01 mei '20
In deze crisistijd is een van de belangrijkste veranderingen het massaal thuiswerken. Vanmorgen vroeg, op de Dag van de Arbeid nota bene, verscheen enigszins verscholen in een liveblog van NOS een bericht waarin werd gemeld dat werkgevers massaal ‘spionagesoftware’ aanschaffen en installeren, om hun werknemers thuis te kunnen volgen. Een goed moment om daar een kort blog over te schrijven. Mag dat wel?
Controle van werknemers is in principe niet verboden, maar er gelden wel strikte voorwaarden en de mogelijkheden zijn dan ook begrensd. Heimelijk gluren is veelal niet toegestaan. Met het monitoren van werknemers is veelal sprake van verwerking van persoonsgegevens. Hierop zijn de Algemene Verordening Gegevensbescherming (AVG) en gerelateerde privacywetgeving van toepassing. Voorts is art. 7:611 BW van belang: werkgever en werknemer zullen zich als goed werkgever resp. werknemer dienen te gedragen. Daarbij hoort dat de werkgever de persoonlijke levenssfeer van de werknemer respecteert. Hieronder geven wij een beknopt overzicht van mogelijkheden van en voorwaarden voor controle van thuiswerkende werknemers. We laten daarbij de (arbeidsrechtelijke) vraag wat er eventueel met de uitkomst zou kunnen worden gedaan daarbij even buiten beschouwing.
De werkgever moet een gerechtvaardigd belang hebben (lees: een legitieme reden) om werknemers te controleren middels een personeelsvolgsysteem. Dit belang moet zwaarder wegen dan het privacybelang van haar werknemers. Een van de belangrijkste vragen die daarbij moet worden gesteld is: is het op deze wijze monitoren van werknemers noodzakelijk? Zijn er andere, minder ingrijpende manieren om het betreffende doel te bereiken? Dit dient van geval tot geval te worden beoordeeld en kan nog wel eens tot een negatieve uitkomst leiden in dit kader. Zo zal in de regel wellicht kunnen worden volstaan met het (eerst) ‘anoniem’ monitoren van computergebruik. Een werkgever zal eerder een gerechtvaardigd belang kunnen hebben, indien er sterke aanwijzingen zijn dat een thuiswerkende werknemer zonder goede reden zijn of haar werk niet uitvoert. Een vervolgvraag kan dan zijn of het dan niet meer zin heeft om de werknemer om opheldering te vragen in een gesprek, of dat (heimelijke) controle in dit geval toch nodig is. Vertrouwen staat altijd voorop. Het is ook belangrijk in acht te nemen dat inmiddels wel aanvaard is dat werknemers ook tijdens werktijd enige tijd aan privézaken moeten kunnen besteden. Even ‘Facebooken’? Moet kunnen, indien met mate. Bovendien zijn er ook geluiden dat meer pauze tijdens het thuiswerken en een kortere werkdag aanhouden juist belangrijk ofwel volstrekt normaal is.
Als deze toets (waarover hier meer is te lezen) is doorstaan, is het belangrijk werknemers te informeren over het feit dat controle plaatsvindt of kan plaatsvinden, maar ook over de regels waaraan de werknemer zich moet houden. In het kader van de AVG is het belangrijk de werknemer ook te informeren welke persoonsgegevens daarbij worden verwerkt, hoe lang deze worden bewaard, wat zijn/haar rechten zijn etc. (zie voor meer informatie ook dit blog). Dit kan bijvoorbeeld middels het personeelshandboek of een privacyverklaring voor werknemers, en is heel belangrijk in het kader van de rechtmatigheid van de controle. Heimelijke controle is – kort gezegd – alleen toegestaan als er een redelijke verdenking van bijv. diefstal of fraude bestaat en mag slechts incidenteel zijn. Wij menen dan ook dat in het algemeen het voorafgaand aan de inzet van spionagesoftware verstrekken van duidelijke informatie over de (mogelijke) controle noodzakelijk is.
