Home / Kennisbank / Verzuimdata en privacy: waar moet het MKB op letten bij verslaglegging en rapportage?
Kennisbank

Verzuimdata en privacy: waar moet het MKB op letten bij verslaglegging en rapportage?

Je kent het vast wel: een medewerker valt uit, en plotseling ben je als MKB-ondernemer bezig met allerlei gevoelige informatie. Medische gegevens, privésituaties, inkomensgegevens – het stapelt zich allemaal op in je verzuimdossier. Maar wat mag je eigenlijk wel en niet met al die verzuimdata? En hoe zorg je ervoor dat je niet per ongeluk de privacyregels overtreedt?

Voor veel MKB-ondernemers is de combinatie van verzuimbegeleiding en privacy een ingewikkeld terrein. De AVG stelt strenge eisen aan hoe je omgaat met persoonlijke gegevens, terwijl de Wet verbetering Poortwachter juist verplicht om uitgebreide documentatie bij te houden. Het lijkt soms alsof deze regels elkaar tegenspreken.

Bij Mens & Verzuim helpen we MKB-organisaties in Limburg en Noord-Brabant al jaren bij het correct omgaan met verzuimdata. In dit artikel leg ik precies uit waar je als werkgever op moet letten, welke rechten je medewerkers hebben en hoe je privacy en verslaglegging slim kunt combineren.

Waarom verzuimdata zo gevoelig zijn onder de AVG

Verzuimgegevens vallen onder de meest gevoelige categorie van de Algemene Verordening Gegevensbescherming. We praten hier namelijk over gezondheidsgegevens – en die krijgen extra bescherming onder de wet.

De AVG noemt gezondheidsgegevens ‘bijzondere persoonsgegevens’. Dat is meteen de reden waarom je hier als werkgever zo voorzichtig mee moet zijn: medische diagnoses, behandelingen of informatie over mentale gezondheid horen niet thuis in een verzuimdossier. Sterker nog, die mag je daar niet eens in vastleggen. Toch komt het in de praktijk regelmatig voor dat dit soort informatie tóch in dossiers belandt, bijvoorbeeld omdat een medewerker er zelf iets over deelt via een appje of een gesprek. Op zo’n moment zit je al snel met gegevens die je eigenlijk niet had mogen verwerken, en dat kan vervelende gevolgen hebben voor zowel jou als je medewerker.

💡 Kernpunt: Gezondheidsgegevens zijn ‘bijzondere persoonsgegevens’ onder de AVG. Voor het verwerken ervan heb je altijd een specifieke rechtsgrond nodig.

De AVG onderscheidt verschillende soorten persoonsgegevens, maar gezondheidsgegevens staan bovenaan de lijst wat betreft gevoeligheid. Dit betekent dat je als werkgever extra zorgvuldig moet zijn met hoe je deze informatie verzamelt, bewaart en deelt.

Wat veel ondernemers niet beseffen, is dat ook indirect verzuimgerelateerde informatie onder deze bescherming kan vallen. Bijvoorbeeld een notitie over waarom iemand niet naar de bedrijfsborrel komt, of een opmerking over gedragsverandering. Ook dit soort informatie kan gezondheidsgegevens bevatten.

Welke verzuimdata mag je verzamelen en bewaren?

Als MKB-ondernemer heb je rondom verzuim een eigen rol, maar die is beperkter dan veel ondernemers denken. Het oordeel of iemand arbeidsongeschikt is, ligt namelijk bij de bedrijfsarts. Jij hoeft dat niet te beoordelen en je hoeft er ook geen medische informatie voor te verzamelen. Wat jij wél doet, is de re-integratie begeleiden, de afspraken bijhouden en zorgen dat het traject volgens de wettelijke termijnen verloopt.

