Tomesen constateert dat privacy steeds meer in het bewustzijn van mensen zit. Dat heeft ook te maken met de grote commerciële bedrijven als Google en Facebook waar veel mensen gebruik van maken en die massaal gegevens verzamelen. “Er is ook technisch nu zoveel mogelijk geworden – neem alleen al de opkomst van big data – dat er geen ontkomen meer aan is. Wij volgen deze ontwikkelingen op de voet. De Autoriteit Persoonsgegevens zet erop in om krachtig toezicht te houden op die enorme gegevensstromen.”

Voordat Tomesen ingaat op het spanningsveld tussen het verzamelen van data en de privacy van werknemers benadrukt hij dat de Autoriteit Persoonsgegevens het van belang vindt dat organisaties, bedrijven of overheden die persoonsgegevens gaan verzamelen en verwerken dit op directieniveau bespreken. Tomesen: “Privacy zou ‘Chefsache’ moeten zijn. Daarbij moeten werkgevers zich realiseren wat de privacy-uitgangspunten zijn en op welke fundamentele vragen ze een antwoord moeten hebben.”

Een van die uitgangspunten is dat bescherming van je persoonlijke levenssfeer een grondrecht is, dat zowel in de Grondwet (artikel 10) als in het Europees Verdrag voor de Rechten van de Mens (artikel 8) is opgenomen. “Dat betekent ten eerste dat datgene wat je van een ander vraagt nodig is voor het doel waarvoor je de gegevens verzamelt en dat je dat doel niet op ook een andere, minder ingrijpende, manier kan bereiken. Ten tweede betekent het dat je niet méér persoonsgegevens moet verzamelen dan je nodig hebt. En ten derde is van belang dat je de gegevens niet langer bewaart dan nodig.”

Wearables die data registreren

Een ander punt van belang waar je je als werkgever goed van bewust moet zijn is dat een arbeidsrelatie geen gelijkwaardige relatie is. In die relatie is het omgaan met persoonsgegevens en privacy complex; het moet nog zorgvuldiger gebeuren dan in andere relaties. “Je bent namelijk als werknemer financieel afhankelijk van je werkgever en dus is het de vraag in hoeverre je je vrij voelt om in bepaalde situaties nee te zeggen."

Een mooi voorbeeld uit praktijk is een onderzoek van de Autoriteit naar werkgevers die hun werknemers een armband cadeau hadden gedaan, waarmee de werkgever inzicht kreeg in de hoeveelheid beweging van de werknemers. Tomesen: "Een van de werkgevers had ook inzicht in het slaappatroon. Dit is in strijd met de Wet bescherming persoonsgegevens, Wbp. Gegevens over de hoeveelheid beweging en gegevens over slaappatronen zijn gevoelige persoonsgegevens die iets zeggen over de gezondheid. Voor deze bijzondere persoonsgegevens gelden strenge wettelijk eisen. Werkgevers mogen deze gegevens niet verwerken. Een werkgever mag zo’n armband natuurlijk wel cadeau geven, maar het is niet de bedoeling om vervolgens gegevens over de gezondheid van werknemers in te zien. Ook niet als een medewerker hier toestemming voor geeft Die werknemer zal namelijk niet veel vrijheid voelen om nee te zeggen. Hierdoor is het verwerken van gezondheidsgegevens met toestemming van de werknemer dan ook niet mogelijk."

Camera's inzetten

Eigenlijk zijn de grenzen wat betreft het verzamelen en verwerken van persoonsgegevens in een arbeidsrelatie eenvoudig, vindt Tomesen. “Een organisatie mag wat moet. Bijvoorbeeld omdat een specifieke wet dat voorschrijft of omdat het in redelijkheid nodig is voor de bedrijfseconomische belangen. Zo heeft een werkgever een identiteitsbewijs van een medewerker nodig voor de belasting en een bankrekeningnummer voor de salarisadministratie. Die redenering geldt echter niet voor wearables.”

Soms hangt het er ook vanaf waarvoor een middel wordt ingezet. “Een winkel heeft een gerechtvaardigd belang om de spullen en het personeel in de winkel met camera’s te beveiligen. Maar je mag die camera’s bijvoorbeeld niet inzetten om je personeel te volgen en continu hun werkhouding te beoordelen. Zo mag een vrachtwagenbedrijf best middelen inzetten om te weten waar zijn wagenpark zich bevindt, maar niet om individuele chauffeurs 24 uur per dag in de gaten te houden en ze daarop aan te spreken.”