De controle dient zich te beperken tot wat noodzakelijk is voor het betreffende doel. Stel van tevoren als werkgever dus goed de grenzen vast en zorg ook dat slechts een beperkt aantal bevoegde personen de uit de controle verkregen gegevens kunnen inzien. Een werkgever dient zich ook te onthouden van het bekijken van berichten (bijv. e-mail) die als privé zijn aangemerkt. Hoewel niet zaligmakend, kan het werknemers en werkgevers helpen als een werknemer in zijn/haar e-mailbox een mapje “Privé” aanmaakt. En hoe vaak is controle nu echt nodig voor het betreffende doel? Hierbij is ook het volgende van belang.
Bij het doorlopen van voornoemde toets dient de werkgever in ogenschouw te nemen wat de betreffende software precies doet. Als alleen de schermtijd wordt gemeten zal de toets makkelijk worden doorstaan dan wanneer – zoals in voornoemd bericht op nos.nl werd vermeld – om de zoveel tijd screenshots worden gemaakt van de openstaande pagina’s. Daarmee bestaat ook een veel grotere kans dat (meer) persoonsgegevens worden verwerkt c.q. privéinformatie wordt verzameld. Het is sterk de vraag of dat niet een te vergaande inbreuk maakt op de privacy van werknemers. Het nieuwsbericht noemt ook het maken van foto’s van de werknemer, dat lijkt ons in ieder geval een brug te ver. Afspraken softwareleverancier Uiteraard moeten ook goede afspraken met de softwareleverancier worden gemaakt: veelal zal een verwerkersovereenkomst nodig zijn. Let ook op het privacybeleid van de leverancier en houd daarbij ook in het oog dat potentieel klantgegevens/gevoelige gegevens ook worden verwerkt door de spionagesoftware te gebruiken. Het kan dan ook zijn dat uw externe privacybeleid ook moet worden aangescherpt.
Kan een werkgever niet gewoon om toestemming vragen in deze crisistijd? Nee, om gegevens te verwerken op grond van toestemming moet deze vrijelijk worden gegeven. We hebben er van de week al wat meer over geschreven, maar kort gezegd wordt aangenomen dat van ‘vrijelijke toestemming’ in een arbeidsrelatie geen sprake kan zijn.
Afhankelijk van de mate van controle zal een Data Protection Impact Assessment (DPIA) moeten worden verricht, voordat de werkgever de software mag inzetten. Dat is ook relevant voor de verantwoordingsplicht onder de AVG; in welk kader wij hoe dan ook adviseren voornoemde toets te verslaan en het verslag te bewaren. Verder zal een ondernemer eerst instemming moeten vragen aan de ondernemingsraad voordat hij ‘gluursoftware’ of een vergelijkbaar controlesysteem (personeelsvolgsysteem) introduceert, maar ook als er een thuiswerkprotocol wordt ingesteld of aangepast.
Controleren mag veelal, maar binnen bepaalde grenzen en onder strikte voorwaarden. Wij adviseren voordat u als werkgever software aanschaft, voornoemd assessment toe te passen en deze analyse goed te documenteren. Zoals gezegd zou het veelal voldoende moeten zijn om ‘anoniem’ gegevens te verzamelen en pas bij een vermoeden van gedrag in strijd met het thuiswerkprotocol meer vergaand onderzoek te verrichten. De wens meer te controleren in deze crisissituatie is begrijpelijk, maar houd het gebruik van ‘gluursoftware’ in ieder geval binnen de perken. Als u deze software – met inachtneming van het voornoemde – gebruikt, pas dan ook uw privacybeleid aan waar nodig en stuur dit, inclusief de thuiswerkprotocollen nog eens naar de werknemers.
Hulp nodig? Ons team met privacy- en arbeidsrechtspecialisten assisteert hierbij graag. Neem contact met ons op via de in de zijlijn vermelde gegevens of via privacy@ploum.nl.
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
27 sep 24
13 sep 24
13 aug 24
13 aug 24
19 jul 24
17 jul 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.