AVG & AP: controleren van werknemers, mag dat?

AVG & AP

Werkgevers hebben veel mogelijkheden om allerlei gegevens over hun personeel te verzamelen, bijvoorbeeld via cameratoezicht, e-mail en internetgebruik, track and trace systemen en toegangspoortcontrole.

Deze gegevens kunnen voor verschillende doelen worden gebruikt, waaronder het controleren van werknemers. Dit is niet verboden, mits de controle voldoet aan de voorwaarden uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet op de AVG (UAVG).

Wanneer is het controleren van personeel toegestaan en met welke voorwaarden moet de werkgever rekening houden? En hoe zit het met heimelijke controle van werknemers? Wat is de rol van de ondernemingsraad hierbij?

Dit is deel 4 van onze blogreeks: ‘AVG & AP: 8 ontwikkelingen en actualiteiten’.

Wanneer is controle van werknemers toegestaan?

Voordat je als werkgever besluit te starten met de controle moet je het doel bepalen waarvoor de controle noodzakelijk is. De doelen moeten zijn bepaald voordat gegevens worden verwerkt. Het doel bepaalt de omvang van de controle en op welke wijze dat mag gebeuren. Let er daarbij op dat de doelen niet te beperkt worden bepaald en dat die in het verwerkingsregister worden vermeld.

Bijvoorbeeld: bescherming van bedrijfseigendommen, netwerkbeveiliging, opsporing en bestrijding van diefstal of verduistering, etc. Je dient altijd vooraf te onderzoeken of het controlemiddel dat je wil instellen noodzakelijk is. Ofwel, er mag geen andere manier zijn (dat minder vergaand en minder ingrijpend is) om het doel te bereiken. Als blijkt dat er wel een andere, minder ingrijpende, wijze is om het doel te behalen, dan mag je niet overgaan tot het inzetten van het controlemiddel.

Ook moet je een gerechtvaardigd belang hebben voor het inzetten van het controlemiddel. Vooraf dien je te onderzoeken of dit belang zwaarder weegt dan het privacybelang van de werknemer(s). Deze belangenafweging moet je ook vastleggen.

Een andere voorwaarde voor de inzet van een controlemiddel is dat de voorafgaande instemming van de ondernemingsraad (OR) moet zijn gevraagd.

Daarnaast zal je het personeel moeten informeren over wat is toegestaan en wat is verboden, dat controle mogelijk is en op welke manier dat gebeurt. Dit kan bijvoorbeeld met gedragsregels of in een protocol.

Data Protection Impact Assessment (DPIA)

Zodra je besluit om grootschalige en/of systematische controle uit te voeren, bijvoorbeeld om diefstal en/of fraude binnen het bedrijf te voorkomen, dan ben je als werkgever verplicht om vooraf een zogenaamde DPIA (Data Protection Impact Assessment, ook PIA genoemd) uit te voeren.

Dat is een risicobeoordeling van de privacy-effecten van deze controle voor de werknemers. Ik verwijs daarvoor ook naar onze eerdere blogpost.

Als uit de DPIA moet worden geconcludeerd dat de beoogde controle een hoog risico oplevert en je geen maatregelen kan nemen die dat risico beperken, dan moet je de Autoriteit Persoonsgegevens (AP) voorafgaand raadplegen. Ook moet de bewaartermijn in acht worden genomen. Regel is dat de persoonsgegevens niet langer dan noodzakelijk mogen worden bewaard. Voor camerabeelden geldt als regel maximaal vier weken. Tenzij een incident op de beelden is vastgelegd, dan mag je de beelden bewaren tot het incident is afgehandeld.

Wanneer is heimelijke controle van werknemers mogelijk?

Heimelijke controle is een verstrekkend controlemiddel, omdat het een ernstige inbreuk op het privacybelang van de werknemer(s) is. Bij heimelijke controle (zoals verborgen cameratoezicht op de werkvloer bij serieus vermoeden van bedrijfsdiefstal) gelden naast de hierboven genoemde voorwaarden, aanvullende eisen.

