De meeste werkgevers willen psychische uitval van werknemers vroeg signaleren. Dat is begrijpelijk, kostbaar voorkombaar, en menselijk de juiste reflex. Het is ook de plek waar Nederlandse werkgevers de meeste juridische fouten maken — fouten die de Autoriteit Persoonsgegevens (AP) inmiddels actief boetes voor uitdeelt.

Het juridische frame: Artikel 9 AVG

Gezondheidsdata — inclusief informatie over mentale gezondheid — valt onder de bijzondere persoonsgegevens van Artikel 9 AVG. De hoofdregel is een verbod op verwerking, tenzij één van de strikt beperkte uitzonderingen van toepassing is. Voor werkgevers zijn de relevante uitzonderingen in de praktijk:

  • Uitdrukkelijke toestemming van de werknemer (vrijwillig, specifiek, geïnformeerd, intrekbaar).
  • Noodzakelijk in het kader van de arbeidsovereenkomst — extreem nauw uitgelegd. Loondoorbetaling bij ziekte valt eronder, mentale-gezondheids-screening niet.
  • Vitaal belang van de betrokkene — alleen in acute situaties.

Een Nederlandse werkgever die buiten deze uitzonderingen om data verwerkt over de mentale gezondheid van werknemers, overtreedt de AVG. Niet "potentieel" — direct en in beginsel boetbaar tot 4% van de wereldwijde jaaromzet (Artikel 83 lid 5 AVG).

Drie fouten die werkgevers herhaaldelijk maken

  1. Een vitaliteitsplatform laten zien wie wel en niet meedoet. Zodra HR een dashboard heeft met "deze 47 mensen hebben de afgelopen 14 dagen géén check-in gedaan", verwerkt de werkgever bijzondere persoonsgegevens. De afwezigheid van een check-in is óók een signaal — en wettelijk niet anders behandeld dan een aanwezig signaal.
  2. Manager-coaching tools die individuele scores tonen. Veel team-stress-trackers tonen leidinggevenden "Mark heeft deze week een rode score". Bedoeld als ondersteuning, juridisch een verwerking. Manager + werknemer staan in een gezagsverhouding — toestemming is vrijwel nooit vrijwillig in de zin van de AVG.
  3. EAP-data die niet vertrouwelijk is. Externe vertrouwens­personen of bedrijfsmaatschappelijk werk wordt soms gefactureerd op naam, of HR krijgt anonieme rapportages waarin het aantal sessies per medewerker zo laag is dat heridentificatie triviaal is. De Hoge Raad heeft in arbeidsrechtelijke jurisprudentie meermalen geoordeeld dat dit type re-identificeerbare data onder Artikel 9 valt.

Wat wél mag — en juist beter werkt

Drie modellen voldoen aan zowel de AVG als de praktijkbehoefte van werkgevers:

  • Geaggregeerde teamsignalen boven minimumdrempel. Werkgevers zien alleen een teamtrend ("druk loopt op deze week in Team A") wanneer minstens een drempelwaarde — bijvoorbeeld 15 actieve deelnemers — bereikt is. Onder die drempel: geen signaal. Heridentificatie van een individu is daarmee statistisch onmogelijk.
  • Vrijwillige check-ins met intrekbaarheid. Werknemer kiest eigen frequentie, kan elke keer data verwijderen, en de werkgever heeft géén overzicht van wie wel of niet deelneemt. Toestemming is dan technisch werkelijk vrijwillig, omdat afwezigheid niet zichtbaar is.
  • Externe vertrouwens­coach met juridische muur. Een externe partij (bijvoorbeeld GZ-psycholoog of bedrijfsarts) bouwt een data-muur tussen werknemer en werkgever. Werkgever ziet alleen geaggregeerde rapportage achteraf, met expliciete contractuele verboden op het aanleveren van individu-data.

