De Autoriteit Persoonsgegevens heeft onderhoudsbedrijf CP&A – waar zo’n 160 mensen werkzaam zijn – een boete van €15.000 opgelegd vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A registreerde in hun verzuimadministratie de oorzaken van verzuim en dat is in strijd met de wet. Zo bleek de verzuimadministratie informatie over de fysieke en/of mentale gezondheid van werknemers te bevatten, waaronder diagnoses, specifieke klachten en pijnaanduidingen. Het is voor werkgevers verboden om deze ‘bijzondere’ gegevens te verwerken.
Maar er was meer mis met de verzuimadministratie. Die werd namelijk in een bestand op Google Drive bijgehouden. Daar kwam bij dat dit bestand waarin gegevens van 25 zieke werknemers stonden zonder enige vorm van authenticatie online toegankelijk was. Dit is een overtreding op grond van artikel 32 AVG. Bedrijven zijn immers verplicht om gebruik te maken van meerfactorauthenticatie.
Het bedrijf heeft mazzel gehad. Het had een boete van €1.035.000 kunnen krijgen. CP&A zou deze boete echter nooit kunnen betalen. De Autoriteit Persoonsgegeven hield dan ook rekening met de draagkracht van de onderneming en heeft de boete uiteindelijk vastgesteld op €15.000.
Ik neem aan dat CP&A de personeelsfunctionaris(sen) op cursus heeft gestuurd of het boek Geen gedoe met personeel van Suzanne Meijers heeft gegeven. Voor nog geen dertig euro kun je dit soort boetes voorkomen ;-).