AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan. Daarmee overtreedt CP&A de privacywet.

De privacytoezichthouder deelt de boete uit aan CP&A. Het bedrijf krijgt de boete vanwege twee overtredingen van de Algemene verordening gegevensbescherming. Het gaat specifiek om de registratie van ziekteverzuim. De AP kwam de overtreding na een melding in januari 2019 op het spoor.

Uit het onderzoek van de toezichthouder bleek dat CP&A in ieder geval tussen maart en mei 2019 te veel gezondheidsgegevens verzamelde van werknemers. Het bedrijf vroeg bij ziekteverzuim naar veel verschillende gegevens. Naast persoonsgegevens, inclusief naw-gegevens en het burgerservicenummer, sloeg het bedrijf ook op welke ziekte een werknemer had, wat de prognose was voordat die beter was, en een veld met verdere opmerkingen over de ziekte. Met name het feit dat de naam van de ziekte en specifieke klachten werden opgeslagen, mag volgens de toezichthouder niet. De gegevens van 25 medewerkers werden vastgelegd, waarbij voor sommige medewerkers extra klachten in het opmerkingenveld werden vastgelegd.

De AP concludeert dat het bedrijf daarmee artikel 9 van de AVG overtreedt. Dat heeft betrekking op het opslaan van gezondheidsgegevens. Onder de privacywet zijn dat 'bijzondere persoonsgegevens', waarvoor strengere regels gelden voor het opslaan daarvan. "Omdat het verwerken van namen van ziektes, specifieke klachten en pijnaanduidingen niet noodzakelijk is voor de re-integratie van werknemers is de verwerking daarvan verboden", schrijft de toezichthouder.

Het bedrijf beveiligde de gegevens bovendien slecht. Het sloeg de informatie op in een bestand dat op Google Drive stond. Het bedrijf had daarbij intern ook geen specifieke maatregelen genomen rondom authenticatie. Zo had het 'technische en organisatorische maatregelen' kunnen nemen, zoals tweestapsverificatie. Organisatorisch had CP&A wel geregeld dat het bestand alleen beschikbaar was met een specifieke link waar alleen de nodige werknemers toegang toe zouden moeten hebben, maar omdat ook derden bij het bestand konden als die link uitlekte, vindt de AP de beveiliging niet goed genoeg. "De AP is van oordeel dat CP&A ten opzichte van haar verzuimregistratie een onvoldoende passend beveiligingsniveau heeft gehanteerd." Met dat laatste overtreedt het bedrijf artikel 32 van de AVG.

De AP wilde aanvankelijk een hogere boete geven. Volgens de boetebeleidsregels zouden die neerkomen op respectievelijk 725.000 en 310.000 euro voor de twee overtredingen. Het totaalbedrag van 1.035.000 euro kon het bedrijf echter niet dragen. "Op grond daarvan ziet de AP aanleiding om het boetebedrag te verlagen. De AP acht in dit geval een boete van 15.000 euro passend en geboden en acht CP&A voldoende draagkrachtig om dit bedrag te kunnen betalen", schrijft de toezichthouder. De boete werd al uitgedeeld in maart 2020, maar wordt nu pas openbaar, nadat het bedrijf tevergeefs bezwaar had aangetekend.

De boete is relatief laag vergeleken met eerdere boetes van de toezichthouder. Tot voor kort deelde de AP niet veel, maar wel opvallend hoge boetes uit, zeker in vergelijking met andere Europese landen. Tweakers bekeek onlangs die cijfers, kort nadat de AP ook een boete van 'slechts' 7500 euro had opgelegd.

IT-banen

Reacties (131)

RoseSolane 19 mei 2021 19:35

Sla je die kattenbelletjes en/of de overdrachtsbestandjes daarna slecht beveiligd op? Ik realiseer me dat het niet veilig opslaan van gevoelige informatie vaak gebeurt uit onkunde en niet zozeer onwil. Maar dit bedrijf maakt reclame op de eigen website dat ze een voorspelbare kwaliteit hebben (ISO 9001/ ISO 14001 / VCA* 2017/6.0 gecertificeerde organisatie) en dat ze hun klantactiviteiten opslaan en online beschikbaar maken. Dit bedrijf zou beter moeten weten.

Wat me wel verbaasd is dat ze met ruim 220 medewerkers (staat op hun website) geen hogere boete dan 15000 euro kunnen dragen. Dan heb je niet veel marge op wat je doet. Iemand noemde hierboven wurgcontracten. Dat doet me wel afvragen of dit een bedrijf is dat te weinig betaald krijgt voor de werkzaamheden die ze verrichten en daarom moeten bezuinigen op personele kosten.

Gromylja @RoseSolane • 19 mei 2021 21:07

ISO 9001 betekent "wij hebben een kwaliteitssysteem. ISO 14001 is milieuzorg. M.a.w. wij gaan zo met ons afval en gevaarlijke stoffen om. En die VCA* 2017/6.0 is een checklist voor aannemers. Stukje EHS dus. Geen van deze iso's en certificaten waarborgt dat ze op een veilige manier met dit soort gegevens omgaan. ISO 9001 is echt entry level ISO.

graverobber2 @Gromylja • 20 mei 2021 10:49

Yup, ISO 9001 is een klein beetje een grap. Zoals een van mijn leerkrachten IT-law het uitlegde:
"Als ik na elke les mijn laptop door het raam zou gooien, en dit altijd consistent doe, dan kan ik mij daarvoor laten certificeren."
i.e. ISO 9001 is niet perse een goeie indicator, het hangt heel sterk af van het process dat gecertificeerd is.

Oakley @Gromylja • 20 mei 2021 11:12

Precies meer relevant is of ze deze hebben: ISO/IEC 27001

CUnknown @Oakley • 20 mei 2021 11:18

Daarnaast certificeert ISO 27001 ook alleen je Information Security Management System. Je moet laten zien dat je in control bent met je informatiebeveiliging. De keuzes die je maakt qua informatiebeveiliging kunnen nog steeds slecht zijn. Zolang het maar past in het geheel en dat je top management er van op de hoogte is

Dus het behalen van het certificaat is een ding, maar kijk ook naar de inhoud van het ISMS en de documentatie.

MrFax @Gromylja • 20 mei 2021 08:46

Inderdaad. Ik heb zelf een VCA-Basis certificaat Ik zat ook al te kijken wat VCA te maken heeft met veiligheid van data. VCA gaat over veiligheid binnen de werkruimte, zodat een bedrijf zich op een goede manier aan de gezondheidswet en arbowet kan voldoen. Het gaat over hoe je correct en wanneer je een ladder moet gebruiken bijvoorbeeld.
Het wordt vooral door aannemers gebruikt.

[Reactie gewijzigd door MrFax op 22 juli 2024 23:58]

RoseSolane @Gromylja • 21 mei 2021 11:13

Mijn opmerkingen over certificering en online beschikbaar stellen van werkzaamheden waren bedoeld in relatie tot met mijn vraag over onkunde of onwil. Als bedrijf moet je tenminste hebben nagedacht over registratie en documentatie om de certificaten te krijgen. Je hebt wel een punt dat er in de certificering niets (of weinig) wordt gezegd over veilig opslaan van de gegevens. Maar als je als bedrijf hebt nagedacht over dat je moet registreren heb je dan niet nagedacht over wat je MAG registreren? Als dat al onkunde is is het in mijn ogen wel ernstig verwijtbare onkunde. En daarom komen we terug op de eerste zin uit mijn reactie: "Sla je die kattebelletjes en/of de overdrachtsbestandjes daarna slecht beveiligd op?"

Gromylja @RoseSolane • 22 mei 2021 09:55

Dat was duidelijk. Ik wilde eigenlijk aangeven dat het pronken met die entry level certificaten op mij overkomt als een partij die pretendeert z'n zaakjes goed voorelkaar te hebben, tegenover mensen die die wassen neus niet direct doorhebben. Bij mijn vorige werkgever hadden we een concurrent die "dezelfde" analyses kon doen als ons lab. We raakten daar toch klanten aan kwijt en moesten onze prijs continu verdedigen. Een telefoontje gaf al gauw opheldering. De klanten moesten bij deze club zelf de monsters nemen en die werden vervolgens via PostNL naar hun lab gestuurd. Geen gecertificeerde monsternemers, geen neutraliserende middelen, geen gecontroleerde temperatuur niks... Tja. Maar wel pronken met certificaat XYZ.

Nas T @RoseSolane • 19 mei 2021 21:03

Wat me wel verbaasd is dat ze ... geen hogere boete dan 15000 euro kunnen dragen.

verbaast je dat of vraag je je dat af?
Als je dat verbaast: ik denk dat een boete wel deels, maar niet volledig afhankelijk mag/moet zijn van de inkomsten van een bedrijf. Anders zou je wel hele lage boetes krijgen als je een slechte winstgevendheid zou hebben en dan het nut van de boete ver te zoeken zijn.
Als je je dat afvraagt: zou aan de omstandigheden kunnen liggen. Ik vind zelf het noteren van de ziekte een behoorlijke impact kunnen hebben op individuen, maar wat als het uit onwetendheid en onkunde is gedaan? Wat is het nut van zwaarder straffen dan? De staatskas spekken? Dat moet het doel niet zijn ...

i-chat @Nas T • 19 mei 2021 21:38

Wie arbeidsrecht een beetje kent weet dat het al enkele decenia ongehoord is als werkgever naar de specifieke gezondheid van personeel te vragen, sterker nog, in de jaren negentig was er een arbo-arts nog voor een paar jaar de bak in gegaan omdat hij medische gegevens met werkgever deelde. want voor werkgevers is het misschien illigaal maar voor (verzerkeringsartsen is het gewoon strafbaar.

