Privacy en de AVG in tijden van corona – het nieuwe normaal?
Het coronavirus blijft de gemoederen bezighouden, ook met betrekking tot privacy en de AVG.
We zullen de komende tijd moeten leren leven met COVID-19, zowel privé als zakelijk. Dit brengt in het bijzonder (maar niet uitsluitend) op de werkvloer een aantal interessante privacy gerelateerde vragen met zich mee:
- Mogen werknemers getest worden voordat ze weer worden toegelaten op de werkplek?
- Is het toegestaan dat kappers en andere uitoefenaars van contactberoepen aan klanten vragen of ze gezondheidsklachten hebben alvorens een afspraak in te plannen?
- Mogen werkgevers de productiviteit rondom thuiswerken monitoren?
- Zijn ‘corona-apps’ privacy-proof?
Deze blog gaat nader in op deze vragen aan de hand van de Algemene Verordening Gegevensbescherming (AVG). Staat jouw vraag er niet tussen? Neem contact op met Chantal Bakermans en dan bespreken we jouw vraag over corona en privacy.
Werknemers testen op de werkvloer, mag dat?
Nu de coronamaatregelen wat versoepeld zijn gaan er weer meer mensen naar hun werk. Als werkgever wil je natuurlijk voorkomen dat werknemers elkaar besmetten. Mag je als werkgever werknemers eerst testen of vragen of ze klachten hebben?
Op grond van de AVG mag een werkgever geen medische gegevens van diens personeel verwerken. In geval van verkregen toestemming van de werknemer zou een rechtvaardiging voor die verwerking kunnen gelden. Evenwel in de relatie werkgever-werknemer wordt toestemming geacht niet ‘vrij’ te zijn gegeven vanwege de gezagsverhouding. Aan een werknemer mag dus niet worden gevraagd of hij/zij corona-gerelateerde gezondheidsklachten heeft. Wanneer een werknemer zich ziekmeldt, mag de werkgever bovendien niet de reden daarvan registeren. Dit betekent ook dat je als werkgever werknemers niet mag testen. Toch staat de Autoriteit Persoonsgegevens (AP) het wel toe dat je als werkgever – onder de bijzondere omstandigheden van de coronacrisis – een werknemer naar huis stuurt wanneer deze griep- of verkoudheidsklachten vertoont. Opvallend, want het staat in zekere zin haaks op het uitgangspunt dat je als werkgever niet mag vragen of iemand gezondheidsklachten heeft. Het leidt bovendien tot onduidelijkheid, want tot wanneer gelden de ‘bijzondere omstandigheden’? Totdat er een vaccin bestaat?
Persoonlijk meen ik dat de rechtvaardigingsgrond voor het vragen naar corona-gerelateerde gezondheidsklachten bij de werknemer best eens kan worden gevonden in artikel 9 lid 2 sub i AVG. Dit artikel bepaalt dat de verwerking is toegestaan indien deze noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid. Daarbij is het naar mijn mening niet nodig dat de werkgever de antwoorden registreert of additioneel ook testen afneemt. Ik ben benieuwd of dit argument wordt meegenomen wanneer de AP werkgevers straks mogelijk meer onder de loep gaat nemen in het kader van privacy in Corona tijden.
Mogen kappers klanten vragen of ze klachten hebben alvorens een afspraak in te plannen?
Uitoefenaars van bepaalde contactberoepen, zoals kappers en schoonheidsspecialisten, mogen binnenkort weer klanten helpen. Er wordt uitsluitend op afspraak geknipt waarbij bij de klant moet worden geïnformeerd naar de aanwezigheid van coronaklachten. Ik hoor u denken: een werkgever mag deze vraag niet aan zijn werknemers stellen, maar een kapper wel aan zijn klanten?
Inderdaad. De reden is dat een kapper en zijn klant niet in een gezagsverhouding tot elkaar staan. Er is sprake van een dienstverlening. De klant heeft de keuze om niet te antwoorden. Hij kan de dienst dan weliswaar niet afnemen, maar er is een ‘vrije keuze’ zo veronderstelt het recht. Op zich opvallend, want ik zou wederom menen dat hier de rechtvaardigingsgrond vooral ook ligt in het algemeen belang van de volksgezondheid (artikel 9 lid 2 sub i AVG).
