Shots in de cafés leidt tot vragen naar (vaccinatie)shots op het werk

• Kwalificatie onder de AVG

De eerste vraag die beantwoord dient te worden betreft de juridische kwalificatie van de vaccinatie- en testgegevens onder de regels betreffende de verwerking van persoonsgegevens. De Algemene Gegevensbeschermingsverordening (“AVG”) definieert persoonsgegevens als elke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens zijn onderworpen aan meerdere juridische overwegingen, daarin begrepen het feit dat ze enkel mogen worden verwerkt voor een specifiek doel (artikel 5(1) (2) AVG), alsook dat ze enkel kunnen worden verwerkt op basis van een juridische grondslag (artikel 6 AVG).

Vaccinatie- en testdata vormen echter geen “gewone” persoonsgegevens, maar vallen onder het regime van de gevoelige persoonsgegevens. Het gaat hier in het bijzonder om gegevens betreffende de fysieke gezondheid, waaruit informatie over gezondheidstoestand van de natuurlijke persoon kan worden afgeleid. Gevoelige persoonsgegevens zijn onderworpen aan bijkomende bescherming onder de AVG, met als gevolg dat hun verwerking in principe verboden is, tenzij een bijkomende juridische grondslag kan worden geïdentificeerd.

In een arbeidsverhouding kunnen twee categorieën van juridische grondslagen als relevant worden beschouwd.

• Expliciete toestemming

Een eerste grondslag waarop de gevoelige persoonsgegevens zouden kunnen worden verwerkt betreft de expliciete toestemming van de werknemer (artikel 9(2) (a) AVG). Er dient echter meteen te worden opgemerkt dat in een arbeidsverhouding de toestemming slechts in zeer restrictieve gevallen als geldig zal worden beschouwd. Er bestaat immers een vermoeden dat er tussen de werknemer en werkgever een onevenwichtige machtsverhouding bestaat. De werknemer zal zich in vele gevallen immers verplicht voelen om toe te staan dat diens gegevens verwerkt worden, uit vrees voor enige negatieve gevolgen bij een gebrek aan deze toestemming. Tot diezelfde conclusie kunnen we komen indien de werkgever aan de werknemer informatie zou vragen betreffende de status van de vaccinaties of zelfs testresultaten. De gegevensbeschermingsautoriteiten in de verschillende Europese lidstaten delen de mening dat de toestemming om deze reden in de meeste gevallen niet zal volstaan als juridische grondslag. Eventuele uitzonderingen bestaan natuurlijk altijd.

Om deze redenen zal de verwerking van vaccinatie- en testgegevens op basis van de toestemming altijd geval per geval beoordeeld dienen te worden, rekening houdend met het specifieke doel waarvoor de persoonsgegevens zouden worden verwerkt. Er dient echter steeds rekening te worden gehouden met het feit dat de toestemming in een arbeidsverhouding in bijna alle gevallen als een onvoldoende grondslag zal worden beschouwd.

• Recht van de Europese Unie of een lidstaat

Een tweede grondslag waarop de verwerking van vaccinatie en test-gegevens in een arbeidsrelatie gestoeld kan worden, betreft een wettelijke bron. Deze wettelijke bron kan zowel een wet op Europees of op Nationaal niveau zijn. Daarnaast kan de wettelijke bron zowel een basis vinden in (1) een wet betreffende het arbeidsrecht, socialezekerheids- en socialebeschermingsrecht (artikel 9(2) (b) AVG), of in (2) een wet betreffende preventie of arbeidsgeneeskunde (artikel 9(2) (h) AVG).

Voor wat beide gronden betreft, bestaat er op dit moment echter nog geen voldoende wettelijke bron die de verwerking van vaccinatie- en testgegevens betreffende werknemers zou toelaten om bijvoorbeeld de aanwezigheden op kantoor te regelen. De Europese en Belgische wetgevers zoeken op dit moment naar opties met betrekking tot het gebruik van dergelijke persoonsgegevens, daarin begrepen de ontwikkeling van het vaccinatiepaspoort. Deze initiatieven zouden ertoe kunnen leiden dat de Europese Unie of de lidstaten het gebruik van de gevoelige persoonsgegevens door de werkgever zou kunnen toelaten. Op dit moment is het echter afwachten wat deze regels precies zullen stellen betreffende de verwerking van deze gevoelige gegevens alsook de eventuele opties om de werknemers op kantoor te kunnen testen.

• Conclusie

Rekening houdend met de bijzondere kwalificatie van de vaccinatie- en testgegevens, en het feit dat de persoonsgegevens in kwestie niet verwerkt kunnen worden zonder een bijkomende juridische grondslag, dienen werkgevers op te letten en de opportuniteit van de verwerking ervan steeds te analyseren (bijvoorbeeld voor het managen van de aanwezigheden op kantoor).

Al biedt de AVG op het eerste gezicht twee opties aan voor de “bijkomende” juridische grondslag, bij het grondiger bestuderen van deze grondslagen blijkt echter dat deze onvoldoende blijken om de verwerking van de vaccinatie- en testgegevens van werknemers rechtsgeldig te laten verlopen. Om die reden kunnen werkgevers – op het moment van publicatie van deze blogpost – over het algemeen de vaccinatie- en testgegevens van hun werknemers niet op legale wijze verwerken.

Tot slot merken wij nog op dat toekomstige wetgevende initiatieven tot een ander besluit kunnen leiden. Moest enige wijziging optreden in onze conclusie, dan volgen wij deze blogpost in ieder geval op met een update.

Alle commentaren en analyses in deze blog post zijn slechts opgesteld met een informatief doel voor ogen en kunnen dus niet worden geïnterpreteerd als enig juridisch advies.

Indien u vragen zou hebben of ons om een andere reden wenst te contacteren, dan kan u ons een email zenden via info@beyond-lawfirm.com. Wij doen ons best om uw bericht zo spoedig mogelijk te beantwoorden.