In het verzuimdossier mag je vastleggen wat je nodig hebt om dat goed te kunnen doen:

  • De datum van de ziekmelding en de hersteldatum
  • De vermoedelijke duur van het verzuim, voor zover je medewerker dat zelf aangeeft
  • Bereikbaarheidsgegevens en verblijfadres tijdens ziekte
  • Afspraken die je samen maakt over werkzaamheden, contactmomenten en re-integratie
  • De voortgang en evaluaties tijdens het traject
  • De functionele mogelijkheden en beperkingen die de bedrijfsarts doorgeeft, dus wat iemand wel en niet kan in het werk (nooit de reden waarom)

Wat je níet mag vastleggen, is alles wat met de oorzaak van het verzuim te maken heeft. Geen diagnoses, geen medicatie, geen behandelingen, geen informatie over mentale gezondheid of privésituatie. Ook niet als je medewerker er zelf iets over vertelt. Hooguit kun je noteren dat iemand ‘in behandeling is’, nooit waarvoor of bij wie.

Een praktisch voorbeeld: de bedrijfsarts geeft door dat een medewerker tijdelijk geen zwaar werk kan doen en mogelijk aangepaste werkzaamheden nodig heeft. Met die informatie kun jij als werkgever aan de slag. Je hoeft niet te weten of de beperking door rugklachten, een operatie of iets anders komt. Die informatie hoort niet thuis in jouw dossier en heb je ook niet nodig om een goed plan van aanpak op te stellen.

De juridische basis voor het verwerken van verzuimgegevens

Onder de AVG heb je altijd een rechtmatige grondslag nodig om persoonsgegevens te verwerken. Voor gezondheidsgegevens zijn de eisen nog strenger – je hebt een specifieke uitzondering nodig.

Voor de meeste verzuimgerelateerde gegevensverwerking baseer je je op artikel 9, lid 2, sub b van de AVG. Deze bepaling staat verwerking toe wanneer dit noodzakelijk is voor het naleven van verplichtingen op het gebied van arbeidsrecht en sociale zekerheid.

In de praktijk betekent dit dat je verzuimgegevens mag verwerken omdat:

  • De Wet verbetering Poortwachter je verplicht tot verzuimbegeleiding
  • Je arbeidsrechtelijke verplichtingen hebt jegens je medewerker
  • Je moet kunnen aantonen dat je je inspanningsverplichting nakomt
  • Sociale zekerheidsinstanties informatie van je kunnen vragen

Dit betekent echter niet dat alles mag. De gegevensverwerking moet altijd proportioneel en noodzakelijk zijn voor het doel. Je kunt niet meer gegevens verzamelen dan strikt nodig is voor een goede verzuimbegeleiding.

💡 Kernpunt: Documenteer altijd waarom je bepaalde gegevens verzamelt. Als UWV of een toezichthouder vragen stelt, moet je kunnen aantonen dat elke gegevensverwerking gerechtvaardigd is.

Rechten van medewerkers bij verzuimdata

Je medewerkers hebben onder de AVG verschillende rechten als het gaat om hun verzuimgegevens. Als werkgever moet je deze rechten respecteren, ook al kan dit soms botsen met je verzuimverplichtingen.

Het recht op inzage is waarschijnlijk het meest relevante. Medewerkers mogen altijd vragen welke gegevens je over hen bewaart en hoe je deze gebruikt. In de praktijk betekent dit dat ze hun complete verzuimdossier mogen inzien, inclusief alle correspondentie met de arbodienst en andere partijen.

Complexer wordt het bij het recht op rectificatie en het recht op vergetelheid. Stel dat een medewerker wil dat je onjuiste informatie verwijdert uit het dossier, of dat het hele dossier gewist wordt. In principe moet je hieraan voldoen, maar er zijn uitzonderingen.

Voor verzuimgegevens geldt vaak dat je ze moet bewaren vanwege wettelijke verplichtingen. Je kunt dus niet zomaar alles wissen, ook niet op verzoek van de medewerker. Wel moet je duidelijk uitleggen waarom je de gegevens bewaart en hoe lang dit zal duren.

“Transparantie is de sleutel. Leg van tevoren uit welke gegevens je verzamelt, waarom je dit doet en wat de rechten van je medewerker zijn. Zo voorkom je later vervelende discussies.”

Ook het recht op gegevensportabiliteit kan relevant zijn. Als een medewerker naar een andere werkgever gaat, mag hij in bepaalde gevallen een kopie van zijn gegevens opvragen in een gestructureerd, gangbaar formaat. Dit kan handig zijn als de nieuwe werkgever de verzuimbegeleiding wil voortzetten.