Het zou wel gek zijn dat bedrijf a het dus niet aan de arbo-/verzekeringsarts kan vragen en dan maar jan of piet persoonlijk onder druk mag zetten om dat formuliertje in te vullen. Als deze mensen hadden geweigerd te antwoorden en men dus ontslag zouden hebben aangevraagd dan zou dat onherroepelijk tot hele grote schadevergoedingen en loondervings-claims hebben geleid. Ik zou als persoon in kwestie bovenop mijn reguliere ontslagvergoeding ook gewoon een claim van loonderving voor de komende 2 jaar eisen inclusief een verhoging ter compensatie van de extra belastingtarieven die op dergelijke uitkeringen worden gelegd. zodat dit neerkomt op een eindtotaal van 2 neto jaarlonen incusief vakentiegeld, 13e maand en prestatiebonussen (als die bij dat bedrijf van toepassing zijn).

Dit zijn niet de 'eerste' overtredingen van een nieuw wetje waarvan niemand wist dat die ook hier van toepassing is...

Dit is stelselmatig onderdrukken van de rechten van je werknemers.

janbaarda @i-chat • 20 mei 2021 01:46

Overigens kan ik me wel voorstellen dat een bedrijf dat met mogelijk gevaarlijke stoffen te maken heeft bepaalde medische gegevens wil vastleggen. Dit om te kijken of er over langere tijd zich patronen voordoen die een gevaar kunnen zijn voor de werknemers en om dan tijdig in te kunnen grijpen.

B.V. Medewerkers die met ligt radioactief materiaal te maken hebben krijgen een stralingsmeter (accumulatiemeter) mee om de opgelopen straling te schatten. Als een dergelijke meting niet goed werkt (o.a. afgeschermd is) dan is een extra check op bijbehorende ziekteverschijnselen een goede zaak.

Overigens vermoed ik dat voor deze gevallen ontheffing gevraagd kan worden. In elk geval hoort de beveiliging van dergelijke gegevens wel goed te zijn.

begintmeta @janbaarda • 20 mei 2021 08:36

Dat soort (epidemiologische) monitoring kan dan toch ook gewoon door een bedrijfsarts worden afgehandeld? Die arts kan dan de conclusies&adviezen met betrekking tot die zaken weer met het bedrijf delen.

Als bijvoorbeeld cp&a een bedrijfsarts die de benodigde gegevens op een adequate manier opslaat in vaste dienst had gehad, had het bedrijf vermoedelijk geen boete gekregen.

SpazzII @begintmeta • 20 mei 2021 09:53

Daar zit volgens mij inderdaad het euvel: Medische gegevens uitvragen en opslaan gebeurt door (of onder supervisie van) een arts. Houd je je met artsenzaken bezig terwijl je geen arts bent of niet onder supervisie van een arts werkt? Dan ben je fout bezig: wat mij betreft verwijtbaar en strafbaar, niet onschuldige onkunde of onwetendheid.

bzzzt @Johnny D • 20 mei 2021 09:57

Het probleem met regels is dat ze voor iedereen gelden. Ik vind het ook wel ver gaan in bepaalde gevallen, maar je onderschat echt de impact van social media.
Jouw schoolfoto voorbeeld is typisch iets wat door social media verpest wordt: vroeger was een rottige foto beperkt tot de afdruk. Tegenwoordig kan die met 1 klik gedeeld worden en is een bad hair day zonder dat je er iets tegen kan beginnen snel veranderd in een internet meme. Voor gek staan voor de hele wereld is iets waartegen scholen, die verantwoordelijk zijn voor een veilig omgeving, kinderen tegen _moeten_ beschermen.
Wil je weer terug naar die "goede oude tijd": prima, maar lever dan wel je smartphone en social media in.

Johnny D @bzzzt • 20 mei 2021 10:06

Of stoppen met watjes opvoeden zoals nu gebeurt in Nederland
Want als je nu hoort hoe moeilijk en of gevaarlijk alles is , is het een godswonder dat ik en mijn leeftijdsgenoten geboren half 60e jaren dat we het allemaal nog overleefd hebben
Kunnen ze dat niet regelen een schadevergoeding voor ons zo gevaarlijke jeugd
Smartphone heb ik omdat die alleen nog maar te koop zijn bijna en sociaal media doe ik niet aan , dus laat maar komen die tijd

bzzzt @Johnny D • 20 mei 2021 10:13

Ja, want als jij half jaren 60 een rotsmak maakte op het schoolplein (geeft niet, word je hard van) werd dat gelijk op Tiktok gegooid en met miljoenen mensen gedeeld?
De wereld is veranderd, het gaat niet om wat jij met je smartphone doet, maar wat de massa doet en normaal vindt.

SpazzII @Johnny D • 20 mei 2021 11:10

Ik snap niet waarom je een -1 krijgt. Je zit er naast, maar zegt volgens mij niets aanstootgevends.

Verzuimdagen en -data kan de baas volgens mij gewoon opslaan. Dat zijn werkgeversgegevens. De (medische) klachten en diagnose zijn medische gegevens. Die bespreek je met je arts (die ze invoert in een Elektronisch Patiënten Dossier, niet in een Google Spreadsheet), maar je baas heeft daar niets mee te maken. Wie denkt je werkgever wel niet dat hij is als hij zich met jouw medische zaken gaat bemoeien?

[Reactie gewijzigd door SpazzII op 22 juli 2024 23:58]

Johnny D @SpazzII • 20 mei 2021 17:03

Ik denk dat die gene zelf op dagen ziek is die hem het beste uitkomen , dus voelt zich aangevallen ( dat hebben ze wel eens in deze tijd tegenwoordig)

SpazzII @Johnny D • 20 mei 2021 22:41

Denk je dat? Nou, jeetje zeg. En dan? Mag een werkgever van jou in dat geval ineens wel op de doktersstoel gaan zitten zijn medische bevindingen onbeveiligd opslaan? Dat kan je inderdaad vinden. De geldende wet- en regelgeving schrijft iets anders voor, maar jij mag die mening gewoon hebben.

sympa @Nas T • 20 mei 2021 08:10

Een rechter moet juistt vaker rekening houden met draagkracht. Dat gebeurt veel te weinig.
Denk aan een gezin dat een verkeersboete écht niet kan betalen en in de financiële problemen komt. De strapatsen rond de toeslagen.
Maar ook aan aan degenen die 129 km/u blijven rijden en het zien als onkosten.

Nas T @sympa • 20 mei 2021 09:09

Ik betwijfel of rechters te weinig rekening houden met draagkracht, heb je een aanleiding/bron die dat bevestigt? Ik heb zelf eenmaal een boete aangevochten (reden van de boete was anders in de brief die kreeg dan op het moment dat ik staande werd gehouden) en toen is me ook gevraagd of mijn salaris ok was (verbaasde me destijds dat dit soort informatie gevraagd werd).
Maar een boete gaat niet altijd via een rechter. En in sommige gevallen zou een laag inkomen niet per se een reden moeten zijn om een boete te verlagen. Ik zou liever zien dat inkomen structureel een factor speelt in de hoogte van een boete.

sympa @Nas T • 20 mei 2021 10:53

Strafrechters doen dat wel, maar de bestuursrechters in de toeslagenaffaire kennelijk niet.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Politiek en recht

@RoseSolane • 20 mei 2021 12:29

Maar dit bedrijf maakt reclame op de eigen website dat ze een voorspelbare kwaliteit hebben (ISO 9001/ ISO 14001 / VCA* 2017/6.0 gecertificeerde organisatie) en dat ze hun klantactiviteiten opslaan en online beschikbaar maken. Dit bedrijf zou beter moeten weten.

Er wordt veel teveel nadruk gelegd op certificeringen als ISO9001. Ik zeg niet dat het niet belangrijk is, want dat is het wel, maar dat heti niet genoeg is. Dergelijke certificeringen moet je zien als een bovengrens en niet als ondergrens. Ze gaan vooral over proces en organisatie en veel minder over hoe je dingen concreet aanpakt. Dan heb je de situatie dat de certificering eist dat er beleid is voor onderwerp X. Als je dan opschrijft dat het beleid is dat de de directeur met een dobbelsteen gooit om te beslissen wat ze doen, dan is dat goed genoeg om gecertificeerd te worden. Ik overdrijf misschien een beetje maar je snapt het punt hopelijk. En misschien is met een dobbelsteen gooien wel een prima oplossing.

Je kunt dus wel stellen dat dergelijke certificering nodig is maar je mag er niet van uit gaan dat het voldoende is. Natuurlijk kan het ook zonder certificaat prima zijn. Ook zonder regels of afspraken kun je gewoon het juiste doen. Het helpt om dingen vast te leggen zodat er geen onduidelijkheid is, maar duidelijkheid is niet hetzelfde als kwaliteit.

