Monitoring van werknemers: wat mag wel en wat mag niet?
Werkgevers hebben diverse mogelijkheden om automatisch werknemersinformatie te verzamelen. Deze informatie kan gebruikt worden voor verschillende doeleinden, waaronder het controleren van werknemers. Wanneer is dit toegestaan en onder welke voorwaarden?
Is monitoring van medewerkers toegestaan?
Controle van werknemers is toegestaan, mits u rekening houdt met de privacy.
Bij monitoring van medewerkers kunt u denken aan:
- Gebruik van social media bij het aantrekken van nieuw personeel.
- Gebruik van social media bij het controleren van oud-personeel.
- Gebruik van cameratoezicht in kantoorruimten.
- Gebruik van volgsoftware die registreert wat medewerkers op hun computer doen (zoals in- en uitloggen, toetsaanslagen, gebruik van e-mail en internet);
- Gebruik van een track & trace-systeem in bedrijfswagens (zoals een gps-tracker of black box);
- Gebruik van apps of wearables (zoals een smartwatch) die de gezondheid meten.
Voor alle vormen van controle van werknemers gelden dezelfde algemene regels uit de privacywetgeving. De belangrijkste voorwaarden voor de controle van personeel staan in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Bepaal het doel waarom monitoring noodzakelijk is
Voordat u besluit te starten met het monitoren van uw werknemers, is het noodzakelijk uw doel te bepalen. Ga na waarom controle noodzakelijk is. Doe dit voordat u de gegevens gaat verwerken. De doelen bepalen namelijk de omvang van de controle en de wijze waarop u dit mag doen.
Bij verwerkingsdoelen kunt u bijvoorbeeld denken aan:
- Bescherming van bedrijfseigendommen;
- Netwerkbeveiliging;
- Opsporing en bestrijding van diefstal of verduistering.
Waar moet u op letten bij het verwerken van gegevens?
Gaat u gegevens verwerken? Onderzoek dan eerst of het controlemiddel dat u wilt gebruiken noodzakelijk is en of er mogelijk andere (minder ingrijpende) alternatieven beschikbaar zijn. Zijn er inderdaad andere (minder ingrijpende) alternatieven? Dan moet u voor een dergelijk alternatief controlemiddel kiezen.
Naast het bepalen van het doel, is het belangrijk dat u een gegronde reden (grondslag) heeft voor het inzetten van een controlemiddel. De grondslag “gerechtvaardigd belang” is doorgaans het meest geschikt voor de verwerking van persoonsgegevens van werknemers. Deze grondslag vereist een belangenafweging tussen uw werkgeversbelang en de (grond)rechten van uw werknemers, waaronder het privacyrecht. Afhankelijk van de specifieke situatie moeten de belangen van beide partijen afgewogen worden.
Daarnaast is het belangrijk dat u uw werknemers vooraf duidelijk informeert over tot het inzetten van het controlemiddel.
- Op welke manier wordt gecontroleerd?
- Wat wordt wel en wat wordt niet gecontroleerd?
- Waarom wordt gecontroleerd?
- Wanneer wordt gecontroleerd?
- Om wat voor gegevens gaat het?
- Hoelang worden bepaalde gegevens bewaard?
Kortom, tal van zaken waarover u uw werknemers moet informeren voordat u overgaat tot het inzetten van het controlemiddel. U kunt uw werknemers informeren door middel van interne richtlijnen, zoals gedragsregels of een protocol.
Tijdens de inzet van het controlemiddel is het belangrijk dat u rekening houdt met het recht op vertrouwelijke informatie van uw werknemers. Dit is vooral belangrijk als u het controlemiddel inzet voor bijvoorbeeld monitoring van e-mail en/of telefoongegevens. Zo mag u geen telefoongegevens en/of e-mails lezen die duidelijk privé zijn.
Beschikt uw organisatie over een ondernemingsraad (OR)? Dan bent u verplicht om op grond van de Wet op de Ondernemingsraden (WOR) instemming van de OR te vragen voor besluiten over:
- Regelingen betreffende het verwerken en beschermen van de persoonsgegevens van personeel (artikel 27 lid 1 sub k), en
- Regelingen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van personeel (artikel 27 lid 1 sub l).
Leg uw voornemen tot controle daarom tijdig voor aan de ondernemingsraad.
Welke controlemiddelen voor monitoring mag u wel of niet inzetten?
De inzet van bepaalde controlemiddelen of verwerkingen is niet altijd toegestaan. In onderstaande gevallen weegt de privacy van de werknemer altijd zwaarder:
- Monitoring in gevoelige ruimten, zoals sanitaire-, religieuze- en pauzeruimten.
- Geautomatiseerde beslissingen over bijvoorbeeld prestaties.
- Continu monitoren in plaats van steekproefsgewijs.
- Heimelijke opnames mogen alleen in zeer uitzonderlijke gevallen, zoals bij een gegronde verdenking van een strafbaar feit of het lekken van bedrijfsgeheimen.
DPIA
Wilt u grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens inzetten om activiteiten van uw werknemers te controleren? Zoals controle van e-mail en internetgebruik, gps-trackers in (vracht)auto’s van werknemers of cameratoezicht om diefstal en fraude te bestrijden? Dan moet u eerst een data protection impact assessment (DPIA) uitvoeren. Bij een DPIA kijkt u wat de privacyrisico’s zijn van het monitoringssysteem. Zodat u maatregelen kunt nemen om de risico’s te verkleinen. Heeft uw organisatie een functionaris gegevensbescherming (FG)? Dan moet u de FG om advies vragen bij het uitvoeren van de DPIA.
Komt uit de DPIA naar voren dat de beoogde controle een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de controle van personeel start. Dit wordt een voorafgaande raadpleging genoemd. Heeft u een FG, dan kan die adviseren over de vraag of een voorafgaande raadpleging nodig is.
Meer weten?
De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van ICT- en privacyrecht. Neem voor meer informatie of advies contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.