Privacy op de werkvloer

Werkgevers mogen niet zomaar een inbreuk maken op de privacy van werknemers. Dit is wettelijk verankert in art. 10 Grondwet, in art. 8 EVRM en in art. 7 en 8 van het Europese Handvest. In deze artikelen is een ruime bescherming van de privacy vastgelegd. Het gaat hierbij niet alleen om bescherming van de persoonlijke levenssfeer, maar ook om de bescherming van persoonsgegevens. De bescherming van persoonsgegevens is verder uitgewerkt in Algemene verordening gegevensbescherming (AVG) en in de Uitvoeringswet AVG (UAVG). De AVG moet in overeenstemming met art. 8 EVRM worden uitgelegd.

In dit onderwerp kunt u meer lezen over waar werkgevers rekening mee moeten houden ten aanzien van de privacy van werknemers.

NB: privacy op de werkvloer betreft ook de privacy van klanten en overige derden. Dit onderwerp gaat specifiek over privacy van werknemers en sollicitanten. Voor de privacy van klanten en overige derden kunt u de andere onderwerpen nalezen.

check Bijgewerkt tot 11 juni 2020

spiralbound Practice note

Privacy van de werknemer

Werknemers hebben ook op de werkvloer recht op privacy. Echter, dit recht is niet absoluut. In sommige gevallen zullen de belangen van de werkgever zwaarder wegen dan het recht van privacy van werknemers. Een inbreuk op art. 8 EVRM kan dan gerechtvaardigd zijn. Art. 8 EVRM moet in overeenstemming met de AVG worden uitgelegd. In -zo goed als- alle privacy kwesties rondom werknemers zullen namelijk persoonsgegevens worden verwerken. De regels en verplichtingen uit de AVG gelden dus ook voor werkgevers bij het verwerken van persoonsgegevens van werknemers (hierna: werknemersgegevens).

Dit betekent onder andere dat werkgevers zich moeten houden aan de bekende beginselen van art. 5 AVG (zoals rechtmatigheid, transparantie, doelbinding, dataminimalisatie, integriteit en vertrouwelijkheid) en dat werkgevers altijd een grondslag conform art. 6 AVG moeten hebben om werknemersgegevens rechtmatig te mogen verwerken.

In een ander onderwerp wordt uiteengezet wat de regels rondom verwerken inhouden. Dit kunt u hier lezen. Een paar beginselen verdienen extra aandacht in deze context en worden in dit onderwerp nader bekeken.

Verder hebben werknemers dezelfde rechten als andere betrokkenen onder de AVG. Werkgevers moeten daarom hun werknemers de mogelijkheid geven om deze rechten uit te kunnen oefenen. Meer informatie over het inzagerecht kunt u hier lezen.

Let op: het gaat hier niet alleen om werknemers met een (vast) arbeidscontract. WP29 (voorganger EDPB) heeft in een opiniestuk aangegeven dat met werknemer ook bedoeld wordt de natuurlijke persoon die daarmee te vergelijken is, bijvoorbeeld een freelancer.

Grondslagen nader bekeken

Zoals reeds aangehaald moet een werkgever altijd een wettelijke grondslag hebben voor de gegevensverwerking. De wettelijke grondslagen zijn:

  1. toestemming van werknemer;
  2. noodzakelijk voor de uitvoering van een overeenkomst;
  3. noodzakelijk om te voldoen aan een wettelijke plicht;
  4. noodzakelijk om vitale belangen van de werknemer/een ander natuurlijk persoon te beschermen;
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of in de uitoefening van openbaar gezag;
  6. noodzakelijk voor behartiging van gerechtvaardigde belangen van de werkgever of een derde, tenzij fundamentele belangen van werknemer zwaarder wegen.

Voornamelijk zal de werkgever werknemersgegevens verwerken omdat dit noodzakelijk is om uitvoering te kunnen geven aan de arbeidsovereenkomst (optie 1). Daarnaast zal de werkgever ook regelmatig een wettelijke plicht (bijvoorbeeld bij ziekte) hebben om de werknemersgegevens te verwerken (optie 2). Als deze twee opties niet mogelijk zijn, wordt vaak teruggevallen op de grondslagen ‘toestemming’ of ‘gerechtvaardigd belang’.

Toestemming Echter, toestemming moet altijd vrij worden gegeven. Aangezien een werkgever gezag heeft over een werknemer en een werknemer financieel afhankelijk is van een werkgever, kan toestemming bijna nooit vrij worden gegeven. Werkgevers moeten dus bijna altijd een andere grondslag gebruiken.