WillySis

Autoriteit Persoonsgegevens
Privacy

@RoseSolane • 20 mei 2021 19:10

Zeker het afgelopen jaar zijn er veel bedrijven die een wat minder goed gevulde orderportefeuille hebben.
De marge kan dan best voldoende zijn, maar als je niet alle mensen continu op factureerbare taken kan zetten, dan loopt de winst toch terug. Met een beetje pech gaat er ook nog een klant failliet en kan je naar een deel van de centen fluiten.
Wij zitten ook met minder werk en klanten die later betalen dan gewoonlijk. Helaas ook met een hoger ziekte verzuim, waardoor we ook niet in het personeelsbestand kunnen snijden. Als ik niet gevraagd was om wat werk uit mijn oude vak te gaan doen, dan hadden we het zelfs serieus moeilijk gekregen.
Het aantal mensen wat een bedrijf in dienst heeft zegt dus niet zoveel over de financiële draagkracht.

Het.Draakje 19 mei 2021 19:49

Had een reactie moeten zijn op JanWillem67

Sociaal medisch teamoverleg? Tussen management en bedrijfsarts? Volgens mij zit je daar al behoorlijk mis mee. Die bedrijfsarts hoort de medische gegevens van zijn 'patiënten' niet te bespreken. Hij mag/moet wel aangeven dat de medewerker een aangepaste stoel moet hebben. Dat jij er vervolgens aan afleidt dat er sprake is van een hernia, (wat niet zo hoeft te zijn) daar kan hij niets aan doen. Maar hij mag je niet vertellen dat die stoel er moet komen omdat wat rugwervels doorgesleten zijn.

Vastleggen in een kattebelletje, dat zou ik al helemaal vergeten. Uitzondering: ziektes waarbij ingrijpen door collega's, indien ze daarvan op de hoogte waren, levensreddende actie's zouden kunnen uitvoeren (zoals epilepsie, uiteraard mits de patiënt dat zelf deelt of daartoe de toestemming verleent).

Ook niet voor je tijdelijke vervanger. Als Jeanette dat zelf niet aan hem vertelt, dan gaat het hem geen zak aan waarom zij na 30 minuten even uit de vergadering moet omdat ze rond moet lopen. Jij mag hem wel vertellen dat jij dat in het geval van Jeanette goedkeurt.

Dat vruchtbaarheidsbehandeling jou in sociaal verkeer wordt meegedeeld, daar kan jij niets aan doen, maar je mag er verder niets mee, een dus zeker niet ergens vastleggen.

https://autoriteitpersoon...g/mijn-privacy-bij-ziekte
https://www.samenveerkrac...-mag-wel-en-wat-mag-niet/

De bloemist is geen verwerker van medische gegevens. Die beterschap kan slaan op (de verwerking) van een burn out, maar ook op een gebroken been, of iets anders. 'Je bent ziek' is geen medisch gegeven. 'Je hebt een griepje' is dat wel.

[Reactie gewijzigd door Het.Draakje op 22 juli 2024 23:58]

gaskabouter @Het.Draakje • 19 mei 2021 20:18

De werkgever is vanuit werkgeverschap gewoon verplicht heel actief verzuimbegeleiding te doen en zowel bedrijfsarts als werknemer regelmatig te spreken en het reïntegratietraject te evalueren. In dat kader kan een werknemer niet geholpen worden als er niet een zekere openheid is. Het werkt dus wel twee kanten op.

Wat hier aan de hand is is dat er denk ik gegevens verzameld op een wijze, een reden en een doel wat dat helemaal niet rechtvaardigt.

i-chat @gaskabouter • 19 mei 2021 21:43

de werkgever is verplicht jouw passend werk te geven omdat je niet lang kan staan,

of dat komt omdat je een PTSS-trauma hebt over moeten staan, of dat je een ruggewervel probleem hebt, of dat je een ebola-knie hebt ... gaat niemand iets aan. een verzerkingsarts die dergelijke zaken met derden (werkgevers, verzekeraars of wie dan ook deelt. is strafbaar.

Je moet de plicht om mee te werken aan reintegratie niet verwarren met het (niet bestaande) recht om alles maar van iedereen te weten. zo werkt het niet.

gaskabouter @i-chat • 19 mei 2021 21:47

Ik heb veel werknemers. Je krijgt gewoon een rapport waarin staat wat iemand heeft en wat hij wel en niet kan en wat hij daar als werkgever aan moet doen.

Globaal en niet op details medisch inhoudelijk maar je weet als werkgever gewoon wat iemand heeft die ziek is en verzuimt.

pookie79 @gaskabouter • 20 mei 2021 09:01

Ben ik blij dat ik niet bij jou werk

Maar even serieus, als ik me laat behandelen voor ptss . Dan kan je dat in het overzicht zien?

[Reactie gewijzigd door pookie79 op 22 juli 2024 23:58]

SpazzII @gaskabouter • 20 mei 2021 11:38

Daar zit de crux. Je weet misschien globale dingen en krijgt van bedrijfsarts geen specifieke zaken te horen. De inhoudelijke dingen die je zelf hoort "in de wandelgangen" weet je nog eenmaal, dat kan je niet veel aan doen. Maar die zaken sla je als werkgever toch niet op in een Google spreadsheet?
Tip: als je dat wel doet zou ik dat hier niet toegeven, want dat is namelijk haske verboden.

[Reactie gewijzigd door SpazzII op 22 juli 2024 23:58]

gaskabouter @SpazzII • 20 mei 2021 11:41

Nee dat moet je zeker niet doen. Ik zou ook niet weten waarom eigenlijk. Maar dat zei ik eerder ook al. Er is natuurlijk een grijs gebied wanneer je moet wel regelmatig contact houden maar je mag het er niet over hebben. Gewoon even vragen hoe het is is al medisch. Dus ik zeg altijd maar gewoon "even van mens tot mens; hoe gaat het" en daarna kan je het hebben over hoe het traject loopt

bvdbos @gaskabouter • 19 mei 2021 20:27

Reden die doel rechtvaardigt is er denk ik zelfs in deze casus wel (maarja, wie ben ik als de AP spreekt). De wijze is natuurlijk wel laakbaar...

gaskabouter @bvdbos • 19 mei 2021 20:38

Met welk doel hou je in godsnaam en database bij van je werknemers met medische gegevens erin?

Anders dan onderzoek en monitoring bij zeer gevaarlijk werk met giftige stoffen of proefpersoon onderzoek kan ik niet bedenken.

bvdbos @gaskabouter • 19 mei 2021 20:50

Dossiervorming : als iemand zich elke week ziek meldt met eenzelfde verhaal dan moet je je afvragen of de werksituatie niet bijdraagt aan het ziekteverzuim, of dat wellicht sprake is van maandagmorgen-blues (waar je als werkgever dus ook vaak iets aan kan verbeteren). Of je moet je als werkgever afvragen of de thuissituatie het goed functioneren niet in de weg zit (in praktijk meegemaakt : telkens griepverschijnselen die door kleine kinderen worden overgedragen). Als iedere keer een andere smoes (sorry voor de woordkeuze maar wederom : ervaring) wordt gebruikt dan is de kans aanwezig dat op deze manier vrije dagen belangrijker vindt.

gaskabouter @bvdbos • 19 mei 2021 21:00

Dossiervorming ligt toch echt bij de bedrijfsarts. Als je dat als werkgever doet maakt de rechter gehakt van je.

HuisRocker @gaskabouter • 19 mei 2021 21:28

Dossiervorming ligt toch echt bij de bedrijfsarts. Als je dat als werkgever doet maakt de rechter gehakt van je.

Een rechter kan pas 'gehakt van je maken' als het überhaupt ooit voor de rechter komt, en dat is zeer zeldzaam...

Hele hordes werkgevers doen dit, en bijna iedereen weet dat het niet mag, maar ja, de baas tegenspreken (en/of 'tegenwerken') is voor velen een brug te ver.

En dat is waarom 'de foute werkgever' er meestal gewoon mee weg komt, helaas.

gaskabouter @HuisRocker • 19 mei 2021 21:45

Sorry. Ik heb 6.000 werknemers onder mij. Een juridische gang is bijna gebruikelijk tegenwoordig en de rechter helaas ook steeds vaker.

Ik zie juist steeds vaker "foute" werknemers die zich eindeloos ziek melden als ze aangesproken worden of iets ze niet zint, en we maar gewoon een vaststellingsovereenkomst sluiten omdat dat tijd en geld scheelt.

HuisRocker @gaskabouter • 20 mei 2021 09:12

Ik heb veel werknemers. Je krijgt gewoon een rapport waarin staat wat iemand heeft en wat hij wel en niet kan en wat hij daar als werkgever aan moet doen.

Globaal en niet op details medisch inhoudelijk maar je weet als werkgever gewoon wat iemand heeft die ziek is en verzuimt.