  • Als werkgever kan je niet lichtvaardig besluiten tot een inzet van heimelijke controle. Hiervoor zal je een redelijke verdenking van een strafbaar feit gepleegd door een of meerdere werknemers moeten hebben, zoals diefstal.
  • De inzet van heimelijke controle moet zo kort en gericht mogelijk zijn en incidenteel.
  • Ook moet je het personeel informeren dat heimelijke controle kan plaatsvinden, wanneer en op welke wijze.
  • Voordat je overgaat tot de inzet van een verborgen controlemiddel, zoals een verborgen camera, moet je kunnen aantonen dat je ondanks allerlei inspanningen geen einde hebt kunnen maken aan de diefstal of fraude.
  • Ook moet een DPIA zijn uitgevoerd: ook hier geldt dat als uit de DPIA komt dat sprake is van een verhoogd risico op de inbreuk van de privacy van de werknemers en je geen maatregelen vindt om dat risico te verminderen, dat je dan eerst de AP moet raadplegen voordat je tot de heimelijke controle overgaat.

Gebruik camerabeelden ondanks verzet werknemer

Het staat buiten kijf dat de werkgever zich dient te houden aan de voorwaarden die de AVG en de UAVG stellen voor het controleren van zijn personeel. De AP controleert hier ook op en is bevoegd om in geval van schending een sanctie op te leggen.

Kantonrechters daarentegen leggen het verzet van de werknemer op onrechtmatige inbreuk op zijn privacy in een ontslagzaak nog wel eens terzijde, omdat de waarheidsvinding in dat geval prevaleert.

Dat informatie van ingezette controlemiddelen, zoals camerabeelden, succesvol door de werkgever kan worden gebruikt ter onderbouwing van bijvoorbeeld de dringende reden van een ontslag op staande voet, is recent weer aan de orde geweest in een uitspraak van de kantonrechter. In die zaak liet de kantonrechter de camerabeelden toe, ondanks verzet van werknemer daartegen.

De situatie: de werkgever verleent diensten aan de afvalverbrandingsindustrie en in het kader van recycling worden waardevolle metalen en mineralen gewonnen uit bodem-as, zo ook goud. Na een anonieme tip van buitenaf dat werknemers vrijgekomen goud ontvreemden, schakelt werkgever een extern recherchebureau in. Dit leidde tot inzet van een camera op de twee plekken in het productieproces waar ontvreemding kon plaatsvinden. Vijf werknemers werden op basis van die beelden verdacht van verduistering van zware metalen. Naar aanleiding van die beelden heeft werkgever werknemer ontslag op staande voet verleend. Werknemer verzet zich tegen dit ontslag. Hij stelt dat de camerabeelden uit de zaak moeten worden gehouden, omdat deze een onrechtmatige inbreuk op zijn privacy maken. De beelden zijn namelijk zonder zijn toestemming gemaakt en over het plaatsen van de camera is geen instemming van de OR.

De kantonrechter gaat hieraan voorbij door te oordelen dat de waarheidsvinding in deze prevaleert boven het privacybelang van werknemer. De verdenking is ernstig en serieus (qua omvang), het bedrijfsbelang van werkgever (bescherming bedrijfseigendommen) is ontegenzeggelijk groot en met de camera is slechts op twee plekken gefilmd voor dat specifieke doel en dat is niet langer gedaan dan noodzakelijk. Daarbij heeft werkgever weken voorafgaand aan de inzet van de camera in een personeelsbijeenkomst melding gemaakt van de verdenking en het personeel gewaarschuwd.

Op basis van de camerabeelden en het feit dat werknemer onvoldoende de verdenking op de verduistering weerspreekt, blijft het gegeven ontslag op staande voet in stand.

Conclusie

Het verwerken van persoonsgegevens bij controles is zeker mogelijk en niet verboden. In een ontslagzaak lijkt de waarheidsvinding het vaak te winnen van het privacybelang van de werknemer. De informatie die is verkregen met het controlemiddel wordt dan als bewijs toegelaten.

Maar het verdient sterk aanbeveling om het verwerken van persoonsgegevens bij controles te laten voldoen aan de AVG en de UAVG. Daarmee voorkom je als werkgever een overtreding van de AVG en dus een mogelijke sanctie van de AP. Ook voorkom je het risico van het betalen van een schadevergoeding aan de werknemer voor het schenden van zijn privacybelang.

Meer weten?

Wil je meer weten over de AVG of de acties van de AP? Abonneer je dan op de blog update Ondernemerszaken en/of het thema Privacy.

Mocht je vragen hebben over privacy of de AVG, neem dan contact op met één van onze privacy specialisten Chantal Grouls of Marieke Thijssen.