Dit betekent niet dat toestemming helemaal nooit kan, maar wel dat het moet worden gezien als laatste optie. Daarbij geldt dan wel dat 1) het niet verplicht moet zijn voor de werknemer, 2) er geen consequenties zijn verbonden aan het niet verlenen van toestemming en 3) er duidelijk over gecommuniceerd wordt.

Gerechtvaardigd belang Verder moet ook worden opgepast met de grondslag ‘gerechtvaardigde belangen’. Daarbij moet namelijk altijd een belangenafweging worden gemaakt. Hoe een belangenafweging conform de AVG kan worden uitgevoerd kunt u lezen in de normuitleg van de AP.

Bijzondere persoonsgegevens

Bijzondere werknemersgegevens Werknemersgegevens kunnen ook bijzondere persoonsgegevens bevatten. Ook hier geldt dat als het om bijzondere persoonsgegevens gaat, het in principe verboden is om deze te verwerken. Tenzij een werkgever zich kan beroepen op een wettelijke uitzondering én een van de grondslagen zoals hierboven uiteengezet.

De uitzonderingen zijn:

  1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens.

    Hierbij geldt weer dat toestemming in de arbeidsrelatie meestal niet opgaat.

  2. (alleen als het in een wet staat) De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht.
  3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven.
  4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
  5. U verwerkt persoonsgegevens die de betrokkene zelf openbaar heeft gemaakt.
  6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid.
  7. (alleen als het in een wet staat) De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
  8. (alleen als het in een wet staat) De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
  9. (alleen als het in een wet staat) De verwerking is noodzakelijk voor de volksgezondheid.
  10. (alleen als het in een wet staat) De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

Let op: Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat daar alleen een beroep op kan worden gedaan als er in een Nederlandse wet staat dat dit mag.

Voor uitzondering 1 geldt hetzelfde als wat eerder is toegelicht rondom toestemming in de arbeidsrelatie. Werkgevers zullen wel vaak een beroep kunnen doen op uitzondering 2.

Strafrechtelijke gegevens

Strafrechtelijke werknemersgegevens Aangezien deze gegevens ook gevoelig van aard zijn, is de verwerking daarvan, net zoals bij bijzondere persoonsgegevens, verboden. Tenzij een beroep kan worden gedaan op een specifieke wettelijke uitzondering conform  art. 33 UAVG  én op een van de grondslagen (zoals hierboven uiteengezet) voor het verwerken van gewone persoonsgegevens.

Voornamelijk bij het screenen van werknemers worden strafrechtelijke gegevens verwerkt. Meer hierover kunt u verderop in dit onderwerp lezen bij het subonderwerp screening.

Personeelsdossiers

Personeelsdossiers De meeste werknemersgegevens worden opgeslagen in personeelsdossiers. Dit mag alleen als dat noodzakelijk is om een arbeidsovereenkomst uit te voeren.

De AP heeft zich specifiek over dit onderwerp uitgelaten en vermeldt het volgende over de voorwaarden voor het aanleggen van een personeelsdossier. Werkgevers:

  • zijn verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in het personeelsdossier;
  • mogen niet meer gegevens in het personeelsdossier vastleggen dan nodig is en de gegevens moeten ter zake doen;
  • moeten de werknemers informeren, onder andere over welke gegevens zij verzamelen, voor welke doeleinden en op basis van welke rechtsgrond;
  • moeten de persoonsgegevens passend beveiligen, zodat ze niet verloren raken of in verkeerde handen terechtkomen;
  • mogen de persoonsgegevens niet langer bewaren dan noodzakelijk is;
  • moeten werknemers de mogelijkheid bieden hun gegevens in te zien - dit geldt in principe voor het gehele personeelsdossier - en eventueel te rectificeren te beperken of te verwijderen;
  • moeten werknemers afzonderlijk wijzen op het recht van bezwaar bij de verwerking van gegevens op grond van het gerechtvaardigd belang;
  • moeten werknemers in voorkomende gevallen de mogelijkheid bieden hun recht op dataportabiliteit uit te oefenen.

Kortom: hierbij moet de werkgever ook de algemene beginselen rondom verwerking van persoonsgegevens in acht nemen.

Meer weten over privacy en personeelsdossier algemeen? Zie de website van de AP.