Jij krijgt dus "een rapport waarin staat wat iemand heeft", en van wie dan? Want dat mag dus absoluut niet.
En dat is precies wat ik bedoel.

gaskabouter @HuisRocker • 20 mei 2021 09:20

Natuurlijk mag dat. In het kader van verzuimbegeleiding maken werknemer en werkgever afspraken met de bedrijfsarts welke informatie op welk moment gedeeld wordt.

HuisRocker @gaskabouter • 20 mei 2021 09:51

Natuurlijk mag dat. In het kader van verzuimbegeleiding maken werknemer en werkgever afspraken met de bedrijfsarts welke informatie op welk moment gedeeld wordt.

Ah juist, en wanneer de werknemer geen medische informatie wil delen (een recht, juist omdat dit niet nodig is om samen tot oplossingen te komen tijdens verzuimbegeleiding)? Valt hij/zij daarna in de categorie:

..."foute" werknemers die zich eindeloos ziek melden als ze aangesproken worden of iets ze niet zint...

???

gaskabouter @HuisRocker • 20 mei 2021 10:24

Er lijkt mij wel een verschil tussen iemand die zich ziek meldt op basis van een arbeidsconflict of iemand die echt iets heeft maar dat niet wil delen.

Dat is de rol van de bedrijfsarts. Als die tegen mij zegt dat iemand niet kan werken maar niet wil zeggen waarom heb ik dat te accepteren. Maar als de bedrijfsarts vindt dat iemand wel, eventueel aangepast, kan werken en de werknemer vindt van niet en weigert informatie te geven kan ik niet begeleiden en kan dat basis zijn de overeenkomst te ontbinden.

HuisRocker @gaskabouter • 20 mei 2021 11:29

Dat klinkt al een heel stuk genuanceerder, en zo zou het inderdaad overal moeten gaan.
En toch is de praktijk een stuk weerbarstiger, werknemers niet uitgezonderd, maar toch echt ook waar het om werkgevers gaat.

Groningerkoek @bvdbos • 19 mei 2021 23:14

Je mag rustig bijhouden hoe vaak iemand ziek is, dat doet elk bedrijf. Maar je mag geen medische gegevens bewaren/opvragen. En als iemand vaak ziek is, dan als goede leidinggevende ga je een gesprek met iemand aan in hoeverre het bedrijf hier een rol in kan spelen waarbij de keuze ligt bij de werknemer wat hij wel of niet deelt omtrent zijn gezondheid, vindt jij of de werknemer dit niets dan stuur je de werknemer door naar een bedrijfsarts om te zien wat voor verbetering/gedragsverandering/maatregel of wat dan ook er mogelijk is.

smitae

@gaskabouter • 19 mei 2021 20:32

Nee, dan hoeft de werkgever(manager) nog steeds niet te weten wat de persoon heeft.
De bedrijfsarts geeft aan wat wel/niet kan, die kan het vastleggen en communiceren. Meer hoef ik als manager niet te weten om de verzuimbegeleiding uit te voeren.

Wel kan het zo zijn dat de werknemer het zelf vrijwillig deelt, maar dan nog zou ik als manager dat dus niet gaan vast leggen. Dat is allemaal voor de bedrijfarts, die rollen zijn 100% duidelijk.

Mee eens dat in dit geval teveel gegevens door de verkeerde mensen zijn verzameld. Boete geheel terecht.

J_van_Ekris @gaskabouter • 20 mei 2021 00:34

De werkgever is vanuit werkgeverschap gewoon verplicht heel actief verzuimbegeleiding te doen en zowel bedrijfsarts als werknemer regelmatig te spreken en het reïntegratietraject te evalueren. In dat kader kan een werknemer niet geholpen worden als er niet een zekere openheid is. Het werkt dus wel twee kanten op.

Gewoon fout.
Een werkgever mag niet naar dit soort informatie vragen. Dat is de primaire rol van de bedrijfsarts die als buffer tussen werknemer en werkgever zit en juist tot doel heeft te voorkomen dat de werkgever deze informatie krijgt. Alleen onder hele specifieke (direct werkgerelateerde) situaties mag een werkgever vernemen wat de ziekte is (bijvoorbeeld om de omgeving te attenderen op besmetting of herhaling).

Immers, de reden van fysieke en geestelijke klachten kunnen ook voortkomen uit diezelfde werkgeversrelatie.

gaskabouter @J_van_Ekris • 20 mei 2021 07:33

Nou ja laat maar. Ik doe al tien jaar verzuimbegeleiding, ik heb er denk ik iets meer ervaring mee. Juist als het werkgerelateerd is moeten wij op de hoogte zijn want dan zijn we namelijk verplicht er iets aan te doen.

J_van_Ekris @gaskabouter • 20 mei 2021 08:10

Nou ja laat maar. Ik doe al tien jaar verzuimbegeleiding, ik heb er denk ik iets meer ervaring mee. Juist als het werkgerelateerd is moeten wij op de hoogte zijn want dan zijn we namelijk verplicht er iets aan te doen.

Ik snap je dilemma, maar je mag vrij weinig vragen aan een werknemer vanwege privacy (zie ook de posts van Arnoud Engelfried). Dat in praktijk mensen klagen dat ze last van rug en dat die k*tstoelen nu eindelijk eens vervangen moeten worden is natuurlijk de dagelijkse praktijk.

Ik heb de negatieve kant van "verzuimbegeleiding" door een voormalig werkgever mogen ervaren. Die vond (tegen het zeer expliciete advies van twee medisch specialisten in) dat ik maar geopereerd moest worden zodat ik sneller aan het werk kon en bleef daarop pushen. Nadat ik en mijn advocaat klaar waren was het einde contract arbodienst en een flinke boete (en nog steeds geen verontschuldigingen).

gaskabouter @J_van_Ekris • 20 mei 2021 08:17

Het is helemaal geen dilemma. Als werknemer heb je gewoon een arbodienst. Die beoordeelt de relatie tussen ziekte en arbeid. Daarbij kom je met zijn drieën overeen dat de werkgever op de hoogte is van de ziekte voor zover dat nodig is om invulling te geven aan zijn wettelijke plicht.

Als jouw werkgever eigen interpretatie of informatie gaat verzamelen is dat gewoon fout. En de arboarts heeft gewoon een mening en als andere artsen een andere mening hebben is dat iets tussen jou en de arbo arts en kun je juridiseren. Dat is wat anders.

J_van_Ekris @gaskabouter • 20 mei 2021 08:47

Als jouw werkgever eigen interpretatie of informatie gaat verzamelen is dat gewoon fout. En de arboarts heeft gewoon een mening en als andere artsen een andere mening hebben is dat iets tussen jou en de arbo arts en kun je juridiseren. Dat is wat anders.

Mijn manager bij mijn voormalig werkgever had een andere mening dan de arboarts en de twee behandelend medisch specialisten. Punt is dat we in dit proces nergens overeen zijn gekomen inhoudlijke informatie te delen (meneer is er gewoon 3 maanden niet vanwege arbeidsgerelateerde fysiek klachten was voldoende geweest). Maar toch wist de werkgever de onderliggende medische diagnose.

gaskabouter @J_van_Ekris • 20 mei 2021 08:51

Maar dat is dus op zich niet gek. Dat hij er een eigen mening op na houdt en zich ermee bemoeit wel.

Wat wel gek is en ook niet hoort, is dat je blijkbaar niet op de hoogte was welke informatie gedeeld werd want daar moet je wel toestemming voor geven.

Andersom geldt het ook. Ik heb een werknemer gehad die weigerde informatie te geven. Blijkbaar is er dan geen vertrouwen bij de werknemer maar kan ik als werkgever mijn wettelijke plicht niet doen en heeft de rechter dus geconcludeerd dat de arbeidsovereenkomst mag worden beëindigd.

Zulke werkgevers als jij had hebt moeten dus gestraft inderdaad

[Reactie gewijzigd door gaskabouter op 22 juli 2024 23:58]

JapyDooge 19 mei 2021 18:13

Een boete van €15k voor zo'n zware overtreding voor een bedrijf met minimaal 25 (waarschijnlijk flink meer, hun website spreekt van 150 bedrijfswagens) medewerkers?

Dat is nogal een schijntje; die gaan lachend door.

Blokker_1999

Politiek en recht
Boete
Privacy

@JapyDooge • 19 mei 2021 18:19

Ik snap niet waar het idee vandaan komt dat een overtreder na een boete gewoon zou kunnen blijven doorgaan. Want dan staan ze binnen de korste keren weer in de beklaagdenbank en bij herhaling zal de boete groter zijn. Vergeet niet dat AVG boetes kunnen oplopen tot 20 miljoen euro of 4% van de totale jaaromzet. Het grootste cijfer van de 2 is van toepassing. Dus hoezo zullen ze fluitend verdergaan?

Arnoud Engelfriet

Politiek en recht

@Blokker_1999 • 19 mei 2021 19:17

Om die 4% te mogen inroepen, moet wel eerst gemotiveerd zijn waarom de 20 miljoen niet afschrikwekkend is. Het is geen simpele max() functie.

The Zep Man

Privacy
Politiek en recht

@Arnoud Engelfriet • 19 mei 2021 19:43

De praktijk toont aan dat zwaarder straffen niet werkt. Wat wel werkt is de pakkans vergroten. Nu ontspringen veel organisaties de dans, want:

• De kans dat je gepakt wordt is minimaal.
• Als je de eerste keer gepakt wordt is de boete mild. De eerste boete kan ingecalculeerd worden.