Bewaren en vernietigen van verzuimdossiers

Een van de meest praktische vragen die MKB-ondernemers stellen: hoe lang moet ik eigenlijk een verzuimdossier bewaren? En wat doe ik ermee als een medewerker uit dienst gaat?

De wettelijke bewaartermijnen voor verzuimgegevens zijn complex omdat verschillende wetten verschillende termijnen hanteren. Voor de Wet verbetering Poortwachter geldt een bewaartermijn van vijf jaar na het einde van het verzuimtraject. Voor sommige arbeidsrechtelijke claims kunnen echter langere termijnen gelden.

In de praktijk hanteren de meeste MKB-bedrijven de volgende aanpak:

  • Actieve verzuimdossiers: bewaren zolang het dienstverband duurt plus vijf jaar
  • Afgesloten dossiers van vertrokken medewerkers: vijf jaar na uitdiensttreding
  • Dossiers met juridische procedures: bewaren tot alle procedures definitief afgesloten zijn
  • Preventieve gegevens: meestal drie jaar, tenzij nog relevant voor lopende zaken

Maar er zijn uitzonderingen. Bijvoorbeeld bij arbeidsongeschiktheid die tot een WIA-uitkering leidt, kunnen gegevens langer relevant blijven. Ook bij werknemers die een beroepsziekte hebben opgelopen, kunnen andere termijnen gelden.

💡 Kernpunt: Stel een helder vernietigingsschema op en voer dit consequent uit. Gegevens langer bewaren dan nodig is, is een privacyschending.

De vernietiging moet ook op een veilige manier gebeuren. Papieren dossiers verscheuren en digitale bestanden definitief wissen. Zorg ervoor dat ook back-ups en e-mails met gevoelige informatie meegenomen worden in het vernietigingsproces.

Delen van verzuimdata met externe partijen

Tijdens een verzuimtraject deel je regelmatig informatie met externe partijen: de arbodienst, re-integratiebureau’s, UWV en soms rechtsbijstandverleners. Elk van deze uitwisselingen moet zorgvuldig afgewogen worden.

Met de arbodienst deel je waarschijnlijk de meeste informatie. Dit is meestal onproblematisch omdat jullie samenwerken aan hetzelfde doel: de re-integratie van de medewerker. Wel belangrijk: maak duidelijke afspraken over wie welke gegevens gebruikt en hoe lang ze bewaard worden.

Bij re-integratiebureau’s wordt het al complexer. Officieel fungeren zij vaak als verwerker in opdracht van de werkgever. Dit betekent dat je een verwerkersovereenkomst moet sluiten waarin je precies vastlegt wat zij met de gegevens mogen doen.

UWV heeft soms recht op inzage in verzuimgegevens, bijvoorbeeld als er discussie is over een WW-uitkering of als zij een onderzoek doen naar de re-integratie-inspanningen. Je bent dan verplicht om informatie te verstrekken, maar alleen wat relevant is voor hun onderzoek.

Een lastige situatie ontstaat als een medewerker een juridische procedure start. Advocaten en juridisch adviseurs vragen dan vaak om alle verzuimgegevens. Je moet hier zeer voorzichtig mee omgaan en alleen verstrekken wat echt noodzakelijk is voor de betreffende procedure.

“Bij twijfel over het delen van verzuimgegevens: vraag altijd om schriftelijke onderbouwing van het verzoek en overleg met een privacy-expert voordat je gegevens verstrekt.”

Technische beveiliging van verzuimdata

Gevoelige verzuimgegevens vereisen ook goede technische beveiliging. Voor het MKB betekent dit vaak een balans tussen praktische werkbaarheid en optimale beveiliging.

Begin met de basis: verzuimdata hoort nooit op gedeelde netwerkschijven te staan waar iedereen bij kan. Maak specifieke mappen met beperkte toegang, zodat alleen bevoegde personen erbij kunnen. In een klein bedrijf zijn dat meestal alleen de ondernemer en eventueel een HR-medewerker.

