Privacy-perikelen rondom thuiswerken
Risico op vervagen grens tussen werk en privé.
In veel organisaties is thuiswerken, dat vooral gedurende de corona-pandemie een opmars kende, een bekend begrip. Niet zelden wordt aan medewerkers de mogelijkheid geboden om volledig thuis te werken, dan wel gedeeltelijk, welke variant ook wel wordt aangeduid als ‘hybride’.
In het fenomeen van thuiswerken schuilt het risico dat de grens tussen werk en privé (nog) vager wordt. De software die door werkgevers ter beschikking worden gesteld op de werkplek zal in de meeste gevallen, zodra deze software thuis beschikbaar is, aan medewerkers hetzelfde niveau van toegang geven tot het systeem als zij op het werk hebben.
In het voorgaande schuilt het risico van (al dan niet onbedoelde) ongeoorloofde toegang door anderen dan de medewerker tot onder meer persoonsgegevens (datalek). In de praktijk zullen werkgevers dit risico zoveel mogelijk proberen te beperken door gebruikmaking van bepaalde software of technologieën waarmee het gebruik wordt gecontroleerd en geregistreerd.
Gebruikmaking van bepaalde technologieën kan daarnaast voortvloeien uit de mogelijke behoefte om een zekere mate van controle uit te oefenen op de thuiswerkende medewerker; en meer specifiek de vraag of hij/zij daadwerkelijk (ook) thuis aan zijn verplichtingen voldoet (bijvoorbeeld om arbeid te verrichten of naleving van de verplichtingen op grond van de Ambtenarenwet 2017). Indien deze noodzaak of behoefte tot controle tot gevolg heeft dat bijvoorbeeld het gebruik van bepaalde applicaties (en hoe lang ze zijn gebruikt) wordt geregistreerd, kan het zomaar zijn dat de privacy van werknemers in het geding komt.
Bij gebruikmaking van technologieën waarbij (indirect) controle plaatsvindt van werknemers, zal doorgaans sprake zijn van een verwerking van persoonsgegevens in de zin van de AVG, aan welke verwerking door de AVG eisen worden gesteld. Zo zal er een wettelijke grondslag moeten zijn voor de gebruikmaking van dergelijke technologieën. Op grond van de AVG mogen persoonsgegevens worden verwerkt indien er – kort gezegd – sprake is van een gerechtvaardigd belang bij de verwerking dat zwaarder weegt dan het privacybelang van de werknemer. Een gerechtvaardigd belang kan bijvoorbeeld worden gevonden in het voorkomen van het naar buiten brengen van bedrijfsvertrouwelijke informatie en het beschermen van gegevens van anderen (zoals burgers).
Ook moet de verwerking evenredig zijn en niet verder gaan dan noodzakelijk. Software die bijvoorbeeld het aantal toetsaanslagen en de muisbewegingen van een werknemer registreert, zal doorgaans onevenredig zijn en in strijd zijn met de AVG. Telkens zal moeten worden nagegaan of het belang dat wordt nagestreefd met de verwerking niet op een minder ingrijpende manier kan worden bereikt. Naast de eisen die aan de verwerking van gegevens zelf worden gesteld, vloeit uit de wetgeving ook voort dat de werknemer vooraf moet worden geïnformeerd over het gegeven dat er gecontroleerd kan worden. Bij het verstrekken van die informatie zou het om meerdere redenen ook goed zijn om onder de aandacht te brengen dat (juist bij thuiswerken) zorgvuldig moet worden omgegaan met gevoelige informatie.
Conclusie
De werkgever die thuiswerken faciliteert of toestaat, dient met de privacyregels rekening te houden, juist nu met thuiswerken de grens tussen zakelijk en privé meer diffuus wordt. Niet alleen bij het opstellen van het thuiswerkbeleid dient aandacht te worden geschonken aan de privacyaspecten, maar ook bij de keuze vooren bij de gebruikmaking van bepaalde software. Het niet in acht nemen van de privacyregels kan ook arbeidsrechtelijk gezien verstrekkende gevolgen hebben.
Heeft u vragen?
In één dagdeel op de hoogte van de privacyvraagstukken voor de HR-praktijk? Informeer dan naar onze mogelijkheden voor een incompany-cursus over dit onderwerp. Voor overige vragen kunt u contact opnemen met Sanne Dassen of een van de andere advocaten van Capra.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.