Onderhoudsbedrijf CP&A heeft van de Autoriteit Persoonsgegevens een boete van 15.000 euro gekregen wegens het overtreden van de Algemene verordening gegevensbescherming (AVG). Het bedrijf hield van zieke werknemers bij wat de oorzaak was van het ziekteverzuim en de verzuimregistratie was voor iedereen op internet zonder wachtwoord toegankelijk.

De AVG verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Het is werkgevers ook niet toegestaan om hiernaar te vragen. Alleen arbodienst of de bedrijfsarts mogen dit. Daarnaast was de verzuimregistratie van CP&A zonder enige vorm van authenticatie voor iedereen op internet toegankelijk.

Gezondheidsgegevens zijn zogeheten bijzondere persoonsgegevens, die extra beschermd moeten worden. Voor de beveiliging van deze gegevens gelden extra strenge eisen. Alleen bevoegde medewerkers mogen bij deze gegevens. In het geval de verzuimregistratie via internet toegankelijk is, is het gebruik van multifactorauthenticatie vereist.

De Autoriteit Persoonsgegevens spreekt van twee ernstige overtredingen waarin CP&A de bijzondere
gegevens van medewerkers onder onjuiste voorwaarden heeft verwerkt. Gezien de ernst van de overtredingen vond de toezichthouder het opleggen van een corrigerende maatregel, anders dan een bestuurlijke boete,
onvoldoende doeltreffend, evenredig en afschrikkend.

Het onderhoudsbedrijf, waar zo’n honderdzestig medewerkers werken, had voor de overtredingen een boete van meer dan 1 miljoen euro kunnen krijgen. Het zou deze boete echter nooit kunnen betalen. De toezichthouder hield bij het boetebedrag dan ook rekening met de draagkracht van de onderneming en kwam zo uit op een boete van 15.000 euro.

Source