Onlangs maakte dagblad Trouw melding van een onderzoek van het softwarevergelijkingsplatform GetApp. Daaruit zou blijken dat in coronatijd 40% van de thuiswerkende werknemers door hun werkgever thuis in de gaten gehouden wordt. Mag die controle wel? (1)
Inleiding
Het controleren van de werknemer, die thuiswerkt, kan op verschillende manieren gebeuren, aldus GetApp. Dat kan al eenvoudig door het installeren van software die het tijdstip van het in- en uitloggen registreert. Het kan ook door het controleren van het bezoeken van niet-werkgerelateerde websites. Tot aan het maken van video-opnames van de werkplek en screenshots van het computerscherm. Mag dat zomaar allemaal?
De werkgever heeft er natuurlijk belang bij dat de werkzaamheden correct en tijdig worden uitgevoerd. Hij heeft ook de bevoegdheid om de werkgever aanwijzingen en instructies te geven (2). Het is dan niet onredelijk dat de werkgever mogelijkheden moet hebben om te kunnen controleren of het werk op de juiste wijze wordt gedaan. Maar hoe ver mag die controle gaan?
Op de werkplek heeft de werknemer ook zijn privacy. Op grond van artikel 8 EVRM mag de werkgever ook op zijn werkplek een “reasonable expectation of privacy” hebben (3). Als de werkplek verhuist naar de thuissituatie zal die reasonable expectation ook voor de thuissituatie gelden. Sterker nog: aangezien in de thuissituatie privé en zakelijk door elkaar (kunnen) lopen, zou controle van de werkplek thuis met meer waarborgen omgeven moeten zijn. Het valt dan niet in te zien dat de maatregelen van controle zwaarder of sterker zouden moeten zijn dan bij de gewone werkplek.
Op de vraag wat de werkgever nu in het kader van privacy wel en niet mag bij het controleren van werknemers, hoop ik in deze beschouwing een antwoord te geven.
Algemene Verordening Gegevensbescherming (AVG)
Als bij de controle op geautomatiseerde, gedigitaliseerde wijze persoonsgegevens worden verwerkt, dan is de AVG van toepassing. Als er software geïnstalleerd is op een laptop, die het begin- en eindstip van de inlog registreert, dan zijn dat gegevens die digitaal geregistreerd en opgeslagen worden en die via het IP-adres van de laptop terug te voeren zijn op een te identificeren persoon. Hetzelfde geldt voor het controleren van de mail of het maken van screenshots van het beeldscherm. Dat de AVG van toepassing is, betekent dat er voor de werkgever aan de controle verplichtingen verbonden zijn en er voor de werknemer rechten gelden.
Besluitvorming voorafgaand aan de invoer van controlesystemen
Als de werkgever 50 of meer werknemers in dienst heeft, dient hij het voornemen van invoering van een controlesysteem voor instemming aan de Ondernemingsraad (OR) voor te leggen. Als het gaat om verwerking van persoonsgegevens of de waarneming of controle op aanwezigheid, gedrag of prestaties van werknemers, dan dient de werkgever aan de OR instemming te vragen om het systeem in te voeren (4). Ook dient de werkgever bij het verzoek aan de OR een overzicht te geven van de beweegredenen en de te verwachten gevolgen voor de in de onderneming werkzame personen.