Bij controle van personeel moeten werkgevers dus rekening houden met de privacy van de werknemers. Werkgevers mogen daarom hun personeel niet zomaar de hele dag volgen. De werkgever moet zich houden aan de Wbp. Dat houdt onder meer in dat de werkgever een goede reden moet hebben voor de controle en hij mag hetzelfde doel niet ook kunnen bereiken met middelen die minder ingrijpend zijn voor de privacy van de werknemers. Ook moeten er vooraf goede afspraken over zijn gemaakt, zodat werknemers weten aan welke regels zij zich moeten houden. Op de site van de Autoriteit Persoonsgegevens staan talloze praktijkvoorbeelden, Q&A’s, en onderzoeken.

Bezettingsgraad meten

In een bedrijf moet de directeur die persoonsgegevens van zijn medewerkers wil verzamelen en verwerken, zich altijd bewust zijn van het dilemma daarbij tussen zijn bedrijfsbelang en de persoonlijke levenssfeer van mensen. “Daarin moet hij permanent een balans zoeken. Ik ben er ook van overtuigd dat een bedrijf dat zijn mensen vertrouwt, in hun waarde laat en niet meer dan nodig controleert, er uiteindelijk garen bij spint. En omgekeerd: dat personeel wegloopt bij een bedrijf dat alles wil controleren.”

In het verlengde van de directie moeten ook Facility en HR zich van dit dilemma bewust zijn. Aan HR en Facility vervolgens de taak om het verhaal goed uit te leggen. Tomesen: “Neem de mobiele telefoon, die een werknemer van de zaak krijgt. HR en Facility moeten zeggen: dit is de ruimte die je krijgt, we houden het gebruik op een bepaalde manier in de gaten en als je buiten de afgesproken ruimte gaat kan het zijn dat we dat gaan controleren en zullen we je de uitkomsten laten weten. Je informeert dus vooraf en legt de bedrijfseconomische noodzaak en het doel uit. In feite draait het dan niet om controle, maar om afspraken die je met elkaar maakt. Met die afspraken geeft je als bedrijf ook een behoorlijke mate van vertrouwen aan de werknemer.”

Facility kan ook persoonsgegevens op metaniveau verzamelen, bijvoorbeeld om de bezettingsgraad van een gebouw te meten. Tomesen ziet daar geen probleem in, mits dit geanonimiseerd gebeurt en op geen enkele manier meer te herleiden is naar de persoon. “Een organisatie moet weten hoeveel mensen er op een bepaald tijdstip zijn, niet welke mensen dat zijn.” 

Social media monitoren

Een bedrijf mag uit oogpunt van reputatiebescherming ook af en toe monitoren wat er op sociale media over de organisatie wordt gezegd door op de naam van de organisatie te zoeken. Het stelselmatig volgen van privé-accounts van werknemers over niet-bedrijfsgerelateerde zaken is echter niet geoorloofd. “Bij een ernstige verdenking van een strafbare zaak is het toegestaan om de werknemer te controleren. Maar ook daar moet de organisatie rekening houden met de eisen van de Wbp. Zo moet HR voorafgaand een onderzoek aanvragen bij de Autoriteit Persoonsgegevens. Ook moet HR achteraf de werknemer op de hoogte brengen.”

Uiteindelijk draait bij het verzamelen en verwerken van persoonsgegevens in een arbeidsrelatie alles om balans, aldus Tomesen. “Wat mag een werkgever wel en niet weten over een werknemer als hij ziek is, wat mag hij aan hem vragen als hij ziek is, wat mag je van een werknemer vragen als je hem een zakelijke telefoon geeft, etc. Het antwoord is steeds contextafhankelijk, maar het basisprincipe ‘ga uit van de persoonlijke levenssfeer van de werknemer’ blijft overeind.” 

Let op

Bescherming van de persoonlijke levenssfeer is een grondrecht en is opgenomen in:
1. Grondwet (artikel 10)
2. Europees Verdrag voor de Rechten van de Mens (artikel 8)
Daarom geldt:
1. Alleen toegestaan als informatie niet op andere manier verkregen kan worden.
2. Niet meer opnemen dan nodig.
3. Niet langer bewaren dan nodig.