Voor digitale dossiers geldt: gebruik altijd wachtwoordbeveiliging en zorg voor regelmatige back-ups. Maar let op: ook back-ups moeten veilig opgeslagen worden en vallen onder dezelfde privacyregels als de originele bestanden.

E-mailverkeer over verzuimzaken verdient speciale aandacht. Gebruik bij voorkeur beveiligde e-mail bij het versturen van gevoelige informatie. Als dit niet mogelijk is, vermijd dan persoonlijke of medische details in de e-mail zelf en verwijs naar telefonisch contact.

💡 Kernpunt: Train iedereen die met verzuimdata werkt in de basis van informatiebeveiliging. Een onbeveiligd verzonden e-mailtje kan al een datalek veroorzaken.

Voor papieren dossiers: bewaar ze in een afgesloten kast en zorg ervoor dat gevoelige documenten niet op bureaus blijven liggen. Ook kopiëren en printen verdient aandacht – zorg ervoor dat gevoelige prints niet op de printer blijven liggen waar anderen ze kunnen zien.

Meldplicht bij datalekken met verzuimgegevens

Ondanks alle voorzorgsmaatregelen kan het gebeuren: een datalek met verzuimgegevens. Misschien is een laptop gestolen, werd er per ongeluk een e-mail naar de verkeerde persoon gestuurd, of heeft iemand ongeautoriseerd toegang gekregen tot het systeem.

Bij datalekken met gezondheidsgegevens gelden extra strenge regels. Je moet binnen 72 uur na ontdekking van het lek de Autoriteit Persoonsgegevens informeren, tenzij het lek waarschijnlijk geen risico vormt voor de betrokkenen.

Voor verzuimgegevens is dat “waarschijnlijk geen risico” meestal niet van toepassing. Deze gegevens zijn zo gevoelig dat bijna elk lek als risicovol beschouwd wordt. Je zult dus vrijwel altijd moeten melden.

Ook de betrokken medewerker moet geïnformeerd worden als het datalek waarschijnlijk een hoog risico vormt voor zijn persoonlijke levenssfeer. Bij verzuimgegevens is dit vaak het geval, omdat deze informatie gebruikt zou kunnen worden voor discriminatie of andere vormen van schade.

De melding bij de AP moet gedetailleerd zijn: wat is er precies gebeurd, welke gegevens zijn betrokken, hoeveel personen zijn getroffen en welke maatregelen heb je genomen? Ook moet je aangeven wat de mogelijke gevolgen zijn en hoe je verdere schade wilt voorkomen.

“Probeer een datalek niet te verbergen of te bagatelliseren. Eerlijke, snelle communicatie beperkt vaak de uiteindelijke schade en toont aan dat je verantwoordelijkheid neemt.”

Praktische tips voor privacy-vriendelijke verzuimrapportage

Goede verzuimrapportage helpt je als ondernemer om trends te zien en preventieve maatregelen te nemen. Maar hoe doe je dit zonder de privacy van individuele medewerkers te schenden?

Het belangrijkste principe is anonimisering. In plaats van te rapporteren “Jan de Vries was 6 weken ziek door stress”, schrijf je “Langdurig verzuim door energetische beperkingen: 1 geval, gemiddelde duur 6 weken”. Zo behoud je de waardevolle informatie zonder privacygevoelige details.

Voor kleine teams wordt anonimisering lastiger. Als je maar drie mensen op de afdeling hebt en één iemand is langdurig ziek, dan is het voor iedereen duidelijk over wie het gaat. In dat geval kun je beter meer algemene categorieën gebruiken of cijfers samenvoegen over langere periodes.

Gebruik in rapporten nooit medische diagnoses of andere gevoelige details. Focus op werkgerelateerde aspectos: hoeveel verzuimdagen, in welke afdelingen, welke patronen zie je? Dit geeft je genoeg informatie om actie te ondernemen zonder privacy te schenden.

💡 Kernpunt: Stel jezelf altijd de vraag: zou ik willen dat mijn eigen verzuimgegevens op deze manier gebruikt werden? Dat helpt bij het maken van de juiste keuzes.