Deze laatste verplichting sluit naadloos aan bij de verplichting om voorafgaand aan de invoer van het systeem een gegevensbeschermingseffectbeoordeling uit te voeren, oftewel een Data Protection Impact Assessment (DPIA). (5) De Autoriteit Persoonsgegevens (AP) heeft bepaald dat voor verwerkingen van persoonsgegevens aangaande controle van werknemers en heimelijk onderzoek een DPIA verplicht is. (6) In een DPIA komen onder andere de doelen, de grondslag van de verwerking, de eventuele afweging van belangen en de bescherming van de rechten van de werknemers aan de orde. Ook dient er nagedacht te worden over organisatorische en technische maatregelen voor het beveiligen en over de termijn van bewaring van de persoonsgegevens. (7)
Voorafgaand dient de werknemer ook informatie te ontvangen. Ten tijde van de verwerking van de gegevens dient de betrokkene, in dit geval de werknemer, geïnformeerd te worden, aldus de AVG. (8) De werknemer dient onder andere geïnformeerd te worden over het doel en de grondslag van de verwerking en zijn rechten. (9) In de uitspraak van het EHRM inzake Lopez Ribalda stelt het Hof dat die informatie ook in algemene bewoordingen geformuleerd mag worden. Het Hof staat dus toe dat bijvoorbeeld bij het aangaan van de arbeidsovereenkomst aangegeven is, dat de werkgever de mogelijkheid heeft om controlesystemen, zoals bijvoorbeeld camerabewaking, in te voeren en te gebruiken. Dat kan in een handboek of personeelsbeleid nader omschreven worden. Het is dan in ieder geval kenbaar en voorzienbaar voor de werknemer dat er controlemaatregelen genomen kunnen worden.(10)
Geheime controles
Soms zal een werkgever de noodzaak voelen om op geheime wijze te controleren, bijvoorbeeld omdat hij een zeer sterk vermoeden heeft dat er diefstallen gepleegd worden, bedrijfsgeheimen geschonden worden of dat de werknemer “er de kantjes vanaf loopt”. De werkgever wil dan de werknemer “op heterdaad betrappen”. (11) Mag de werkgever dan in het geheim controleren? Er is dan immers niet aan de informatieplicht voldaan. Gelet op het feit dat het Hof toestaat dat de informatie ook in algemene bewoordingen kenbaar gemaakt kan worden bij het aangaan van de arbeidsovereenkomst, dan is het toch enigszins mogelijk in het “geheim” op een later tijdstip de controle uit te voeren. Dan is het meer een onverwachte dan een geheime controle. Maar wat als je dat als werkgever niet voorafgaand in algemene bewoordingen kenbaar gemaakt hebt? Het Hof formuleerde in dezelfde zaak, dat de informatieplicht één van de criteria is om te bepalen of er een goed evenwicht bestaat tussen het belang van de werkgever en het privacybelang van de werknemer. Daaruit zou je kunnen afleiden, dat er gevallen mogelijk zijn waarbij de werkgever niet informeert over het gebruik van controlemaatregelen. Er moet dan wel een heel goede reden aanwezig zijn en aan alle andere vereisten (waarover hierna meer) zal extra streng voldaan moeten zijn, want anders is er immers geen evenwicht tussen de belangen van de werkgever en de belangen van de werknemers. (12)
Geheime controle verlost de werkgever overigens niet van de plicht om een DPIA uit te voeren en de OR van tevoren te informeren. Voor de OR-leden kan gelden dat er aan hen geheimhouding wordt opgelegd over de te nemen controlemaatregelen. (13)
De controle zelf/de uitvoering: doel en grondslag