Transparantiebeginsel nader bekeken

Een belangrijk beginsel die in deze context extra aandacht verdient, is het transparantiebeginsel ( art. 5 lid 1 AVG ). Werkgevers moeten namelijk transparant zijn over de verwerkingen die binnen de organisatie plaatsvinden. Een veel voorkomend middel om daaraan te kunnen voldoen is de privacyverklaring. Deze wordt dan op de website geplaatst en zo kunnen bezoekers en klanten lezen wat er met hun persoonsgegevens wordt gedaan. De verklaring is echter niet gericht op de werknemers, terwijl de werkgever ook naar deze groep transparant moet zijn. Verder is één van de privacyrechten die werknemers op grond van art. 13 en art. 14 AVG hebben ook het recht op informatie.

Transparantie intern Daarom moeten werkgevers niet vergeten een manier te bedenken om intern naar de werknemers te communiceren over wat er met hun persoonsgegevens wordt gedaan. Een interne privacyverklaring of een stuk in het interne privacybeleid kan daarbij uitkomst bieden.

Werknemersgegevens bewaren

Werkgevers mogen werknemersgegevens niet langer bewaren dan noodzakelijk of dan waartoe zij wettelijk verplicht zijn. Dit is ook weer zo een beginsel waaraan voldaan moet worden. Meer hierover kunt u hier lezen.

Verstrekken van werknemersgegevens

Verstrekken werknemersgegevens Werkgevers kunnen werknemersgegevens zowel verstrekken aan personen binnen de organisatie als aan bepaalde personen of instanties buiten de organisatie. De regels die hierbij gelden kunt u nalezen in het onderwerp ‘Verstrekken van persoonsgegevens’ nalezen. Als een werkgever de werknemersgegevens wil doorgeven naar buiten de EU moeten aan aanvullende voorwaarden worden voldaan. Deze kunt u nalezen in het onderwerp ‘Doorgifte persoonsgegevens buiten de EU’.

Binnen een concern

Verstrekken binnen concern Overweging 48 van de AVG bepaalt het volgende: ‘Organisaties die deel uitmaken van een concern of een groep van instellingen die aan een centraal lichaam verbonden zijn, kunnen een gerechtvaardigd belang hebben bij de doorzending van persoonsgegevens binnen het concern voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens van klanten of werknemers. De algemene beginselen voor de doorgifte van persoonsgegevens, binnen een concern, aan een in een derde land gevestigde onderneming blijven onverlet.’

De ondernemingsraad

De OR De ondernemingsraad speelt een belangrijke rol bij de bescherming van de privacy van werknemers. Is een werkgever van plan werknemersgegevens te gebruiken? Dan kan de werkgever de ondernemingsraad (OR) om instemming of advies vragen. In bepaalde gevallen is de werkgever wettelijk verplicht om dat te doen.

Zo stelt artikel 33 lid 3 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) dat de werkgever voor het verwerken van strafrechtelijke gegevens van personeel instemming van de OR moet vragen.

De OR kan zich ook op eigen initiatief uitspreken over het gebruik van personeelsgegevens. Dus zonder dat de werkgever erom heeft gevraagd. De OR kan dit doen naar aanleiding van vragen of klachten van werknemers. Of naar aanleiding van bijvoorbeeld een beveiligingsincident.

Meer informatie over de rol van de ondernemingsraad in deze situatie kunt u nalezen op de website van de AP.

In de praktijk

Op de werkvloer zijn specifieke situaties denkbaar waarbij privacy een belangrijke rol speelt. Hieronder vindt u een uitwerking van de belangrijkste onderwerp waar werkgevers in de praktijk mee te maken krijgen.

Werving & selectie

Werving & selectie Bij het werven en het selecteren van werknemers worden persoonsgegevens verwerkt. Tijdens sollicitaties verzamelen werkgevers immers een grote hoeveelheid gegevens van de sollicitant alleen al door het ontvangen van motivatiebrieven en CV’s.