Mogen werkgevers de productiviteit rondom Corona thuiswerken monitoren?
Nu we massaal thuis werken, is er evident ook minder zicht op de werkzaamheden van werknemers. Hierdoor kan het voor de werkgever wenselijk zijn om bijvoorbeeld bij te houden en te controleren wanneer en hoe lang u inlogt op het kantoornetwerk. Volgens de Autoriteit Persoonsgegevens is het monitoren van de productiviteit van werknemers evenwel niet altijd toegestaan. Dit is enkel het geval wanneer de werkgever kan aantonen dat het monitoren noodzakelijk is. Daarbij dient het belang van de werkgever groter te zijn dan het belang van de werknemer op bescherming van diens privacy. Dit is doorgaans een lastige horde voor werkgevers om te nemen, want in de meeste gevallen zal het privacybelang van de werknemer prevaleren. De ‘bijzondere omstandigheden van de coronacrisis’ maken dit naar mijn mening ook niet anders.
Indien de monitoring toelaatbaar kan worden geacht, geldt verder dat de werknemers voldoende duidelijk worden geïnformeerd over de wijze en duur van de monitoring. Bijvoorbeeld via een intern privacybeleid. Voor zover er een ondernemingsraad is, moet deze bovendien toestemming geven voorafgaand aan de start van de monitoring. Kortom, het heimelijk controleren van een werknemer door de werkgever met als doel het monitoren van productiviteit, zal sowieso nimmer zijn toegestaan. Geheime monitoring door de werkgever is enkel toegestaan wanneer er een redelijke verdenking van een overtreding of strafbaar feit bestaat.
Zijn ‘corona-apps’ privacyproof?
Waar in de vorige twee persconferenties (15/21 april) nog vol overtuiging werd gesproken over de komst van een ‘Corona-app’ die zou moeten helpen bij de bestrijding van Covid-19, bleef het tijdens de meest recente persconferentie van 6 mei jl. opvallend stil over dit onderwerp. Niet geheel verwonderlijk lijkt, want menig privacy-expert had zich daarvoor ronduit negatief uitgelaten over de mogelijkheid van ‘bestrijding van corona met apps’, nog los van de privacy en de overeenstemming met de AVG.
Sinds de komst van het coronavirus zijn er al diverse software applicaties ontwikkeld. Daarbij moet onderscheid worden gemaakt tussen apps die je klachten monitoren en apps die je contacten ‘tracken en tracen’. Bij de eerste categorie vul je bijvoorbeeld iedere dag je temperatuur en/of symptomen in en de zorginstantie beoordeelt die dan en biedt waar nodig hulp op afstand. De tweede categorie houdt bij met wie je contact hebt gehad en of daar bijvoorbeeld ook iemand bij zit die geïnfecteerd is (geraakt) met het coronavirus.
De privacy alarmbellen gaan direct af: hoe wordt voorkomen dat de gegevens niet worden gebruikt voor andere doeleinden, zoals ongewenst profilering? Weegt het belang, effectiviteit en noodzaak op tegen de schending van de privacy? Het (continu) bijhouden van je locatie vormt een aanzienlijke inbreuk op je privacy. Temeer als je niet weet waar en hoe al die data worden opgeslagen en met wie deze mogelijk gedeeld gaat worden. Daartegenover staat dat vraagtekens worden gezet bij de effectiviteit van de trac(k)ing apps. Zo houdt bluetooth – waarmee locatie wordt bepaald – geen rekening met de aanwezigheid van een raam en krijg je dus ‘false-positives’. Bovendien moet er voldoende draagvlak zijn en het is sterk de vraag of het downloaden van dit type applicaties voldoende afgedwongen kan worden. Zeker zolang we blijven lezen over datalekken bij overheidsapps!
Heeft u een privacy gerelateerde vraag, al dan niet met betrekking tot corona? Neem contact op met Chantal Bakermans via mail (c.bakermans@penrose.law) of bel 020-2400710.
Advocatenkantoor Penrose, Amsterdam.
Anderen zochten ook naar: