Bel ons op +31 88 23 02 300
Blog

Is uw medisch verzuimdossier optimaal beveiligd conform de privacywetgeving?

Peter Kuijt 03 november 2014

De afgelopen jaren is er steeds meer aandacht voor het beveiligen van medische verzuiminformatie. Dat is ook nodig door de veranderende aanpak bij verzuimbegeleiding; eigen regie van werkgevers is in opkomst. U pakt de verzuimbegeleiding daarbij zelf op, omdat u niet meer 100% afhankelijk wilt zijn van uw arbodienst en zelf uw medewerkers betrokken wilt houden tijdens verzuim.

Dat vraagt van u echter wel een sluitende administratie rondom verzuim. Daarnaast zijn er ook andere verzekeraars betrokken; vroeger alleen publieke partijen, tegenwoordig steeds meer private partijen. Het thema verzuimbegeleiding wordt daarom steeds meer ook een financiële afweging. Verzekeraars, zo is aangetoond, willen soms informatie van u zonder wettelijke grondslag vanwege de druk op de verzekeringspremie. 

Dat brengt een verantwoordelijkheid met zich mee voor het goed borgen van medische informatie over medewerkers. Ook bij Raet krijgen we hier regelmatig vragen over van klanten. Hoe gaan wij om met de privacy van medische gegevens? En wat kunt u zelf doen om hier goed mee om te gaan? 

Hoe borgt Raet dat medische gegevens optimaal beveiligd zijn? 

  • Medische gegevens slaan wij op in een separaat, afgeschermd deel van de applicatie Verzuim Management.  
  • HR-specialisten die op basis van de wet geen toegang tot medische gegevens hebben, kunnen alleen procesgegevens zien/opslaan.  
  • In ons medisch logboek worden gegevens geheel versleuteld (encrypted) opgeslagen. De aan de notitie gekoppelde werknemer gegevens zijn ook geheel versleuteld, net als de toegang tot documenten die aan medewerkers zijn gekoppeld. 
  • Medische gebruikers krijgen een persoonlijk beveiligingscertificaat toegewezen.  
  • Optioneel kan gebruik worden gemaakt van authenticatie via SMS, dat wil zeggen dat voor iedere toegang extra inloggegevens worden gevraagd. 
  • Aanvragen van medische gebruikers worden getoetst in BIG-registratie (Wet Beroepen in de Individuele Gezondheidszorg). 
  • Het verlenen van toegang aan de medische gebruikers geschiedt niet via uw eigen beheerorganisatie maar via de Servicedesk van Raet. Zo kan het nooit voorkomen dat een medewerker uit uw eigen (ICT-)organisatie kan beschikken over de inloggegevens. 

Wat kunt u zelf doen om de privacy te borgen?

1. Bouw één dossier op. Houd medische gegevens goed gescheiden. 

  • Wij krijgen af en toe de vraag om de medische dossiers samen te voegen met het personeelsdossier. Dit mag echter niet vanuit privacywetgeving. Het lijkt administratief handig om ook documenten van verzuim op te slaan in uw personeelsdossier. Hiermee riskeert u echter een fikse boete. Ons advies is dan ook de opbouw van het medisch dossier goed te scheiden. Ook formulieren waarop u alleen procesinformatie noteert bevatten (onbewust) al snel medische informatie. Een aantekening van een leidinggevende, zoals een terugkoppeling van een telefoongesprek, bevat veelal medische informatie. 

  • Bewaar uw verzuimdossier in één systeem. Het is in uw belang dat er een centraal dossier wordt bijgehouden en opgebouwd. Op het moment dat u bijvoorbeeld gevraagd wordt gegevens aan het UWV te leveren heeft u deze direct compleet. Dit is ook de reden dat wij veel aandacht besteden aan de beveiliging van medische gegevens en medisch specialisten een toegang kunnen geven buiten uw beheerorganisatie om. Sommige arbodiensten claimen dat zij het medisch dossier apart moeten opbouwen. Dit betekent echter dubbel werk voor uw interne organisatie. Het is beter uw arbodienst in Verzuim Management te laten werken in uw belang. 

2. Houd medische gegevens overdraagbaar. 

Wanneer verzekeringsartsen informatie toevoegen aan het medische dossier blijven zij juridisch verantwoordelijk voor deze informatie. Op het moment dat u gaat werken met een nieuwe verzekeringsarts wilt u de gegevens uiteraard overdragen. In dat geval zal de voormalige verzekeringsarts altijd toestemming moeten geven. Gegevens zijn makkelijker over te dragen wanneer u deze bewaart in één systeem. Dit is zeker het geval wanneer uw organisatie werkt met verschillende verzekeringsartsen.

3. Uw verzekeraar mag alleen administratieve gegevens opvragen.

Er zijn actuele voorbeelden waarbij verzekeraars hun klanten dwongen medische informatie af te staan over de verzuimbegeleiding. Uw verzekeraar mag nimmer een uitkering weigeren omdat u geen medische informatie afstaat. 

Volgens het College Bescherming Persoonsgegevens mogen verzekeraars, om de claim te beoordelen, alleen administratieve informatie opvragen. Denk hierbij aan de data van verzuim of het salaris van de medewerker (in verband met de hoogte van de uitkering). De ontwikkeling rond het bewaren van medische gegevens blijft zeer actueel. In mijn blogs houd ik u op de hoogte.

Peter Kuijt

Specialist Talentmanagement & Verzuimmanagement

+31 6 52 61 44 19