Als het een kostenbatenanalyse is voor bedrijven, dan moet de overheid het ook als zodanig gaan zien en de AP de middelen geven om vaker op te treden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 23:58]

_Pussycat_ @The Zep Man • 20 mei 2021 10:54

De praktijk toont aan dat zwaarder straffen niet werkt. Wat wel werkt is de pakkans vergroten.

Ist dat niet meer bij normale criminelen? Die zullen normaal geen goede risicoberekening maken, bedrijven wel.

job_h

@Arnoud Engelfriet • 19 mei 2021 19:58

Ik denk dat Blokker_1999 vooral aan wilde geven dat er zwaarder geschut beschikbaar is dan de €15k als de AP dat nodig acht. Hij gaf al aan dat het om de maximale hoogte van de boete gaat, maar dat het goed gemotiveerd moet worden is een prima aanvulling. Dank

TheVivaldi @Blokker_1999 • 19 mei 2021 18:22

Ik snap niet waar het idee vandaan komt dat een overtreder na een boete gewoon zou kunnen blijven doorgaan.

Omdat dat nu eenmaal zo werkt? Iemand kan door rood licht rijden, een bekeuring krijgen en het nooit meer doen, maar er zijn ook mensen die het ook na die boete nog blijven doen. En uiteindelijk mogen ze dat dan gaan uitleggen aan de rechter.

Niet dat ik het goedpraat, hoor, maar helaas werkt het in de praktijk nu eenmaal zo.

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 23:58]

djiwie @TheVivaldi • 19 mei 2021 18:37

Een groot verschil is dat je boete bij door rood rijden steeds even hoog is. AP kan bij herhaling een hogere boete opleggen. En blijkbaar hebben ze niet zo'n enorme cashflow, AP zal niet voor de grap een boete van 1 miljoen naar 1,5% daarvan verlaagd hebben als dat niet te verdedigen is. Dus een (hogere) vervolgsboete zal hier zeker afschrikwekkend werken.

J_van_Ekris @djiwie • 19 mei 2021 18:54

Nog afgezien van het feit dat men over een paar maanden terug kan komen met de gerichte vraag hoe men nu met die gegevens omgaat. En dat is bij rode stoplichten wat lastiger (want momentopname).

arjankoole @djiwie • 21 mei 2021 08:12

Een groot verschil is dat je boete bij door rood rijden steeds even hoog is. AP kan bij herhaling een hogere boete opleggen. En blijkbaar hebben ze niet zo'n enorme cashflow, AP zal niet voor de grap een boete van 1 miljoen naar 1,5% daarvan verlaagd hebben als dat niet te verdedigen is. Dus een (hogere) vervolgsboete zal hier zeker afschrikwekkend werken.

Precies. Het moet redelijk zijn. Als de boete van 1 miljoen het bedrijf failliet zou laten gaan, is het niet meer redelijk. Een straf mag niet onevenredig zwaar zijn.

mae-t.net @TheVivaldi • 19 mei 2021 22:14

Dat uitleggen aan de rechter, gebeurt bij zware overtredingen. Simpele verkeersovertredingen vallen daar niet onder. Sneller dan 40km/u te hard gaat bijvoorbeeld wel via de OvJ en/of rechter. Op dezelfde manier worden AVG-overtredingen ook per geval bekeken, zodat ernst en recidive altijd meespelen. In tegenstelling tot simpele snelheidsovertredingen die je inderdaad naar hartelust kunt herhalen zolang er geen agent is die er een artikel 5 tegenaan gooit omdat er gevaarzetting was. Onvergelijkbaar dus.

TheVivaldi @mae-t.net • 20 mei 2021 11:20

Nee hoor, ik heb in het programma ‘Voor de rechter’ ook mensen voor de rechter zien komen die alleen een paar keer in korte tijd door rood hadden gereden. Het is dus helemaal niet onvergelijkbaar.

mae-t.net @TheVivaldi • 20 mei 2021 21:07

Door rood licht rijden valt bij mijn weten niet onder het strafrecht, maar onder administratief recht (wet Mulder zoals ik elders aanhaal). Er zal dus wel een andere reden geweest zijn dat die mensen voor de rechter kwamen. Bijvoorbeeld omdat ze zelf beroep aantekenden, omdat een agent een artikel 5 uitschreef of omdat ze hun boete niet betaalden.

TheVivaldi @mae-t.net • 20 mei 2021 21:20

Geen van die drie dingen speelden een rol bij de zaken die ik gezien heb. En ze hebben volledig van begin tot eind gefilmd, zonder stukjes eruit te knippen.

theobril @TheVivaldi • 19 mei 2021 18:29

Pure nieuwsgierigheid: hoe vaak moet je gepakt worden met door rood rijden voordat je voor het hekje komt? 6 x per dag kan theoretisch maar dat zie ik niet zo snel gebeuren.

SuperDre @theobril • 19 mei 2021 21:23

Voor zover ik weet zit er geen limiet aan.

Seal64 @theobril • 20 mei 2021 07:50

Je komt niet voor het hekje. Dat zijn Mulderboetes, daar krijg je geen dagvaarding voor. Betalen en je bent overal vanaf. Snelheidsboetes zijn in beginsel ook Muldertjes, pas boven een bepaalde grens (meer als 30 of 40 te hard dacht ik, afhankelijk van of je binnen de bebouwde kom of op de snelweg zit) komt het OM en dus het strafrecht in beeld, en dan gaat er wel een registratie lopen.

tc982 @Blokker_1999 • 19 mei 2021 19:13

Omdat het niet de bedoeling is van de AVG om bedrijven kopje onder te duwen.

Alles heeft ook te maken met de intentie waarmee iets gebeurd, een bedrijf dat zijn fout erkend en aantoont dat de nodige acties zijn ondernomen om het niet meer voor te laten komen kan redelijkerwijs een lagere boete krijgen dan een bedrijf dag het deed uit winst en niet meewerkt. Gelukkig maar

Auteur

TijsZonderH Nieuwscoördinator @JapyDooge • 19 mei 2021 19:16

Die bedrijven gaan daar niet mee door, in ieder boetebesluit van de AP staat wel ergens dat ze ermee stoppen. Dat is geen onderdeel van de boete zelf maar het gebeurt wel altijd.

JapyDooge @TijsZonderH • 19 mei 2021 20:04

Misschien niet specifiek dit bedrijf en/of deze overtreding, maar met zo'n boetebedrag kan het op de schaal van zo'n bedrijf wel eens duurder zijn om alles wel goed te regelen (d.m.v. audits enz).

Seal64 @JapyDooge • 20 mei 2021 08:09

Die eerste keer wel, misschien. Maar als ze volgende maand weer op de stoep staan en dan een nulletje aan dat bedrag toevoegen omdat het nog steeds niet geregeld is, met de belofte dat ze een maand later nog eens op de koffie gaan komen, dan kan het ineens rap geregeld zijn hoor.

Neocortex-re 19 mei 2021 18:56

Als manager vertel ik mijn medewerkers altijd dat ze niet hoeven te melden wat er aan de hand is. Dat ze medische aangelegenheden met de bedrijfsarts bespreken.
Toch vertellen ze vaak veel uit zichzelf. Dat helpt wel in wederzijds begrip en in de details in de re-integratie. Bijvoorbeeld omdat je meteen aan de slag gaat om een aangepaste stoel te regelen voor iemand met herniaklachten. Omdat je dan na 30 minuten in een vergadering al even een momentje van opstaan en koffiehalen inlast. Het is handig als een medewerker met frequent kortdurend verzuim niet een moeilijk traject ingeduwd wordt door HR - want misschien wel een burn out.... - omdat je toevallig weet dat er een vruchtbaarheidsbehandeling loopt. Maandelijks.
Nou ga je dat natuurlijk niet vastleggen, toch? Nee, normaal niet. Maar bij een sociaal medisch teamoverleg wordt wel een aantal medewerkers besproken, tussen management en bedrijfsarts. Dan is een kattenbelletje snel gemaakt. Ook wanneer je zelf even weg bent, en een overdrachtsbestandje maakt voor je waarnemer. Een BSN opnemen lijkt misschien raar, maar je hebt het nodig bij het opstellen van een plan Wet Verbetering Poortwachter.
Dat mag nu dus met de strikte opstelling van de AP al heel snel niet meer. Ik vraag me af of we niet ons doel voorbij schieten.
Hoe zit het nou eigenlijk met die kaart 'Van harte beterschap'. En die bos bloemen? De bloemist als verwerkingsverantwoordelijke? Het is toch een duidelijke indicatie van een medisch probleem, met naam en adresgegevens? Volgens de logica van de AP zijn dat vanwege de context gevoelige persoonsgegevens.

De praktijk heeft nogal wat tinten grijs. Ik wil ervoor pleiten dat we op zoek gaan naar de middenweg. Zodat de aandacht wordt gericht op de grote misstanden rond data en we wel op een productieve en sociale wijze ons werk kunnen doen en de medemens kunnen helpen.

