Wat mag wel en wat mag niet op de werkvloer volgens de AVG? Voor werkgevers kan dit een zoektocht betekenen. Werknemers en werkgevers spenderen veel tijd samen en soms kunnen er vragen ontstaan over wat je wel en niet mag als werkgever. Zeker als je het hebt over privacy op de werkvloer is er een aantal zaken die jij als werkgever beter niet kunt doen. Welke zaken zijn dat?
Werknemers controleren
Als werkgever kun je verschillende redenen hebben om werknemers te controleren, bijvoorbeeld bij diefstal of wanneer je vermoedt dat een werknemer op een andere manier onrechtmatig handelt. De manieren waarop je als werkgever jouw werknemers kunt controleren zijn zeer divers. Denk hierbij bijvoorbeeld aan controleren via cameratoezicht, alcohol- en drugstesten of een trackingsysteem.
Sinds de invoering van de AVG mogen werkgevers hun werknemers nog controleren, maar hier zijn wel voorwaarden aan verbonden. Dit zijn de belangrijkste algemene vereisten die gelden voor het controleren van personeel.
Gerechtvaardigd belang
Als werkgever moet je beschikken over een grondslag om werknemers te controleren. In veel gevallen kan de grondslag ‘gerechtvaardigd belang’ uitkomst bieden. In dat geval geldt het volgende:
- de werkgever moet een gerechtvaardigd belang hebben voor de controle. De werkgever heeft in het algemeen een gerechtvaardigd belang als de verwerking noodzakelijk is om de reguliere bedrijfsactiviteiten te verrichten. Denk bijvoorbeeld aan het beveiligen van het pand, systeem- en netwerkbeveiliging of het voorkomen van fraude;
- de controle moet noodzakelijk zijn voor de behartiging van het gerechtvaardigd belang. Dit betekent onder andere dat het doel van de verwerking in verhouding moet staan tot de inbreuk. Daarnaast moet de werkgever zich de vraag stellen of het doel kan worden bereikt op een andere manier die minder ingrijpend is. In dat geval moet hij voor de minder ingrijpende manier kiezen; en
- het belang van de werkgever moet groter zijn dan het belang van de werknemer. Er dient dus een belangenafweging te worden gemaakt.
Privacy regels
Werknemers moeten worden geïnformeerd over de (mogelijkheid van) controles. Het controleren van werknemers is namelijk alleen toegestaan als het voor de werknemer kenbaar is of kan zijn dat zij worden gecontroleerd. Als werkgever moet je de werknemers vooraf informeren over de aard, reikwijdte, omvang en wijze van controleren. Het informeren van werknemers kan bijvoorbeeld met gedragsregels in een personeelshandboek.
-
Het minimaliseren van de inbreuk op de privacy
Je dient passende maatregelen te nemen om de inbreuk op de privacy te minimaliseren. Bij het gebruik van cameratoezicht kan dan worden gedacht aan het afschermen van de beelden voor alleen beveiligingspersoneel en Justitie. Of het wekelijks uitkijken en daarna wissen van de beelden en het ophangen van een duidelijk bord.
-
Instemmingsrecht OR
Beschik je over een ondernemingsraad (OR), dan moet je rekening houden met het instemmingsrecht van de OR. Een regeling die tot doel heeft persoonsgegevens van werknemers te verzamelen, bewaren, gebruiken, verstrekken of beveiligen, is namelijk instemmingsplichtig.
-
DPIA
Soms is een ‘data protection impact assessment’ (DPIA) nodig. Een DPIA is bijvoorbeeld nodig wanneer je grootschalig en/of systematisch cameratoezicht inzet om diefstal of fraude door werknemers te bestrijden.
-
Cameratoezicht op de werkplek
Eén van de manieren om werknemers te controleren kan via cameratoezicht. Videobeelden kunnen helpen tegen bijvoorbeeld diefstal of beschadiging van eigendommen. Ook kan een camera ingezet worden om de veiligheid van de medewerkers te bevorderen. Van belang is dat het doel aan de algemene vereisten, genoemde hierboven, voldoet. Ook dient de inbreuk van privacy zo min mogelijk te zijn, hang geen camera op bij toiletten, kleedkamers, behandelruimten. De camerabeelden dien je maximaal 4 weken te bewaren.