Alvorens over te gaan tot controlemogelijkheden zal de werkgever duidelijk moeten stellen wat het doel is van deze maatregelen. Dat zal niet zo moeilijk te bedenken zijn. Het zal het controleren van de werknemer zijn: om te zien of de werknemer aan het werk is, of hij de werkinstructies opvolgt. Vervolgens zal er een rechtmatige grondslag aanwezig moeten zijn. (14) Hoewel toestemming een van de in artikel 6 AVG genoemde grondslagen is, is deze grondslag in de arbeidsrechtelijke context bij controles uit den boze. Vanwege het vereiste dat toestemming vrij gegeven moet worden. (15) De werknemer zal nooit in volledige vrije wil toestemming kunnen geven om de controle te laten uitvoeren. Alleen al de gedachte dat het negatieve consequenties kan hebben, denk aan het niet verlengen van een arbeidsovereenkomst voor bepaalde tijd, het niet krijgen van een bonus of van een promotie, betekent al dat toestemming geen rechtmatige grondslag kan zijn. (16)
Aangezien het controleren niet tot de essentiële aspecten van de uitoefening van de overeenkomst behoort, resteert slechts de grondslag van de noodzakelijke uitvoer voor het gerechtvaardigd belang van de werkgever.(17) Noodzakelijk voor de behartiging van het gerechtvaardigd belang is in de eerste plaats de vraag of het belang gerechtvaardigd is. De rechtvaardiging zit bij het controleren van de werknemers bij het instructierecht van de werkgever en de mogelijkheid te controleren dat de instructies ook opgevolgd worden. (18) Verder moet het middel noodzakelijk zijn om het doel te bereiken. Het middel (de controle) moet leiden tot het doel (het constateren of de werknemer zich houdt aan de regels). En dat niet alleen: het middel moet ook niet te zwaar of te ruim zijn (proportionaliteit: kan het misschien “een onsje minder”?) en het doel moet ook niet op een andere wijze bereikt kunnen worden (subsidiariteit: zijn er betere alternatieven, minder ingrijpende alternatieven waarmee hetzelfde doel wordt bereikt?). Daarbij moet de werkgever zijn belang afwegen tegenover het belang van de werknemer, waarbij de werkgever tot de conclusie moet komen dat zijn belang zwaarder weegt.
Een werkgever zou eenvoudig kunnen denken dat hij die overwegingen voldoende heeft meegewogen bij zijn besluitvorming. Maar dat hij die overwegingen heeft meegenomen moet ergens uit blijken, namelijk bij het verzoek om instemming van de OR en bij het opstellen van de DPIA. Heeft hij dat niet gedaan, dan overtreedt de werkgever artikel 6 van de AVG en daar rust een zware sanctie op (waarover later meer).
Of de controle van de werknemer op zijn thuiswerkplek zou mogen, hangt, los van de noodzakelijkheid, nu voornamelijk af van de proportionaliteit en de subsidiariteit. Waarbij de aard van de werkzaamheden een rol van betekenis kan spelen. Het zal zeker in strijd met de proportionaliteit zijn als de werknemer constant in de gaten gehouden wordt. Wil de controlemaatregel voldoen aan de proportionaliteit, dan betekent dat, dat de werkgever slechts op een beperkt aantal momenten per dag de controle mogelijkheden zou mogen gebruiken. En dan ook niet gedurende de gehele coronatijd, maar bijvoorbeeld hooguit gedurende een beperkte duur, denk aan 14 dagen. Ook aan de subsidiariteit valt moeilijk te voldoen. Waarom zou je de werknemer niet naar dagstaten met een urenverantwoording kunnen vragen? Of af en toe bellen en vragen hoe het ermee staat? Als de werknemer op de werkvloer is in het bedrijf ga je als werkgever toch ook niet de gehele dag achter de werknemer staan? Dan loop je toch ook gewoon even langs of mail of bel je even?
Bij geheime controles zal de waarborg van doel, noodzakelijkheid en proportionaliteit en subsidiariteit sterker dienen te zijn. Zoals het Europese Hof al overwoog moet de “fair balance” tussen het belang van de werkgever en het belang van de werknemer in evenwicht zijn. Daarbij behoort ook een voorafgaande informatieplicht. Als daaraan niet voldaan is, wil het evenwicht er nog zijn, dan zal zwaarder “getild” moeten worden aan de andere vereisten. Een geheime controle vraagt dus om een zwaardere beoordeling.