Do’s & Don’ts

Werkgevers moeten zich bewust zijn van het feit dat de informatie die zij verzamelen tijdens een sollicitatie onder hun verantwoording komt te vallen. Zij moeten dus de standaardregels uit de AVG rondom het verwerken van persoonsgegevens in acht nemen. Dit betekent onder andere dat werkgevers:

  • in de privacyverklaring transparant moeten zijn over de sollicitatieprocedure. Wat gebeurt er met de gegevens binnen de organisatie en welke gegevens moet de sollicitant aanleveren?;
  • niet naar de gezondheid van sollicitanten moeten vragen. Vertelt de sollicitant zelf over zijn of haar gezond? Dan mag de werkgever hier alleen wat mee doen als dit noodzakelijk is voor de functie;
  • de sollicitanten op het internet mogen opzoeken, mits de werkgevers hier een grondslag voor hebben. Bijvoorbeeld omdat de informatie van belang is voor de functie. De werkgever moet hier wel transparant over zijn. De sollicitant moet de mogelijkheid geven de gevonden informatie toe te lichten;
  • geen kopie mogen maken van het identiteitsbewijs van sollicitanten. Deze kopie bevat namelijk gegevens die niet noodzakelijk zijn om te verwerken tijdens een sollicitatieprocedure;
  • aan sollicitanten ook de mogelijkheid moeten gegevens om hun privacyrechten uit te oefenen;
  • moeten zorgen dat gegevens van sollicitanten tijdig worden verwijderd. Heeft de sollicitant de baan niet gekregen? Dan moeten de gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure worden verwijderd. Met toestemming is het redelijk om de gegevens nog voor een jaar te bewaren.

Medische keuring

Medische keuring Als een werkgever een sollicitant medisch wenst te keuren mag dit alleen als de werkgever van plan is de werknemer aan te nemen en als de functie bijzondere eisen stelt aan de medische geschiktheid van de sollicitant.

In de vacature tekst moet duidelijk staan dat de sollicitant voor de baan een medische keuring moet ondergaan én voor de keuring moet de sollicitant schriftelijk worden geïnformeerd over het doel van de keuring en over vragen en onderzoeken die onderdeel zijn van de keuring.

BSN

BSN Tijdens de sollicitatiefase is het verwerken van het BSN meestal niet nodig. Het kan wel mogelijk zijn als de werkgever wil controleren of de sollicitant onder de doelgroep valt van de Wet banenafspraak en quotum arbeidsbeperkten. Deze informatie kan de werkgever opvragen bij het UWV. Hiervoor heeft de werkgever het BSN nodig.

Screenen

Als een organisatie gaat werven is het screenen van sollicitanten een handig hulpmiddel om een goede selectie te kunnen maken. In sommige gevallen is het zelfs wettelijk verplicht om de sollicitant te screenen. Ook daarbij worden persoonsgegevens verwerkt. Meer hierover kunt u in het volgende subonderwerp lezen ‘Screenen (toekomstige) werknemers’.

Screenen (toekomstige) werknemers

Screening Screening houdt in dat de werkgever informatie opvraagt over een sollicitant of werknemer om zo een inschatting te maken van zijn integriteit. Aangezien screening een ingrijpende inbreuk maakt op de privacy van de sollicitant of werknemer is dit alleen toegestaan onder bepaalde wettelijke voorwaarden.

De AVG en de UAVG stellen in ieder geval de volgende eisen aan screening:

  • De werkgever heeft een gerechtvaardigd belang voor de screening.
  • De screening is noodzakelijk. Dit houdt onder meer in dat u uw doel niet op een andere manier of door een minder ingrijpend middel dan screening kunt bereiken.
  • De werkgever voldoet aan de informatieplicht. Dat betekent dat u de betreffende sollicitant of werknemer vooraf laat weten dat u een screening uitvoert en achteraf wat de resultaten zijn.
  • De werkgever gebruikt de gegevens die hij uit de screening heeft verkregen niet voor een ander doel.
  • De werkgever bewaart de gegevens niet langer dan noodzakelijk is voor het doel van de screening.
  • De gegevens uit de screening zijn toereikend, ze doen ter zake en u verzamelt niet meer gegevens dan nodig.
  • De werkgever beveiligt de gegevens goed.
  • De werkgever beoordeelt of hij een DPIA moet uitvoeren, omdat screenen een gegevensverwerking is met een hoog privacyrisico.
  • Is uit de DPIA naar voren gekomen dat de beoogde screening een hoog risico oplevert? En lukt het de werkgever niet maatregelen te vinden om dit risico te beperken? Dan moet de werkgever met de Autoriteit Persoonsgegevens (AP) overleggen voordat hij start met screenen. Dit wordt een voorafgaande raadpleging genoemd.

VOG

VOG Bij sommige functies mag de werkgever een zogeheten verklaring omtrent het gedrag (VOG) aan de werknemer vragen. Een VOG is een bewijs dat de werknemer geen relevante strafbare feiten op zijn of haar naam heeft staan. De VOG kan verplicht zijn.