(Dit is een opinie. Daar mag je het niet mee eens zijn. Inhoudelijke reacties zijn heel welkom. Omlaag modereren, of een onzinnige reactie alleen omdat het een andere mening is dan die van jou en je daar in je bekrompen ikje niet mee om kunt gaan, ik ben daar op tweakers wel een beetje klaar mee eigenlijk.)

Arnoud Engelfriet

Politiek en recht

@Neocortex-re • 19 mei 2021 19:24

Ik denk dat de kern van het verbod is om te voorkomen dat de werkgever de medische gegevens oneigenlijk gaat gebruiken, denk aan iemands frequent ziekteverzuim met migraine als aanleiding opvoeren als "werkweigerend met smoesje hoofdpijn". Ook kom ik veel werkgevers tegen die zelf medische dossiers opbouwen zodat ze "kunnen beoordelen of een ziekmelding terecht is".

Meer algemeen hoeft de werkgever de réden van ziekte niet te weten. Iemand kan niet werken, vanaf maandag weer wel en dan opbouwen vanaf 16 uur per week. Wat voor informatie over de aandoening heb jij dan nog nodig voordat je kunt gaan opbouwen? Wat zet jij in die kattenbel aan medische informatie, serieuze vraag?

Die kaart is natuurlijk prima. Ook AVG-technisch: dee bloemist is verwerkingsverantwoordelijke, de grondslag voor deze derdenverstrekking is de goede uitvoering arbeidsovereenkomst en er is doelbinding met het doel personeelsadministratie. Alleen hoeven de collega's niet te lezen "veel sterkte met het herstel van je fistel". Daar is waar de AVG streng in is.

bvdbos @Arnoud Engelfriet • 19 mei 2021 20:15

Ik krijg als werkgever vaak het verwijt dat ik te weinig interesse toon in en rekening houd met mijn medewerkers als het om dit soort dingen gaat. Ik vraag niet genoeg hoe het gaat want meer dan dat mag ik niet vragen:
a) dan leg ik teveel druk op zodat ze maar weer komen werken
b) dan overtreedt ik privacy-regels

En ik heb medewerkers die hier (volgens mij bewust) misbruik van gemaakt hebben. Maarja, dat kan ik niet aantonen... Ook niet als ik hoor dat op FB foto's voorbij komen van allerlei dingen die ze aan het doen zijn tijdens het ziekteverzuim waarvoor ik makkelijk minder belastende vervangende werkzaamheden had kunnen regelen. En zoiets hoor ik want ik mag geen FB-vrienden zijn, dan controleer ik hun privéleven te veel.

De AVG maar ook de overige regelgeving heeft tot gevolg dat de werkgever-werknemer verhouding afstandelijk moet blijven, zelfs bij een klein MKB-bedrijf van 10 personen... En uiteindelijk is dit allemaal ontstaan doordat er een aantal werkgevers het verkloot hebben voor de rest door hier misbruik van te maken.... Ik sta volledig achter @Jan-Willem67 's post...

Arnoud Engelfriet

Politiek en recht

@bvdbos • 19 mei 2021 20:55

-edit Sorry, dit was niet echt sensitief of zo.-

[Reactie gewijzigd door Arnoud Engelfriet op 22 juli 2024 23:58]

roawser @Arnoud Engelfriet • 19 mei 2021 20:39

Dat verhaal van die bloemist interesseert me mateloos. Ik worstel met veel klanten die zeggen: je verwerkt onze persoonsgegevens (ze bedoelen die van hun medewerkers!) dús ben je verwerker. Terwijl we zelf doel en middelen bepalen, vaak vragen ze ons zelf om dat in te vullen want zijzelf weten het ook niet. Maar ik dwaal af. Ik gebruik vaak het voorbeeld van een broodjeszaak in dit verband: die verwerken persoonsgegevens en dieetvoorkeuren, waaruit veel afgeleid kan worden, om een lunchbestelling te bezorgen. Piet een broodje american filet, Mo een broodje kip halal, Dirk moet zoutloos en glutenvrij en Jenny wil vegetarisch.
Mijn punt is: de broodjeszaak, of bloemist, is toch het schoolvoorbeeld van een verwerker? Ik sta bepaalde persoonsgegevens af, vooraf gedefinieerd, en ik bepaal dat daarvoor de juiste broodjes / bloemen geleverd moeten worden. De dienstverlener mag er niks anders mee. Waarom zeg je dat de bloemist verantwoordelijke is?

Arnoud Engelfriet

Politiek en recht

@roawser • 19 mei 2021 20:53

De bloemist bepaalt zelf wat ze doet met die persoonsgegevens, hoe ze worden beveiligd, aan wie ze nog meer worden gegeven, wat er op de bon/factuur komt enzovoorts. Dus dat is "zelf doelen bepalen".

Als de bloemist verwerker is, kun jij halverwege zeggen, graag de gegevens van de ontvanger van dat boeket even wissen. Volgens mij werkt dat niet zo. Dat is hun administratie, hun bezorging.

roawser @Arnoud Engelfriet • 19 mei 2021 22:21

Ik moet het toch anders zien. De bloemist mag het gegeven adres alleen gebruiken om dat ene boeket te bezorgen; dat is het hem gegeven doel. Hij heeft ze niet nodig voor de factuur, daarvoor heeft hij mijn eigen bedrijfs- en adresgegevens. Hij hoeft ze ook niet te bewaren vanwege een wettelijke regeling (fiscaal oid.) en zelfs al moest hij dat, dan is dat zijn grondslag om ze te bewaren (= verwerken). Hij mag zeker niet het adres van mijn werkgever aan iemand anders geven zonder dat ik dat van tevoren heb kunnen weten en akkoord mee ben, dus bijvoorbeeld in zijn bestelsoftware. Dat staat in zijn privacy statement of in de fictieve verwerkersovereenkomst die we sluiten onder het kopje subverwerkers. Maar hij mag ze niet op eigen initiatief aan zijn reclamebureau verstrekken zodat mijn medewerker later nog post krijgt van de bloemist. Ik zie dus oprecht niet hoe hij zelf doelen bepaalt. Tot op zekere hoogte bepaalt hij zelf de middelen, daarom huur ik de bloemist ook in anders had ik zelf ook een boeket kunnen samenstellen en brengen.

Als je er goed over nadenkt, kom je er nooit uit met die ogenschijnlijk heldere opsplitsing tussen verantwoordelijke en verwerker. Precies ook het probleem dat ik altijd heb in werkelijke situaties met klanten.

cable-one @Neocortex-re • 19 mei 2021 19:54

Ik vind het ook vreemd dat je niet naar een prognose mag vragen aldus het artikel.

Het bedrijf vroeg bij ziekteverzuim naar veel verschillende gegevens. Naast persoonsgegevens, inclusief naw-gegevens en het burgerservicenummer, sloeg het bedrijf ook op welke ziekte een werknemer had, wat de prognose was voordat die beter was, en een veld met verdere opmerkingen over de ziekte.

Je meldt je ziek bij de werkgever, maar de wergever mag niet vragen wanneer iemand mogelijk weer terugkeert?

Arnoud Engelfriet

Politiek en recht

@cable-one • 19 mei 2021 20:54

Prognose is niet hetzelfde als "wanneer komt Jan-Willem terug". Dat gaat over medische details zoals "zal nog een week koorts hebben, daarna neemt de diarree af, en vervolgens weer leren lopen maar met beperking vanwege de stalen pin in de linkerheup."

Aapje58 @Arnoud Engelfriet • 19 mei 2021 23:54

Die mogelijke beperking lijkt me mogelijk wel uiterst relevant, vanwege eventueel andere werkzaamheden of aanpassingen.

De wet lijkt er vanuit te gaan dat de werkgever onbeperkte flexibiliteit en middelen heeft. Op het moment dat de werknemer weer (gedeeltelijk) kan werken moet die dan stante pede geschikte werkzaamheden hebben, een aangepaste werkplek, etc.

De wet lijkt er vanuit te gaan dat de werkgever kwaadwillend is, maar als dat echt zo is dan zijn er allerlei manieren om een werknemer op subtiele manieren weg te pesten. Dus zijn het niet vooral de goeden die last hebben van de wet, terwijl de echte slechte werkgevers er toch mee wegkomen?

gaskabouter @Neocortex-re • 19 mei 2021 20:14

Het is wel iets anders of je die gegevens inzet in het kader van goed werkgeverschap of als soort database in verzuimbegeleiding. Dat het team in het kader van lief en leed zaken deelt is waar anders dan een werkgever die medische informatie vastlegt. Wat hier minder duidelijk is is of het een arbodienst is of iemand die überhaupt wist wat hij deed en bijbehorend beroepsgeheim heeft of gewoon een overijverig HR type die maar wat bijhoudt en niet verantwoordelijk is vanuit de beroepsgroep.