Kortom: de invoer van extra maatregelen voor het controleren van de werknemer op zijn thuiswerkplek zal zelden voldoen aan de grondslag van artikel 6 AVG.(19)
De controle zelf/de uitvoering: overige problemen
Een werkgever zal na moeten denken over extra beveiliging van de persoonsgegevens die met deze extra controlemaatregelen verwerkt worden. Ook zal hij moeten nadenken over de bewaartermijn. De werknemer kan gebruik maken van zijn recht van inzage. Als werkgever moet je je vervolgens afvragen op welke wijze de werknemer de persoonsgegevens mag en kan inzien en welke gegevens je de werknemer dan moet tonen. Omdat de grondslag van het gerechtvaardigd belang in het geding is, heeft de werknemer ook de mogelijkheid om bezwaar te maken. (20)
Je mag als werkgever de informatie niet gebruiken voor andere doeleinden (doelbinding) en je mag ook niet meer gegevens opslaan dan strikt noodzakelijk. Zeker dat laatste zal bij het gebruik van de camera, het gebruik van Teams of Zoom nog een extra moeilijkheid kunnen opleveren. De werkgever zou immers aan meer informatie kunnen komen dan waarvoor je de controlemaatregelen bedoeld hebt. (21)
De werkgever zal de persoonsgegevensverwerking uit het controlesysteem ook in het verwerkingsregister moeten opnemen. (22)
Vervelender voor de werkgever kan het aflopen als de OR wordt overgeslagen of als de werknemer gebruik maakt van zijn recht om een klacht in te dienen bij de Autoriteit persoonsgegevens (AP). In het eerste geval kan de OR de nietigheid van het besluit van de werkgever inroepen, in het tweede geval zou de AP een onderzoek kunnen starten met de mogelijkheid een boete op te leggen.(23)
Boetes
Mocht de werkgever geen DPIA uitgevoerd hebben of mocht niet voldaan zijn aan de rechtmatige grondslag dan kan dat leiden tot fikse boetes. (24) Voor de overtreding van het ten onrechte niet uitvoeren van een DPIA staat een basisboete van € 310.000,- (met een marge afhankelijk van de verwijtbaarheid van € 120.000,- tot € 500.000,-).Voor de overtreding van het niet hebben van een rechtmatige grondslag staat een basisboete van € 525.000,- (met een marge tussen € 300.000,- tot € 750.000,-). Nu zal de AP niet meteen de boetes opleggen. Er zal altijd overleg zijn. Maar het is natuurlijk lastig alsnog achteraf een DPIA uit te voeren als de maatregelen al geïmplementeerd en in gebruik genomen zijn. De AP heeft nog niet veel boetes opgelegd. Het is moeilijk te voorspellen hoe haar exacte werkwijze bij deze twee overtredingen zal zijn.
Tot slot
Het valt niet in te zien dat er zwaardere controlemaatregelen worden toegestaan nu de werknemer thuis werkt. Zoals ook in de “gewone” omstandigheid dat de werknemer op de kantoorwerkplek gecontroleerd wordt, zal een controle zonder te voldoen aan de diverse vereisten niet snel geaccepteerd worden. Zeker als de controle niet voldoet aan de proportionaliteit en/of subsidiariteit. Slechts in situaties waarbij de werkgever volledig voldoet aan alle vereisten van de AVG zou controle mogelijk zijn, waarbij geldt dat wanneer een en ander in het geheim gebeurt, de werkgever extra waarborgen zal moeten inbouwen.
Voetnoten:
(1). “De baas weet steeds meer van werknemers”, door Barbara Vollebregt, Trouw, d.d. 12-12-2020. Het onderzoek is terug te vinden op de website van GetApp: https://www.getapp.nl/blog
(2). Artikel 7:660 BW
(3). Zie onder andere Barbulescu, EHRM 12 januari 2016, nr. 61496/08, ECLI:CE:ECHR:2017:0905JUD06149608. In deze zaak oordeelde het EHRM dat een controle van het gebruik van de e-mail, omdat er niet van tevoren gewaarschuwd was (schending informatieplicht )en omdat de e-mails ook inhoudelijk doorgelezen werden (dus ook de privé-mails: in strijd met de subsidiariteit. Er had volstaan kunnen worden met bijvoorbeeld het enkel kijken naar het onderwerp en de geadresseerde) er strijd was met artikel 8 EVRM.