Screening (overige) strafrechtelijke gegevens

Alleen wanneer het aanvragen van een VOG niet volstaat, kan een werkgever strafrechtelijke gegevens opvragen. Een voorbeeld die de AP geeft, is een screening tijdens een sollicitatieprocedure voor een integriteitsfunctie. Onder omstandigheden mogen voor een dergelijk doel persoonsgegevens van strafrechtelijke aard worden verwerkt.

Zwarte lijsten

In sommige branches kunnen werknemers die hebben gestolen of gefraudeerd op een zwarte lijst gezet worden. Voorbeelden hiervan zijn de zwarte lijst detailhandel en de zwarte lijst banken. Zulke zwarte lijsten zijn alleen toegestaan na goedkeuring door de Autoriteit Persoonsgegevens.

Controleren werknemers

Controleren werknemers Werkgevers verzamelen vaak automatisch informatie over werknemers door onder andere cameratoezicht, toegangspoorten en computersystemen te gebruiken. Deze informatie kan gebruikt worden om werknemers te controleren. Wil een werkgever zijn werknemers controleren dan moet er rekening gehouden worden met de privacy van de werknemers. Dit betekent dat ook hierbij moet worden voldaan aan de privacywetgeving.

De belangrijkste voorwaarden voor de controle van werknemers zijn:

  • De werkgever heeft een legitieme reden (gerechtvaardigd belang). Dit belang moet zwaarder wegen dan het privacybelang van de werknemers (afweging maken).
  • De controle moet noodzakelijk zijn. Dat wil zeggen dat er geen andere manieren mogelijk zijn om het doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
  • De werkgever informeert de werknemers over wat toegestaan en wat verboden is, dat controle mogelijk is en op welke manier dat gebeurt. Dit kan bijvoorbeeld met gedragsregels of een protocol.
  • De werkgever houdt rekening met het recht op vertrouwelijke communicatie van de werknemers. Bijvoorbeeld bij de controle van e-mail of telefoon.
  • De werkgever vraagt vooraf instemming aan de ondernemingsraad (OR) bij een regeling voor (heimelijke) controle.
  • Zet de werkgever grootschalig en/of systematisch cameratoezicht in om diefstal en fraude door werknemers te bestrijden? Dan moet de werkgever een data protection impact assessment (DPIA) uitvoeren. Dit is bijvoorbeeld het geval als de werkgever structureel en/of gedurende een langere periode cameratoezicht inzet voor dat doel.
  • Is uit de DPIA naar voren gekomen dat de beoogde controle een hoog risico oplevert? En lukt het de werkgever niet om maatregelen te vinden om dit risico te beperken? Dan moet de werkgever met de Autoriteit Persoonsgegevens (AP) overleggen voordat hij met de controle van personeel start.

Heimelijke controle

Heimelijke controle In principe mag een werkgever zijn werknemers niet controleren als de werknemers hiervan niet op de hoogte zijn. Alleen onder bepaalde voorwaarden is ‘heimelijke controle’ wel toegestaan.

Voor de heimelijke controle van personeel gelden, naast de voorwaarden voor de ‘gewone’ controle, de volgende extra voorwaarden:

  • De werkgever heeft een redelijke verdenking dat een of meerdere werknemers iets doen wat strafbaar of verboden is.
  • Het lukt de werkgever niet, ondanks allerlei inspanningen, om een eind te maken aan de diefstal of fraude.
  • De heimelijke controle is zo kort mogelijk en incidenteel.
  • In het beleid is opgenomen dat heimelijke controle kan plaatsenvinden en onder welke voorwaarden.
  • De werkgever informeert de betrokken werknemers achteraf altijd over de heimelijke controle. Ook als de controle niet heeft uitgewezen dat de verdenking terecht was.
  • De werkgever voert eerst een data protection impact assessment (DPIA) uit. Let op: een DPIA hoeft niet als het gaat om bestaand beleid voor heimelijke controle dat de Autoriteit Persoonsgegevens (AP) al eens heeft goedgekeurd na voorafgaand onderzoek. En de verwerking in de tussentijd niet is veranderd.
  • Is uit de DPIA naar voren gekomen dat de beoogde heimelijke controle een hoog risico oplevert? En lukt het de werkgever niet om maatregelen te vinden om dit risico te beperken? Dan moet de werkgever met de AP overleggen voordat hij met de heimelijke controle start.