Racing_Reporter 19 mei 2021 18:15

Wat voor uitgaven heb je als je zo'n boete niet kunt dragen? Ik ben extréém benieuwd aan wat voor wurgcontract dit bedrijf gebonden zou zijn, als dat niet eens je winst is over in ieder geval 2 jaar.

gold_dust @Racing_Reporter • 19 mei 2021 22:35

Typisch Nederlands bedrijf toch, weinig toegevoegde waarde, minimale marges, veel geleased, geen budget voor niks, werknemers minimaal betalen, over het algemeen met alles aanmodderen en rotzooien. Het zou me eerder verbazen als het andersom zou zijn.

Blokker_1999

Politiek en recht
Boete
Privacy

@Racing_Reporter • 19 mei 2021 18:21

Waarschijnlijk enkele fiscale constructies om de winst zo klein mogelijk te houden.

Floor @Blokker_1999 • 19 mei 2021 19:55

Er zijn genoeg bedrijven waarvoor dit al een flink bedrag is. Dit moet betaald worden van de netto winst, of uit de reserves. Niet overal is het een vetpot.

dwwolf @Floor • 19 mei 2021 21:50

Met meer dan 150 werknemers ?

mae-t.net @dwwolf • 19 mei 2021 22:15

Helaas zegt dat niet zoveel, zeker in deze vreemde economische tijden.

Behalve de inkomsten, schalen sowieso ook de uitgaven mee met de hoeveelheid personeel. Zelfs in normale tijden.

Anoniem: 696166 @Racing_Reporter • 19 mei 2021 18:25

Hoeveel bedrijven kunnen dat wel dragen volgens jou? Niet elk bedrijf verdient miljarden

Jeroenneman @Anoniem: 696166 • 19 mei 2021 20:12

220 medewerkers, 150 wagens, 6 warenhuizen (volgens hun eigen site), en dan geen 15K kunnen betalen als boetebedrag?

Yeah right.

grahampje @Jeroenneman • 20 mei 2021 15:57

Nee je leest het verkeerd, de 15k is wat het is geworden omdat ze de 1 miljoen niet konden betalen. Dat een dergelijk bedrijf niet de marges heeft om even een miljoen af te kunnen tikken kan ik zomaar inkomen.

i-chat @Anoniem: 696166 • 19 mei 2021 18:35

Je hoeft ook geen miljarden te hebben om een miljoen aan boetes te betalen

Als dat zo was is jouw volgende verkeersboete ook hooguit 0,2ct in plaats van 200 euro

Gewoon een betalingsregeling en die boete naar een ton ophogen

Let wel vragen naar ziekten klachten etc was ook ver voor de avg al verboden voor werkgevers

djiwie @Racing_Reporter • 19 mei 2021 18:39

Zonder een beeld te hebben van de omzet en uitgaven is dat lastig te zeggen. Maar er zijn genoeg bedrijven met hoge omzet maar lage winstmarges (en de winst kan de afgelopen jaren uiteraard ook negatief geweest zijn, daar gaat een bedrijf niet meteen aan ten onder als er voldoende eigen vermogen is).

Kevinp 19 mei 2021 18:12

Wanneer een bedrijf in deze sector zo'n boete verdiend moeten er eigenlijk andere boetes komen. Zoals een nieuw bestuur/ontslag op staande voet (dus zonder vergoedingen). En iemand van het AP in het bestuur.

Nu kan je dus doen wat je wil, want je krijgt toch geen hoge boete (iig niet een waarmee je failliet gaat).

moonlander @Kevinp • 19 mei 2021 18:26

Een foutje is zo gemaakt. De eerste boete moet normaal zijn. Even een tik op de vingers. Bij een tweede overtreding moet dat zeer zwaar belast worden.

Soms gaan dingen ook buiten het zicht om van de verantwoordelijke mensen.

Kevinp @moonlander • 19 mei 2021 18:27

Ik kan niet oordelen of de bedragen normaal zijn. Maar van samen 1 miljoen naar 15000 euro klinkt als dat er toch iets mis is.

Quintiemero @moonlander • 19 mei 2021 18:44

Dus als we straks 10 jaar ver in de AVG zijn, mag een bedrijf zo’n dusdanige basisfout maken en er van afkomen omdat het hun eerste keer is?

Anoniem: 1322 @Quintiemero • 19 mei 2021 19:26

Ja, criminelen krijgen ook mindere straffen als dat hun eerste vergrijp is. Daarnaast spelen omstandigheden ook nog mee. Iets dat natuurlijk totaal niet kan worden verwoord in een kost artikel zoals hier.

Je kunt dus helemaal geen conclusies trekken over de deze zaak, over toekomstige zaken of dat 'basisfouten' gemaakt mogen worden.

moonlander @Quintiemero • 19 mei 2021 20:25

Dus als jij auto rijd, 20 jaar ervaring. En rijd dan eens 4 km te snel, moet je dan ook ineens 15k op tafel leggen of betaal je dan ook maar 70 euro

mae-t.net @moonlander • 19 mei 2021 22:07

Een boete voor 4km/u te snel is een artefact van de wetgeving. Dit valt niet voor niets onder de wet Mulder. Onvergelijkbaar met een datalek of een diefstal, waar de wet andere classificaties voor kent.

Overigens zijn er wel landen, ik meen zoals Finland, waar boetes standaard inkomensafhankelijk zijn, dus zowel proportioneel naar de overtreding als naar de draagkracht van de overtreder.

Dit laatste lijkt bij het opleggen van deze boete ook in acht genomen te zijn.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 23:58]

Seal64 @mae-t.net • 20 mei 2021 07:47

Waarom is een boete van 4 km/u te snel een artefact? Er wordt standaard al een marge aangehouden, dus in werkelijkheid is die 4 km/u te snel al hoger dan dat - je moet op je teller al meer als 10 km/u te hard rijden wil je inderdaad een boete oplopen. Da's geen artefact, da's gewoon je eigen keuze.

mae-t.net @Seal64 • 20 mei 2021 21:02

Alleen de werkelijk gereden snelheid doet er toe. Jij weet niet wat andermans teller of GPS aangeeft en ook niet hoe ver in de meetcorrectie de meetfout van de snelheidsradar zit. Ik ben het opzich met je eens dat je doorgaans wel minstens 4km/u te hard zult hebben gereden als je daar een boete voor krijgt, maar je mag er nooit op vertrouwen dat je teller teveel aangeeft (of beter gezegd: je hoort de meetfout van je teller ongeveer te kennen zodat je je aan de wet kunt houden).

Maar dat bedoel ik niet. Ik bedoel dat het vanuit wetgevings- en handhavingsperspectief een vreemde eend in de bijt is. Zie ook mijn verwijzing naar de wet Mulder, die nodig was om de werkdruk van het anders benodigde maatwerk weg te nemen. Feitelijk is het daardoor meer een soort aanslag snelheidsbelasting (officiele term: administratief recht) dan een echte bekeuring.

Misschien had ik het beter een kromme vergelijking kunnen noemen dan een artefact. Net zoals schending van de auteursrechten geen diefstal is, is een AVG-boete geen administratieve handeling maar maatwerk.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 23:58]

siteoptimo @Kevinp • 19 mei 2021 18:22

En bovendien nog promo en links richting deze partij. Qua linkbuilding kan dit tellen.

dez11de @Kevinp • 19 mei 2021 23:06

De juffrouw van persooneelszaken heeft gedurende 2(twee) maanden gebeld met ziek gemelde mensen.

Truus: "Hallo met Truus van PZ, ik hoorde dat je ziek was?"
Mdw: Jajoh, griep, diaree, ging echt ff niet goed, ben over paar dagen weer beter.
Truus: <clickety clickety, griep, diarree, paar dagen> He wat vervelend joh, ziek goed uit, en dan zien we je snel weer verschijnen. Als het langer duurt dan horen we graag.

En daarvoor wil jij bestuur op staande voet ontslaan en een medewerker van AP in het nieuwe bestuur?

Loekie

@dez11de • 19 mei 2021 23:33

Mjah, het is meer AP heeft melding gehad en gaat eens langs bij bedrijf en vraagt om voorbeelden, er komt 2 maanden aan data op tafel die verzameld is als:
Je bent ziek?
Wat heb je dan?
Wat voor klachten heb je?
Wanneer ben je weer beter?
Als we je zoeken, kunnen we je dan op dit en dit adres vinden en is dit je BSN(komt uit loonadministratie)
clickety clack(hoorde op achtergrond wat franse termen en gillende kinderen, ws disneyland Parijs in vrije opmerkingen veld).
Het zou moeten zijn:
Oei ben je ziek, denk je dat het lang duurt? Ik bel volgende week weer even om te zien hoe je er voor staat. Ziek goed uit (clickety clack: fruitmandje/bloemetje naar de werknemer als dat gepast is) en hopelijk zien we je snel weer.
Mocht dan blijken dat het toch langer duurt, kun je vragen om contact op te nemen met de bedrijfsarts.

Maar om direct bestuur/eigenaar van een bedrijf op staande voet ontslaan lijkt me ook vergaan, gebeurt zelfs in de politiek niet.

Kevinp @Loekie • 20 mei 2021 08:05

Wanneer je 700.000 euro en 300.000 euro boete krijgt klinkt dat toch als iets meer dan een klein foutje.

Zoals ik zei zonder exacte details klinkt het alsof een ontslag terecht is. Maar Ik zeg niet dat dat perse moet gebeuren.