Voor rapportages naar het managementteam of de directie geldt hetzelfde principe. Zij hebben recht op inzicht in verzuimtrends en kosten, maar niet op persoonlijke details van individuele gevallen. Tenzij zij direct betrokken zijn bij de verzuimbegeleiding van een specifieke medewerker.

Verzuimpreventie en privacy: hoe combineer je beide?

Effectieve verzuimpreventie vergt inzicht in risicofactoren en patronen. Maar hoe verzamel je deze informatie zonder de privacy van je medewerkers te schenden?

Begin met wat je al weet uit reguliere HR-processen. Functioneringsgesprekken, werkdrukmetingen en medewerkertevredenheidsonderzoeken geven vaak al waardevolle signalen zonder extra privacyrisico’s. De kunst is om deze informatie slim te combineren.

Voor preventieve gesprekken met medewerkers die regelmatig kort verzuimen, geldt een speciale benadering. Je mag best signaleren dat je je zorgen maakt, maar je kunt niet dwingen tot het delen van medische informatie. Bied wel aan om mee te denken over werkgerelateerde oplossingen.

Werkplekinspecties en risicoanalyses zijn ook belangrijke preventieve instrumenten. Hiervoor hoef je geen persoonlijke gegevens te verzamelen – je richt je op de werkomgeving, niet op individuele kenmerken.

Bij het implementeren van preventieve maatregelen moet je oppassen voor indirecte discriminatie. Als je bijvoorbeeld extra aandacht geeft aan oudere medewerkers omdat zij statistisch gezien vaker langdurig uitvallen, kan dit als leeftijdsdiscriminatie gezien worden.

“De beste verzuimpreventie richt zich op de werkplek en werkorganisatie, niet op individuele kenmerken van medewerkers. Zo ben je effectief zonder privacyrisico’s.”

Samenwerken met verzuimbegeleiders: privacy-afspraken

Veel MKB-bedrijven werken samen met externe verzuimbegeleiders. Deze samenwerking brengt specifieke privacyverantwoordelijkheden met zich mee.

Als je samenwerkt met een externe verzuimbegeleider, fungeren zij meestal als verwerker in opdracht van jouw bedrijf. Dit betekent dat jij als werkgever verantwoordelijk blijft voor de naleving van de privacyregels. De verzuimbegeleider moet handelen volgens jouw instructies en mag de gegevens niet voor eigen doeleinden gebruiken.

Sluit altijd een schriftelijke verwerkersovereenkomst af waarin je precies vastlegt:

  • Welke gegevens de verzuimbegeleider mag verwerken
  • Voor welke doeleinden deze verwerking plaatsvindt
  • Hoe lang gegevens bewaard mogen worden
  • Welke beveiligingsmaatregelen getroffen worden
  • Hoe omgegaan wordt met verzoeken van betrokkenen
  • Wat er gebeurt bij beëindiging van de samenwerking

Let ook op de expertise van je verzuimbegeleider op het gebied van privacy. Zij moeten begrijpen welke informatie zij wel en niet mogen delen, en hoe zij moeten omgaan met gevoelige situaties.

Bij Mens & Verzuim hebben we uitgebreide ervaring met het correct omgaan met verzuimdata onder de AVG. We zorgen ervoor dat alle gegevensverwerking rechtmatig gebeurt en dat je als werkgever volledig compliant bent. Zo kun je je focussen op je bedrijf terwijl de privacy gewaarborgd blijft.

💡 Kernpunt: Een goede externe verzuimbegeleider ontlast je niet alleen operationeel, maar zorgt ook dat je privacyverplichtingen correct nagekomen worden.

Toekomstbestendig omgaan met verzuimdata en privacy

De regels rondom privacy en gegevensbescherming blijven zich ontwikkelen. Voor MKB-ondernemers betekent dit dat je je aanpak regelmatig moet evalueren en waar nodig aanpassen.

Houd ontwikkelingen in de rechtspraak in de gaten. Uitspraken van de Autoriteit Persoonsgegevens en rechtbanken kunnen nieuwe inzichten geven over hoe de regels toegepast moeten worden in de praktijk.