Cameratoezicht

Cameratoezicht Door het gebruik van camera’s kunnen werknemers gecontroleerd worden. Werkgevers mogen alleen camera’s ophangen als zij aan een aantal voorwaarden, welke overeenkomen met de algemene voorwaarden voor controle, voldoen:

  • De werkgever moet een gerechtvaardigd belang hebben voor het cameratoezicht. Dit belang moet zwaarder wegen dan het privacybelang van de werknemers (afweging maken).
  • Inbreuk op de privacy zo klein mogelijk maken. Vanzelfsprekend betekent dit dat een camera in de wc bijvoorbeeld niet kan.
  • Het cameratoezicht moet noodzakelijk zijn. Er moet dus altijd gekeken worden of het doel niet om een minder ingrijpende manier bereikt kan worden.
  • Het cameratoezicht mag niet op zichzelf staan.
  • De werkgever moet de plannen met de OR bespreken. De OR moet vooraf instemmen.
  • Bij grootschalige en/of systematische cameratoezicht moet een DPIA worden uitgevoerd.
  • De werkgever moet de werknemers informeren over het cameratoezicht.
  • Wil de werkgevers de camera verborgen inzetten? Dan moet aan de extra voorwaarden worden voldaan zoals hierboven onder het onderwerp ‘heimelijke controle’ worden voldaan.
  • De camerabeelden niet langer bewaren dan noodzakelijk is. De richtlijn hiervoor is maximaal 4 weken. Bij een incident kan dit langer zijn.

Let op dat een werkgever de beelden niet voor andere doeleinden mag gaan gebruiken. Dus niet om bijvoorbeeld de werknemers te beoordelen op hun functioneren.

Controleren van e-mail en internet

Controleren e-mail en internet Werkgevers mogen voorwaarden stellen aan het gebruik van e-mail en internet op het werk of bepaalde soorten gebruik verbieden. Vervolgens mag de werkgevers dit controleren, mits de werkgever zich houdt aan de algemene voorwaarden voor controle zoals hierboven uiteengezet.

E-mail lezen van werknemers

Werkgevers mogen de zakelijke e-mails lezen van werknemers. Als het niet duidelijk is welke e-mails privé of zakelijk zijn, moet de werkgevers bij het lezen de privéberichten zo veel mogelijk proberen te ontzien.

Beleid

Werkgevers moeten een duidelijk beleid hebben opgesteld met gedragsregels voor werknemers. In dit beleid kan de werkgever de werknemers meteen informeren over (mogelijke) controles. Hierbij kan gedachten worden aan informatie over wie de controle gaat uitvoeren, op welke manier en waarom.

Als een werkgever geen beleid opstelt dan gelden de algemene gedragsregels. Dit betekent dat het privégebruik van e-mail en internet niet helemaal verboden kan worden. Uiteraard betekent dit niet dat de werknemer geen rekening moet houden met de inhoud van de e-mails en bezochte websites.

Controle van telefoon

Controle telefoon Werkgevers mogen ook het telefoonverkeer van werknemers controleren, mits de werkgever zich houdt aan de algemene voorwaarden voor controle zoals hierboven uiteengezet.

Telefoongesprekken opnemen

Werkgevers mogen alleen telefoongesprekken opnemen als dat noodzakelijk is en dus weer wordt voldaan aan de voorwaarden zoals hierboven uiteengezet.

Werkgevers moeten werknemers ter plekke informeren dat het telefoongesprek wordt opgenomen. Bijvoorbeeld door een geluidssignaal te laten horen bij de start van de opname. En van tevoren aan de werknemers uit te leggen dat zo’n signaal betekent dat een opname start en voor welk doel de gesprekken worden opgenomen. Het is niet genoeg als de werkgever de werknemer eenmalig informeert dat uw gesprekken kunnen worden opgenomen.

Doorlopend telefoongesprekken opnemen mag verder alleen als dit noodzakelijk is voor de dienstverlening. De AP geeft als voorbeeld dat het noodzakelijk kan zijn bij telefonische beursorders. Een opname is dan nodig als bewijs dat er een overeenkomst is gesloten.

Wil een werkgever niet dat de werknemer weet dat een telefoongesprek wordt opgenomen, bijvoorbeeld omdat de werkgever de werknemer van een strafbaar gedrag verdenkt, dan gelden de aanvullende voorwaarden voor heimelijke controle zoals hierboven uiteengezet. Daarnaast moet de werkgever voldoende waarborgen treffen bij de geheime opnames. Hierbij kan worden gedacht aan toegang beperking door bevoegde personen. De werkgevers mag de opnames logischerwijs ook niet langer bewaren dan noodzakelijk is, dus totdat het incident is afgehandeld.

Voorbeelden controleren

Voorbeelden Voorbeeld 1. Verborgen camera i.v.m. verdwijning goud

Het hof heeft op 14 november 2019 (ECLI:NL:GHSHE:2019:4092) in een zaak van een werknemer tegen zijn werkgever het volgende overwogen rondom de inzet van een verborgen camera:

In het algemeen is het gebruik van een verborgen camera niet toegestaan. Een werknemer mag er in beginsel op vertrouwen dat zijn privacy wordt beschermd. In deze zaak heeft de werkgevers echter aangevoerd dat het gebruik van de camera noodzakelijk was om de waarheid te achterhalen na een herhaalde melding dat goud zou worden weggenomen door werknemers. Uit de feiten blijkt dat sprake was van een serieus te nemen verdenking dat bedrijfseigendommen, met name goud, werden weggenomen door werknemers. Tevens had een eerste algemene mondelinge waarschuwing van het voltallig personeel kennelijk geen effect gesorteerd. Werkgever heeft naar aanleiding daarvan gedurende een beperkte periode een verborgen camera gebruikt en die camera uitsluitend gericht op de plaats waarover zij de nadere informatie had gekregen. Het hof acht deze in duur beperkte en op één plaats toegespitste inzet van de verborgen camera afgezet tegen het belang van werkgever om te achterhalen welke werknemers goud wegnamen, gerechtvaardigd en proportioneel. Werknemer voert weliswaar aan dat werkgever minder ingrijpende maatregelen had kunnen treffen, maar laat na aan te geven welke minder ingrijpende maatregelen werkgever had kunnen treffen. Werknemer stelt dat het gebruik van de verborgen camera disproportioneel was, maar enige toelichting op die stelling wordt niet gegeven. Het hof acht die enkele stelling in het licht van het hiervoor overwogene dan ook onvoldoende. De conclusie is dat de inzet van de camera en het gebruik van de camerabeelden niet onrechtmatig is.

Afgezien van het voorgaande overweegt het hof nog dat niet als algemene regel geldt dat de rechter geen acht mag slaan op onrechtmatig verkregen bewijsmateriaal. In beginsel wegen het algemene maatschappelijke belang dat de waarheid aan het licht komt, alsmede het belang dat partijen erbij hebben hun stellingen in rechte aannemelijk te kunnen maken, zwaarder dan het belang van uitsluiting van bewijs. Slechts indien sprake is van bijkomende omstandigheden, is uitsluiting van dat bewijs gerechtvaardigd (zie HR 18 april 2014, ECLI:NL:HR:2014:942). Dergelijke ‘bijkomende omstandigheden’ zijn niet gesteld door werknemer.

Deze duidelijke toelichting van het Hof laat goed zien wanneer het gebruik van controlemiddelen is toegestaan en hoe aan de voorwaarden voldaan kan worden.

Let op: in beginsel weegt het belang van waarheidsvinding dus zwaarder dan het belang van uitsluiten van het bewijs in civiele procedures.

Voorbeeld 2. Transportbedrijf stopt filmen chauffeurs na onderzoek Autoriteit Persoonsgegevens

In 2016 heeft de AP een onderzoek gepubliceerd waarbij het gebruik van camera beelden door een transportbedrijf onder de loep is genomen. De AP publiceerde naar aanleiding van het onderzoek het volgende persbericht:

De Autoriteit Persoonsgegevens heeft onderzoek gedaan bij een transportbedrijf dat zijn chauffeurs in de vrachtwagencabine tijdens hun ritten filmde. De beelden werden vastgelegd en bewaard bij een plotselinge abrupte beweging van de vrachtwagen. Het bedrijf bleek deze camerabeelden te gebruiken om de chauffeurs aan te spreken op hun rijgedrag. Het doel was om het rijgedrag te verbeteren. Het is voor dit doel echter niet proportioneel om de chauffeurs gedurende hun werktijd onafgebroken te filmen. De chauffeurs staan hierdoor continu onder toezicht. Dat maakt de inbreuk op de persoonlijke levenssfeer van de chauffeurs te groot waardoor het transportbedrijf in strijd met de wet handelde, aldus de Autoriteit Persoonsgegevens. Het transportbedrijf is inmiddels naar aanleiding van het onderzoek gestopt met de video-opnames van zijn chauffeurs.