-
Beoordelen van medewerkers via camerabeelden
Het is niet toegestaan om medewerkers te beoordelen via camerabeelden. Dit gaat het doel voorbij en is een te grote inbreuk op de persoonlijke levenssfeer van de medewerkers.
-
Checken van e-mailadres tijdens afwezigheid
Dit is in de meeste gevallen niet toegestaan. Op grond van de AVG mag je als werkgever de zakelijke e-mail van de werknemer inzien en aanhouden, mits je voldoet aan de eisen. In veel situaties zal de werkgever een bedrijfsbelang hebben om de klanten die het e-mailadres van de langdurig zieke of ex-werknemer gebruiken alsnog te kunnen helpen. Dit is een gerechtvaardigd belang om het e-mailaccount van de werknemer in te zien. Een werkgever moet hierbij voorkomen dat privé mails worden bekeken die eventueel nog op het e-mailaccount binnenkomen. Kijk dus altijd naar de onderwerp balk van de e-mail voor de e-mail te openen. Bestaat het vermoeden dat het om een privémail gaat, open de mail dan niet. Het lezen van privémail is namelijk niet toegestaan.
Wel dient de belangenafweging te worden gemaakt. Een medewerker die 2 weken met vakantie is, een langdurige zieke medewerker of een ex-medewerker maakt natuurlijk verschil. Als er de mogelijkheid is om een medewerker toestemming vooraf te vragen en deze dan in de gelegenheid te stellen om alle privé e-mails te verwijderen, heeft dit altijd de voorkeur.
Ook hierbij is het zéér van belang om het aanhouden en inzien van een e-mailaccount na uitdiensttreding of bij langdurig ziekte vast te leggen in een personeelshandboek.
-
Bekijken van de internet geschiedenis
Het is belangrijk om regels vast te stellen in een personeelshandboek voor het privé gebruik van internet en e-mail onder werktijd. Zorg ervoor dat deze ook bekend zijn. Je mag de werkgevers controleren op het gebruik van internet maar je mag hen niet volgen. Je dient rekening te houden met de algemene vereisten. Er wordt dan ook onderscheid gemaakt tussen een heimelijke controle (zonder medeweten van de medewerker) en een algemene controle. Een heimelijke controle mag normaal gesproken niet, alleen onder extreme voorwaarden, zoals verdenking van strafbare handelingen of diefstal kun je dit (laten) uitvoeren.
-
Vragen naar medische klachten en behandelingen
Ook zieke medewerkers hebben recht op privacy. Als werkgever mag je dus niet vragen naar de medische gegevens, medische klachten en medische behandelingen. Wel mag je als werkgever gericht vragen naar de arbeidsongeschiktheid. Ben je geschikt voor arbeid? In welke hoedanigheid niet/wel? Wat is de oorzaak van de arbeidsongeschiktheid? Wat zijn de vooruitzichten en wordt je adequaat behandeld?
Privacy protocol in personeelshandboek
Een goed privacy protocol en/of een personeelshandboek is voor meerdere redenen zeer belangrijk. Het vastleggen van de regels binnen een organisatie geeft werknemers duidelijkheid en is een houvast voor de werkgever om de regels te laten nakomen. Vooral bij het aspect privacy en controleren is het van belang dat medewerkers op de hoogte zijn van de regels die hier over gaan. Zonder privacy protocol / personeelshandboek gelden namelijk algemenere gedragsregels, waarbij het privé gebruik niet helemaal verboden kan worden.
Wil je meer weten over de AVG? Of heb je hulp nodig bij het opstellen van een privacy protocol of personeelshandboek? Wil je de huidige wellicht laten checken op onjuistheden? Neem dan contact op.
Dit artikel is geschreven door Michelle Buwalda – de Kock, HR- en Juridisch adviseur bij Zakenwijzer.