(4). Zie artikel 27 lid 1 onder k en onder l Wet op de Ondernemingsraden (WOR).
(5). Artikel 35 AVG.
(6). Zie Staatscourant 2019, 64418 d.d. 27-11-2019. Zie ook de website van de AP.
(7). Uit het GetAPp onderzoek bleek dat 43% van de werknemers niet of niet goed geïnformeerd was. Daar is dus nog wel wat winst te behalen.
(8). Zie artikel 12, 13 AVG en overweging 61 bij de AVG.
(9). Zie artikel 13 lid 1 en lid 2 AVG.
(10) EHRM 17 oktober 2019, Lopez Ribalda/Spain, zaaknummer 1874/13 en 8567/13.
(11). In de zaak van Lopez Ribalda vragen enkele rechters zich ook af of dat wel tot de taak van een werkgever behoort om aan opsporing van strafbare feiten te doen .Een overheidstaak wordt dan geprivatiseerd.
(12). In de zaak van Lopez Ribalda werd er op grote schaal gestolen. Meerdere personeelsleden waren bij de diefstallen betrokken.
(13). Artikel 20 WOR.
(14). Artikel 6 lid 1 AVG.
(15). Zie artikel 4 onder 11 AVG.
(16). Zie artikel 4 onder 11 AVG, overweging 42 en 43 bij de AVG en Guidelines WP29 inzake toestemming overeenkomstig Verordening 2016/679, WP 259, laatstelijk herzien op 10 april 2018.
(17). Zie artikel 6 lid 1 onder f AVG.
(18). Op 1 november 2019 liet de AP in een nadere toelichting op haar website weten dat een gerechtvaardigd belang slechts gerechtvaardigd kon zijn als het belang een basis in het recht zou hebben: gebaseerd op een rechtsregel of rechtsbeginsel (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf). In een uitspraak van de rechtbank Utrecht van 23 november 2020 (ECLI:NL:RBMND:2020:5111) heeft de rechtbank geconcludeerd dat dit een onjuiste interpretatie van de AVG is. Het gaat er niet om of het belang gebaseerd is op het recht, maar of het belang niet in strijd is met het recht. In casu ging het om een louter commercieel belang. Als dat niet in strijd is met het recht dan kan dat belang een gerechtvaardigd belang zijn. Bij controles van werknemers zou op grond van artikel 7:611 juncto 7:660 wel een grondslag in het recht gevonden kunnen worden. Dan is dat belang niet in strijd met de interpretatie van de rechtbank, mar ook niet in strijd met de interpretatie van de AP.
(19). Een toetsing aan artikel 8 EVRM levert nagenoeg dezelfde overwegingen op. In principe moet de controle kenbaar en voorzienbaar zijn. Daarnaast is er ook een noodzakelijkheidstoetsing met proportionaliteit en subsidiariteit en een belangenafweging waarbij het belang van de werkgever zwaarder moet wegen dan het privacybelang van de werknemer, zie artikel 8 lid 2 EVRM.
(20). Zie artikel 5 lid 1 onder e en f (beveiliging en bewaartermijn) AVG, artikel 15 (inzage) AVG, en artikel 21 (bezwaar) AVG.
(21). Zie artikel 5 lid 1 onder b en c (doelbinding en minimale gegevensverwerking) AVG.
(22). Zie artikel 30 AVG.
(23). Artikel 77 AVG.
(24). Voor de boeteregels zie Staatscourant 14 maart 2019, nr. 14586. Zoek eerst in de bijlages de betreffende artikelen uit de AVG. Artikel 35 AVG staat in bijlage 1, artikel 6 AVG staat in bijlage 2. Achter het artikel 35 AVG staat het cijfer/categorie II en achter artikel 6 AVG staat het cijfer/categorie III. Vervolgens staan in artikel 2 de sancties behorend bij categorie II en III.
No Comments