Maar wanneer een bedrijf door een boete niet failliet kan gaan als ze dingen doen die niet door de beugel kunnen worden bestuurders nooit echt gestraft. En dat is in mijn ogen wel fout.

Ontslag zou een optie moeten zijn ipv een boete zodat de verantwoordelijke ook verantwoordelijk worden gehouden.

Maar ja in Nederland vinden we het niet erg wanneer een verantwoordelijke levens kapot maakt. Kijk maar naar Rutte in de politiek.

Loekie

@Kevinp • 20 mei 2021 10:38

Ik bagatelliseer het gedrag ook niet, vind dat enorm fout.
In Nederland gaan we uit van leren van fouten en niet van 'jij bent af en je mag nooit meer meedoen'. Dat wil niet zeggen dat er geen consequenties zijn.

Maar een directeur/eigenaar van een private(?) onderneming uit functie zetten is wel erg draconisch(en voor de werknemers van dat bedrijf ook niet per definitie goed). Een bedrijf een failissement indrijven voor iets (wat waarschijnlijk ter goeder trouw gedaan is), is meer maatschappelijke schade dan de boete oplevert.

Blijkbaar is deze boete voor dit bedrijf alsnog van een redelijke hoogte(ken ze alleen van abri-beheer en daar was activiteit afgelopen jaar ook lager) en voor een private onderneming echt wel van een hoogte dat je er even slecht van slaapt.

Zomaareenmening @Kevinp • 20 mei 2021 02:08

Ja, daar zullen die werknemers bij gebaat zijn als het bedrijf failliet gaat ???

Somoghi @Zomaareenmening • 20 mei 2021 07:50

Met 220 medewerkers, 150 connected bedrijfswagens en 6 warehouses in Nederland kun je een boete van 15k niet dragen?
Dan wordt het toch echt tijd om je deuren te sluiten en je personeel te informeren.
Maar misschien was de boete voor de overtreding wel compleet buiten proportioneel. We kunnen op dit moment niet veel anders dan gissen naar de oorzaak van de verlaging.

SuperDre @Kevinp • 19 mei 2021 21:22

Dat zal sowieso niet zomaar kunnen, de overheid kan (en moet het ook niet kunnen) zich verder niet bemoeien met de interne structuur van een bedrijf.

Pieter van Ras 19 mei 2021 18:16

Een miljoen is wel veel, maar 15k is dan wel weer heel weinig toch.

Geen idee of het een goede maatstaf is, maar volgens de site van die toko werken er 'ruim 220' medewerkers. Dat is dan dus (eenmalig) 68 euro per medewerker.. Lijkt me niet veel. Als voorbeeld: dat besparen ze wellicht al (ruim) uit door de reiskostenvergoeding stop te zetten voor thuiswerkers (20 dagen aan 40 km maal 0.19 cent is al 152 euro pm).

Polderviking

@Pieter van Ras • 19 mei 2021 18:43

Daarmee ga je er wel van uit dat ze veel thuiswerkers hebben. Dat er uberhaupt reiskosten vergoed worden. Dat het goed gaat met het bedrijf.

Ik snap niet waarom mensen dat boetebedrag in twijfel trekken, ik ben eerder geneigd er van uit te gaan dat ze cashflow hebben gezien en het boetebedrag er op hebben aangepast.
Het moet een consequentie zijn waar je iets van kan leren, geen doodvonnis. Lijk me.
Je kan zo'n bedrijf falliet bekeuren maar daar help je ook niemand mee. Zeker niet de mensen die er werken.

[Reactie gewijzigd door Polderviking op 22 juli 2024 23:58]

Groningerkoek @Pieter van Ras • 20 mei 2021 12:18

19 cent niet uitgeven staat niet gelijk aan 19cent meer winst. Daarbij als je kijkt naar wat het bedrijf doet zal er behalve eventueel door administratie zeer weinig thuis worden gewerkt. En een aantal van hun klanten zal door Corona even niet meer bereid zijn tot investeringen.

m_snel 19 mei 2021 18:20

Kijk alleen een persoon kan hier door makkelijk 15000 euro mislopen. Die boetes moeten gewoon met tientallen factors omhoog.

turbojet80s @m_snel • 19 mei 2021 19:32

In het artikel staat toch uitgelegd dat de boete eigenlijk veel hoger is maar waarom hij omlaag is gegaan?

m_snel @turbojet80s • 19 mei 2021 20:34

Ik hoop dat jij bij de overheid werkt en iedereen die zn boete niet kan betalen net zo behandeld.

Maar toch een reactie die gewaardeerd wordt.

Misschien is het jou ontgaan, maar het commentaar gaat niet over of het bedrijf de boete kan betalen, dat is onder geschikt.

Groningerkoek @m_snel • 19 mei 2021 23:19

En dan staan er 220 medewerkers op straat.

m_snel @Groningerkoek • 19 mei 2021 23:24

Oh dus dat is het punt, tegen tata ze in 1100 mensen een rechtszaak begonnen, straks staan er tien duizend mensen op staart, en nog eens tienduizenden toe leveranciers .
Misschien toch maar gewoon doorgaan met kanker verwekende uitstoot.

Groningerkoek @m_snel • 20 mei 2021 01:01

Probeer het nog een keer, maar nu met een relevante opmerking.

Groningerkoek @m_snel • 20 mei 2021 12:11

We bekeuren niet voor wat er in de verre toekomst eventueel mogelijk zou zijn geweest, we bekeuren naar de huidige omstandigheden. En die zijn dat er behalve inbreuk op privacy geen overige benadelingen bekend zijn, dat het om de gegevens van 25 mensen ging, dat er niets bekend is over het uitekken van deze gegevens en dat het redelijk is om bedrijven bij dit soort overtredingen naar draagkracht te beboeten.

Wat jij lijkt te willen is iemand die 140 op de snelweg rijdt een bekeuring geven gebaseerd op de maximale snelheid die zijn auto kan halen omdat in theorie die overtreding ook mogelijk zou zijn.

grahampje @m_snel • 20 mei 2021 16:01

Behalve dat een AP niet is bedoeld om alle bedrijven die een fout te maken direct failliet te verklaren. Uiteindelijk wil je natuurlijk dat die bedrijven gewoon blijven bestaan maar die fout niet maken. Je kunt ze een boete geven van 1 miljoen, maar als ze dan daarna failliet gaan heb je en geen geld en hebben 220 mensen geen baan meer.

En voordat je denkt 'boeit me niet', het moet je wel boeien want sowieso kost dit je zelf ook geld door het goede sociale vangnet wat we hebben. En dit kan ook bij jou gebeuren, dat het bedrijf waar jij werkt een boete krijgt die zo hoog is dat het is 'balen m_snel, maar vanaf vandaag heb je geen werk. Doe je de deur op slot achter je?'. Lijkt me niet het idee van een boete

T.C 19 mei 2021 19:22

Dus het bedrijf begaat willens en wetens een grove overtreding, maar wordt met een foei bestraft.
De reden? Het bedrijf is zielig en kan niet meer aan.

Floor @T.C • 19 mei 2021 21:50

Beetje kortzichtige reactie. Je gaat er vanuit dat elk bedrijf automatisch bakken met geld verdient, dat men hier ter kwader wil was etc. Genoeg bedrijven dit het momenteel erg zwaar hebben en jij bent niet in staat om in hun boeken te kijken. Het zal vermoed een ander verhaal zijn als ze hierna weer in overtreding gaan.

Groningerkoek @Floor • 19 mei 2021 23:17

Kwade wil kan verhogend werken, maar laten we wel zijn een ieder dient op de hoogte te zijn van de wet, en een bedrijf met 220 medewerkers weet drommels goed dat dit niet mag.

T.C @Floor • 20 mei 2021 01:00

Ik werk bij een kleine onderneming en heb weinig tot niets te maken met persoonsgegevens.
Toch moesten we allemaal op een cursus om te leren wat wel en wat niet mag volgens de GDPR.

Dat ze wel of geen bakken met geld verdienen doet niet ter zake.
Het registreren van medische gegevens, zoals ziekte(beeld) mocht ook al niet voordat de GDPR werd aangenomen.

Niet weten wat in de wet staat is geen excuus, bedrijven met 220 man personeel heeft wel een aantal juristen in dienst.

Groningerkoek @Leo. P. Klepper • 19 mei 2021 23:08

Wat ik met mijn directe collega's bespreek is voor mij iets heel anders dan wat mijn werkgever van mij op wil slaan. Onvergelijkbaar in mijn beleving.

Leo. P. Klepper @Groningerkoek • 21 mei 2021 08:35

Daar heb je helemaal gelijk in. Toch maakt dit het voor leidinggevenden moeilijk om roomser dan de paus te zijn, in dit geval zorgvuldiger met privacy om te gaan, dan de werknemer zelf doet. De termen "gebroken arm" en "overgewicht" zijn al medische gegevens, terwijl dit voor iedereen zichtbaar en duidelijk is, ook als er niets van gezegd of vastgelegd wordt.

Op dit item kan niet meer gereageerd worden.

AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

Lees meer

Nederlandse AVG-boetes zijn hoog

IT-banen

Reacties (131)

Sorteer op:

Weergave: