Als advocaat hebben wij een verplichting tot permanente educatie. Heel mooi, want zo blijven we goed op de hoogte van ontwikkelingen en er is genoeg interessant aanbod. Onlangs las ik bij de praktische informatie over een online training die ik wilde volgen, dat er bij deelname software zou draaien die monitort of je wel de gehele online bijeenkomst actief deelneemt of dat je intussen rustig verder werkt aan een document of andere dingen doet op de computer waarmee je deelneemt. Zou je dat doen, dan krijg je niet het volledige aantal opleidingspunten toegekend. Ik snap de motivatie en vind het boeiend wat er technisch allemaal kan, maar moet erkennen dat dit mij toch ook een wat onprettig gevoel gaf. Ik vond het persoonlijk nogal belerend en meer uitgaan van wantrouwen dan vertrouwen. Herkent u dat?
De ene vraag lokt zo de andere weer uit, want hoe ver mag je gaan bij dit soort controles op het werk, met het monitoren van werknemers? In de media lees ik geregeld dat bedrijven de activiteiten van hun medewerkers willen controleren. En dat geldt niet alleen voor thuiswerkers. Een reden om eens wat zaken voor u over het monitoren van werknemers op een rij te zetten.
Dat privacy op het werk een actueel thema is, blijkt ook uit het feit dat deze week de Autoriteit Persoonsgegevens (AP) het OR-privacyboekje heeft gepubliceerd. Dit bevat veel informatie voor ondernemingsraden, maar is ook voor werkgever nuttig.
De AP verstrekt daarnaast ook veel informatie toegespitst over het monitoren van werknemers.
Kaders en controle
De basis voor wat je als werkgever van de werknemer mag verwachten, vormt de arbeidsovereenkomst. Met de werknemer heb je een bepaalde functie en takenpakket afgesproken. Daar kun je de werknemer aan houden. Als werkgever mag je je werknemers bovendien aanwijzingen en instructies geven over het werk. Bij dit instructierecht past ook de bevoegdheid van de werkgever om tot op zekere hoogte na te gaan of de werknemer zich houdt aan de door de werkgever gestelde kaders en de gemaakte afspraken. Het instructierecht zegt niet hoe je dit mag doen.
Er is op het gebied van controle veel mogelijk tegenwoordig. Denk aan software die schermafbeeldingen maakt, het aantal toetsaanslagen meet of via de webcam monitort op aanwezigheid.
Grenzen aan de controle: privacybescherming
Als u controle uitoefent, moet u rekening houden met de algemene beginselen van goed werkgeverschap én met de in Nederland geldende privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). De kans is zeer groot dat u bij de controle persoonsgegevens van werknemers verwerkt en daarvoor gelden strenge privacyregels.
Zo mag het monitoren van werknemers alleen plaatsvinden met een duidelijk doel én op basis van een wettelijke grondslag. De grondslagen om gegevens te mogen verwerken, staan in de AVG. Deze zijn limitatief. In het kader van de arbeidsrelatie zou dat eventueel de grondslag kunnen zijn: uitvoering van de arbeidsovereenkomst of anders het hebben van een gerechtvaardigd belang.
De eerste grondslag lijkt niet goed passend. Daarbij moet je als werkgever denken aan het verwerken van gegevens die mogelijk maken om de arbeidsovereenkomst goed uit te voeren, zoals het doen van tijdige en correcte salarisbetalingen.
De tweede past beter, maar vraagt om een goede onderbouwing, de juiste stappen én waarborgen. Denk bijvoorbeeld aan maatregelen op het gebied van opslag, toegang, beveiliging en veilige en tijdige vernietiging van gegevens.
De controle moet noodzakelijk zijn om het beoogde doel te bereiken. De verwerkte gegevens mag je bovendien niet voor een ander doel (gaan) gebruiken. Kun je het doel op een andere, minder ingrijpende manier bereiken, dan mag je niet controleren. Er dient een zorgvuldige belangenafweging plaats te vinden. Het belang dat de werkgever bij de controle heeft, moet zwaarder wegen dan het belang van de werknemers op de bescherming van hun privacy. Kortom, de lat ligt hoogt.
Hoe je als werkgever met de gegevens van werknemers om gaat, moet je als werkgever vermelden in je privacyverklaring. De verwerking van gegevens moet worden opgenomen in een verwerkingsregister om achteraf verantwoording te kunnen afleggen over de manier waarop je als werkgever gegevens verwerkt. De Autoriteit Persoonsgegevens kan dit controleren en maatregelen treffen bij het verwerken van gegevens in strijd met de wet.
Informatieplicht en instemmingsrecht OR
Voor u overgaat tot het monitoren van werknemers, moet het voor hen duidelijk zijn dat u dit gaat doen, hoe en gedurende welke periode. U moet hierover duidelijke informatie verstrekken. Wilt u bijvoorbeeld een mailbox inkijken of doorzoeken of internetverkeer monitoren, dan geldt er op grond van Europese Rechtspraak in elk geval een notificatieplicht vooraf.
Permanente controle is niet toegestaan. Werknemers moeten zich op het werk enigszins onbespied kunnen wanen. Zo moet u ook vertrouwelijke communicatie van werknemers respecteren – denk aan mailcorrespondentie die in een privémap zijn opgeslagen of waaruit op een andere manier het privékarakter blijkt.
Gaat u controlebeleid maken of wijzigen, dan moet u hierbij de OR betrekken. De OR heeft in dit kader instemmingsrecht. Vindt het monitoren van werknemers grootschalig en stelselmatig plaats, dan moet u vooraf ook een DPIA uitvoeren. Hiermee brengt u de privacyrisico’s van een verwerking van persoonsgegevens in kaart. Een dergelijke inventarisatie kan ook behulpzaam zijn in de gesprekken met de OR.
Er zijn situaties te bedenken waarin vergaande controle mogelijk is, bijvoorbeeld bij het vermoeden dat er sprake is van een strafbaar feit. Dit zijn echter uitzonderingsgevallen. In die situaties raad ik u aan u goed te laten informeren over de mogelijkheden en risico’s.
Deze blog is eerder gepubliceerd op AWVN.nl