Het transportbedrijf heeft inmiddels ook het eerder opgenomen beeld- en geluidmateriaal gewist. Daarmee heeft het transportbedrijf de door de Autoriteit Persoonsgegevens geconstateerde overtredingen van de Wet bescherming persoonsgegevens (voorganger van de AVG) beëindigd.

Noodzaak inzet camera’s

De Autoriteit Persoonsgegevens wijst erop dat altijd moet worden gekeken of hetzelfde doel ook met minder ingrijpende middelen kan worden bereikt. Het transportbedrijf heeft onvoldoende aangetoond waarom het verbeteren van de rijvaardigheid van de chauffeurs om daarmee de verkeersveiligheid van de chauffeurs en medeweggebruikers te verhogen alleen met de inzet van continu cameratoezicht bereikt kan worden. Naast het intensief trainen van de chauffeurs zijn er ook organisatorische en technische mogelijkheden denkbaar om het rijgedrag van de chauffeurs te verbeteren of technisch bij te sturen als zich gevaarlijke situaties voordoen, aldus de toezichthouder.

Voorbeeld 3. Geen schending van art. 8 EVRM

In deze zaak (EHRM 17 oktober 2019, 1874/13 en 8567/13) merkte een werkgever met een Spaanse supermarkt een aantal maanden op dat er een groot verschil was tussen de voorraadgegevens en de verkoopcijfers. Dit zou volgens werkgevers alleen verklaard kunnen worden door diefstallen. De werkgever is daarom overgegaan tot de installatie van bewakingscamera’s, waarover de werknemers werden geïnformeerd. Ook installeerde de werkgever verborgen camera’s, waarover de werknemers niet waren geïnformeerd. Uit de camerabeelden bleek dat bepaalde werknemers inderdaad diefstal pleegden. De betreffende werknemers werden daarom ontslagen.

Een aantal van de ontslagen werknemers was het hier niet mee eens. Bij de nationale rechtbanken kregen zij echter geen gelijk en daarom stapte zij naar het EHRM. Het EHRM oordeelde in deze zaak vervolgens ook dat het gebruik van verborgen camera’ op de werkvloer, in dit geval, niet in strijd is met het recht op privacy ex art. 8 EVRM. De cameracontrole was namelijk gerechtvaardigd wegens een ernstig vermoeden van diefstal. Daarbij overwoog het EHRM dat de camera alleen op de kassa was gericht, de plek van opname de plek is waar werknemers geacht worden hun werkt te doen en dit een publieke ruimte is en de duur van de controle beperkt was tot wat nodig was om het vermoed van diefstal te bevestigen.

Hoewel de werkgever de verplichting heeft werknemers te informeren over mogelijke cameracontroles, stelde het EHRM echter dat bepaalde publieke of private belangen het uitblijven van informatieplicht kunnen rechtvaardigen. Aangezien er in deze zaak sprake was van een duidelijk vermoeden van diefstal, oordeelde het EHRM dat het gebrek aan informatie gerechtvaardigd was.

Conclusie: geen schending van het recht op privacy.

Testen op alcohol, drugs en geneesmiddelen

Testen op alcohol, drugs en geneesmiddelen In de meeste gevallen is het verboden voor werkgevers om werknemers te testen op alcohol, drugs en geneesmiddelen. De werknemersgegevens die een werkgever hiermee verzamelt, zijn namelijk medische gegevens en deze worden onder de AVG gekwalificeerd als bijzondere persoonsgegevens. In de meeste gevallen is het verwerken van bijzondere persoonsgegevens, zoals u eerder in dit onderwerp kon lezen, verboden.

Er zijn situaties waarin de algemene veiligheid zwaarder kan wegen dat de privacy van de werknemer. De situaties staan specifiek genoemd in het Besluit alcohol, drugs en geneesmiddelen in het verkeer.

Alleen een wettelijke basis is niet genoeg. De werkgever moet verder nog aan strenge voorwaarden voldoen. De AP stelt daarbij dat de werkgevers passende maatregelen moet treffen om de grondrechten van de betrokken werknemers te beschermen. Ga dus niet zomaar alle werknemers testen, verzameld niet meer werknemersgegevens dan nodig en beveilig de werknemersgegevens heel goed.

Zie ook het informatieblad voor werkgevers van de AP: ‘Persoonsgegevens en controles op het gebruik van alcohol, drugs en geneesmiddelen in de arbeidsrelatie’.

Hof ’s-Hertogenbosch 14 november 2019, ECLI:NL:GHSHE:2019:4092