verboden om een kopie te nemen van de afspraakbevestiging, of de informatie manueel over te schrijven, met uitzondering van het tijdstip van de afspraak.

Wat de registratie van de afwezigheid van de werknemers betreft, mag de werkgever enkel het tijdstip van de afwezigheid registeren, en dit onder de noemer “klein verlet”. Het is niet toegestaan om de reden van het klein verlet te registreren, bijvoorbeeld “inenting tegen corona”, noch om te registreren dat de werknemer te kampen heeft met gezondheidsproblemen. Het tijdstip van uitnodiging kan immers een indicatie bevatten over de gezondheidstoestand van de betrokken werknemer. Evenwel mogen de gegevens in geen geval verwerkt worden voor andere doeleinden dan de organisatie van het werk en het verzorgen van loonadministratie.

Long story short: op het kruispunt tussen GDPR en het arbeidsrecht is de signalisatie niet altijd even duidelijk. Er valt dus heel wat te zeggen over het opvragen en de registratie van de gezondheidsgegevens van de werknemers in het kader van het COVID-19 vaccin. Wij kijken alvast uit naar de ongetwijfeld zeer boeiende ontwikkelingen in de wetgeving en de rechtspraak.

Wenst u meer te weten, wenst u begeleiding bij het uitwerken van uw intern vaccinatiebeleid of advies over andere HR of privacy kwesties?
Neem contact op met de Legal Architects van Marlex: Charlotte Knockaert (via charlotte.knockaert@marlex.be) of Fay Reynaert (via fay.reynaert@marlex.be).