Sinds de opkomst van moderne communicatiemiddelen zoals email en social media is ook de problematiek van privacy op de werkvloer in een stroomversnelling geraakt. Werk en privacy lopen steeds meer door elkaar heen en werkgevers dienen zich bewust te zijn van de grenzen aan het monitoren en controleren van werknemers. Voor sommige lezers lijkt een kantoorbaan misschien nog ver weg, maar iedereen zal hier uiteindelijk mee te maken krijgen. Er is bijna een jaar voorbij sinds de beruchte Algemene Verordening Gegevensbescherming (AVG) is ingetreden. De implementatie hiervan brengt voor organisaties een hoop extra verplichtingen mee. Hiernaast is er ook sprake van een cultuuromslag bij werknemers, die zich steeds meer bewust zijn hoe om moet worden gegaan met persoonsgegevens en wat de gevolgen voor organisaties zijn indien niet de juiste stappen worden genomen.
Sinds 25 mei 2018 is de AVG van toepassing. Dit betekent dat voor de hele Europese Unie dezelfde privacywetgeving geldt. De AVG heeft de plaats van de Wet Bescherming Persoonsgegevens ingenomen, deze geldt dus niet meer. De AVG zorgt onder meer voor een versterking en uitbreiding van privacy-rechten. Daarnaast krijgen organisaties ook meer verantwoordelijkheden. Zo moeten organisaties een verwerkingsregister opstellen en bijhouden, datalekken registreren, verwerkersovereenkomsten aangaan en updaten, gedragscodes/instructies voor medewerkers controleren en opstellen en registratie van ziekteverzuim inrichten overeenkomstig de AVG. Als een organisatie de AVG overtreedt kan de Autoriteit Persoonsgegevens tot maximaal twintig miljoen euro aan boete opleggen, geen kinderachtige bedragen dus.
Een werkgever verwerkt persoonsgegevens van al zijn werknemers. Degene die arbeid verricht onder het gezag van de ander en hiervoor loon ontvangt, wordt aangemerkt als de werknemer. Het is niet noodzakelijk dat er een arbeidscontract getekend is, er wordt gekeken naar alle omstandigheden van het geval. Naast informatie die werkgevers vanzelfsprekend en vaak ook verplicht verwerken, zoals contactgegevens en salarisgegevens, kunnen werkgevers mede door de digitalisering ook allerlei andere persoonsgegevens van werknemers verwerken. De technische middelen en mogelijkheden om werknemers in de gaten te houden zijn flink toegenomen in de afgelopen jaren. Denk hierbij bijvoorbeeld aan videobewaking, software die internet- en e-mailverkeer bijhoudt en analyseert, opnames van telefoongesprekken of chatberichten en tracking- of locatiegegevens van bedrijfsauto’s en apparatuur.
Dat er technisch gezien veel meer mogelijkheden zijn voor een werkgever om zijn personeel in de gaten te houden, wil nog niet zeggen dat dit juridisch ook is toegestaan. Voor een rechtmatige verwerking van persoonsgegevens is namelijk altijd een wettelijke grond vereist. Er zijn een aantal noodzakelijkheidsgronden, zoals de noodzaak tot de uitvoering van de arbeidsovereenkomst. Daarnaast is ook de toestemming van de werknemer voor een of meer specifieke doeleinden een wettelijke grond. In het algemeen is toestemming een van de belangrijkste en meest gebruikte wettelijke grondslagen voor de verwerking van persoonsgegevens. Op de werkvloer is dit echter niet het geval. Door de gezagsverhouding die bestaat tussen de werkgever en zijn personeel, kan toestemming in principe niet vrijwillig worden gegeven door de werknemer.
“Dat er technisch gezien veel meer mogelijkheden zijn voor een werkgever om zijn personeel in de gaten te houden, wil nog niet zeggen dat dit juridisch ook is toegestaan.”
De gezagsverhouding en financiële afhankelijkheid zorgen er namelijk voor dat het personeel zich nooit vrij genoeg voelt om toestemming te weigeren of in te trekken. Doordat de verwerking van persoonsgegevens dus niet op grond van toestemming gebaseerd kan worden, moeten werkgevers het over een andere boeg gooien. Het is ook van belang om niet te gemakkelijk aan te nemen dat het eigen belang, of dat van een derde, de verwerking kan rechtvaardigen. Voor deze wettelijke grondslag is een zorgvuldige belangenafweging nodig, waarbij de noodzaak en proportionaliteit van de verwerking moet worden aangetoond. Legitieme belangen hier kunnen onder andere zijn het detecteren en voorkomen van verlies van intellectueel of materieel bedrijfseigendom, verbetering van de productiviteit van werknemers of de verbetering van de bescherming van persoonsgegevens die het bedrijf verwerkt.
Privacy op het werk is een gevoelig onderwerp doordat de belangen van de werknemer en werkgever mogelijk lijnrecht tegenover elkaar staan. Als de werkgever bepaalde punten heeft vastgelegd in de arbeidsovereenkomst heeft deze een sterkere positie, maar geen onaantastbare positie. De werkgever kan niet van de werknemer verwachten dat deze op het werk nooit iets doet dat privé is. Aan de andere kant mag de werkgever natuurlijk wel een zekere mate van productiviteit verwachten. De werknemers werken in contractueel vastgelegde uren, tegenover een vergoeding en met waardevolle productiemiddelen van de werkgever. Het belang om werknemers te controleren botst dus met het individuele recht op privacy.
“Privacy op het werk is een gevoelig onderwerp doordat de belangen van de werknemer en werkgever mogelijk lijnrecht tegenover elkaar staan.”
In sommige gevallen is het duidelijk waar de grens ligt, zoals bijvoorbeeld rookpauzes en het bezoek van de wc. Maar hoe verschilt deze privacy van de e-mailcommunicatie van een werknemer? De kern zit in het feit dat een werksituatie anders is dan een privésituatie. Het belang van privacy van de werknemer is minder groot wat betreft zakelijke e-mails, omdat de verwachting is dat de inhoud sowieso over werk gaat. De werkgever moet hierbij wel heel duidelijk communiceren onder welke omstandigheden en met welke doelen inzage kan worden verkregen in communicatie op het werk. Dit kan door middel van een interne privacyverklaring of een intern privacyreglement. Dit moet op een duidelijke manier worden aangekondigd en gemakkelijk kunnen worden teruggevonden en bekeken. De informatieplicht geldt ook achteraf, een werknemer die is gemonitord of gecontroleerd moet hiervan op de hoogte worden gebracht. Daarnaast is het ook van belang dat er geen sprake is van het continu monitoren, maar dat dit steekproefsgewijs wordt gedaan.
Uit het bovenstaande blijkt duidelijk dat privacy op de werkvloer een grijs gebied zal blijven dat per situatie kan verschillen, zoals zo vaak het geval is de wereld van het recht. Als werknemer willen we natuurlijk niet de hele dag gevangen zitten in een bubbel, afgesloten van onze privézaken. Zodra we dit gevoel krijgen zit het in onze aard dat we minder creatief worden en minder inzet tonen. Het mes snijdt echter aan twee kanten, een werkgever wil natuurlijk wel inzicht hebben op wat de werknemer in zijn kostbare tijd uitvoert. We zijn allemaal goed op de hoogte van de huidige technologie en de mogelijkheden die er zijn om ons gedrag tijdens werkuren te monitoren en controleren. Is het dan te veel gevraagd om de Facebook en Instagram feed in onze vrije tijd bij te werken? Het plannen van een vakantie kan misschien ook wel wachten tot na werktijd. Als wij deze dingen een paar uren uitstellen of beperken kan de werkgever zich gewoon bezighouden met voor hem/haar relevante zaken; het veiligstellen van bedrijfsgeheimen en voorkomen dat informatie wordt doorgesluisd.
Jurriaan Puijpe