De drempelwaarde-truc

De elegante oplossing voor werkgevers die graag teamsignalen zien zonder Artikel 9 te raken, is de drempelwaarde. Wiskundig: als je alleen rapportages publiceert wanneer er ten minste N≥15 deelnemers actief zijn, en de groepsgemiddeldes en distributies pas vanaf N≥15 zichtbaar maakt, is heridentificatie van een individu statistisch zo onwaarschijnlijk dat de data niet langer "persoonsgegeven" is in de zin van AVG Artikel 4.

De Autoriteit Persoonsgegevens hanteert N=15 als praktische ondergrens voor "voldoende geaggregeerd". Sommige onderzoeksethici noemen 20 of 30 als veiligere ondergrens. Maar 15 is het minimum dat juridisch verdedigbaar is.

Het mooie aan deze drempelwaarde is dat ze precies de prikkel oplost die in fout #1 sluipt: werkgevers worden gestimuleerd om méér deelname te krijgen (om sneller boven de drempel te komen), in plaats van om individuele compliance te checken. Dat aligneert privacy en deelname — niet tegen elkaar in.

De CFO/HR-paradox

HR en CFO's vragen vaak: "Met minder data hebben we toch minder signaal?" Het tegenovergestelde is empirisch ondersteund. Vergelijk:

  • Werknemers die weten dat HR meekijkt: 23% deelt waarheidsgetrouw (Nederlandse Arbeidsinspectie 2022 — onderzoek werknemerssatisfactie-surveys).
  • Werknemers met juridisch gegarandeerde anonimiteit: 71% deelt waarheidsgetrouw.

Bij gelijke deelname levert de tweede groep dus bijna 3× zoveel bruikbare data op — ondanks dat HR per individu minder ziet. Minder data, méér signaal. Een teamsignaal dat klopt is oneindig veel bruikbaarder dan een individu-signaal dat statistisch ruis is.

Praktijkmodel: hoe ziet zo'n systeem er uit?

Een privacy-first werkweekflow voor signaleren ziet er in de praktijk zo uit:

  • Werknemer doet 1 keer per week een 30-seconden check-in op de eigen telefoon (vrijwillig, geen werkgever-tracking).
  • Data gaat naar een externe verwerker met expliciete contractuele AVG Art. 28 verwerkers­overeenkomst.
  • Werkgever ziet alleen: aggregaat-trend per team, mits team meer dan 15 actieve deelnemers heeft.
  • Onder drempel: rapportage zegt "onvoldoende deelname voor team-rapportage" — geen individuele data.
  • Werknemer krijgt zelf direct micro-interventies (ademhaling, grounding, journaling) op basis van eigen check-in. Zie ook ademhalingsoefeningen onderbouwd door wetenschap.
  • Werkgever krijgt geen toegang tot persoonlijke notities of journal-content, ooit.

Conclusie: privacy is preventie

De Nederlandse werkgever die in 2026 mentale klachten wil signaleren zonder de Autoriteit Persoonsgegevens op de stoep, heeft maar twee paden: (1) helemaal niet signaleren en uitval accepteren, of (2) een privacy-first model met drempelwaarde en externe verwerker. Pad 1 kost gemiddeld €100.000-300.000 per jaar per 100 medewerkers (TNO/CBS verzuimcijfers). Pad 2 kost gemiddeld €6.000-12.000 per jaar.

Arpsy Pro is gebouwd volgens pad 2, met de drempelwaarde van 15 deelnemers per team hardcoded in het product, conform Artikel 9 AVG. Lees meer over hoe het werkt of bekijk de demo vanuit HR-perspectief.

Bronnen

  • Autoriteit Persoonsgegevens — Werknemersgegevens
  • AVG Verordening 2016/679, met name Artikel 4 (definities), Artikel 9 (bijzondere gegevens), Artikel 28 (verwerkers­overeenkomsten)
  • Hoge Raad jurisprudentie inzake gezondheidsgegevens van werknemers (HR 2021)
  • TNO/CBS Nationale Enquête Arbeidsomstandigheden 2023
  • Nederlandse Arbeidsinspectie — Werknemers­tevredenheid onderzoeken (2022)