Investeer in digitale tools die privacy by design hebben ingebouwd. Moderne verzuimsystemen hebben vaak automatische functies voor het anonimiseren van rapporten, het waarschuwen bij verlopen bewaartermijnen en het loggen van alle toegang tot gevoelige gegevens.

Maar techniek alleen is niet genoeg. Zorg ervoor dat iedereen in je organisatie die met verzuimdata werkt, regelmatig bijgeschoold wordt in privacy en gegevensbescherming. De regels kunnen complex zijn, maar met de juiste kennis en tools is naleving goed te realiseren.

Door nu te investeren in een goede privacystructuur, bespaar je jezelf later veel hoofdpijn en voorkom je kostbare boetes of imagoschade.

“Privacy-compliance is geen eenmalige activiteit, maar een doorlopend proces. Wie dit goed organiseert, heeft er op den duur minder werk aan dan wie het laat versloffen.”

Verzuimdata en privacy hoeven elkaar niet in de weg te zitten. Met de juiste kennis, procedures en technische maatregelen kun je als MKB-ondernemer excellent verzuimbeleid voeren terwijl je alle privacyverplichtingen nakomt. Het vraagt wat voorbereiding en bewustwording, maar daarna werkt het systeem voor je mee in plaats van tegen je.

Wil je zeker weten dat je verzuimbegeleiding volledig privacy-compliant is? Bij Mens & Verzuim nemen we niet alleen de operationele verzuimbegeleiding uit handen, maar zorgen we ook dat alle gegevensverwerking correct verloopt volgens de AVG. Zo heb je als ondernemer rust en zekerheid op alle fronten.

Privacy en verzuimdata in de praktijk

Welke verzuimdata mag een werkgever bijhouden?

Werkgevers mogen verzuimduur, reden van afwezigheid (algemeen), contactmomenten en voortgang bijhouden. Bewaar geen medische details in het werkgeversdossier – dit is niet toegestaan en ook niet nodig voor goede verzuimbegeleiding.

Hoe voorkomt Mens & Verzuim privacyschendingen bij verzuimbegeleiding?

Mens & Verzuim houdt zich strikt aan privacyregels door geen medische informatie te verwerken of op te slaan. We focussen op werkgerelateerde aspectos en handelingsgerichte begeleiding zonder inbreuk op de privacy van de zieke medewerker.

Wat zijn de gevolgen van onjuiste verzuimrapportage?

Onjuiste rapportage kan leiden tot loonsancties, juridische problemen en privacyschendingen. Zonder strak dossier en tijdige acties groeit het risico op fouten die de ondernemer duur komen te staan.

Hoe zorgt professionele verzuimbegeleiding voor betere privacy?

Een ervaren verzuimbegeleider weet precis welke informatie wel en niet gedeeld mag worden. Mens & Verzuim neemt dit proces vanaf twee weken ziekte volledig uit handen, zodat werkgevers zorgeloos aan alle verplichtingen voldoen.

Welke rol speelt de bedrijfsarts bij privacygevoelige verzuimdata?

De bedrijfsarts deelt nooit medische informatie met de werkgever of verzuimbegeleider. Mens & Verzuim werkt samen met bedrijfsartsen door hun algemene adviezen te vertalen naar duidelijke acties met realistische planning.

Hoe helpt HRM-optimalisatie bij betere verzuimprivacy?

Door heldere HR-processen en een concreet personeelshandboek weten medewerkers en leidinggevenden beter hoe om te gaan met verzuimdata. Dit voorkomt fouten en zorgt voor consistente, privacy-conforme werkwijzen.

← Terug naar kennisbank

Meer weten of verder verdiepen?

Dit artikel is geschreven door Silke Barkmann, oprichter en verzuimspecialist van Mens & Verzuim. Silke begeleidt MKB-ondernemers dagelijks bij langdurig verzuim, re-integratie en HR-vraagstukken. Vanuit haar praktijkervaring weet zij precies wat verzuim betekent voor ondernemers, medewerkers én de organisatie als geheel.

Neem contact op

Contact
Contact
Share
Tweet