Vraag
Het blijkt dat er met regelmaat geld wordt gestolen bij een van onze cliënten. De familie verdenkt een van de verzorgenden hiervan. Er gaan ook geruchten dat een van onze medewerkers de cliënten slaat. We willen graag ingrijpen, maar er is geen bewijs. Mogen wij verborgen camera’s ophangen, de mailbox doorzoeken en monitoringssoftware gebruiken om onze werknemers te controleren? Hoe ver mag je gaan en hoe verdraagt monitoring van werknemers zich met de privacyrechten?
Antwoord
Uit recent onderzoek door CNV onder 1200 thuiswerkers blijkt dat werkgevers bij 13 procent van de thuiswerkers met software monitort of zij wel aan het werk zijn. Het controleren van werknemers is niet verboden, maar als werkgever moet je wel rekening houden met de privacy van de werknemers.
Heimelijke controlemaatregelen kun je in beginsel slechts toestaan als je een serieus vermoeden van onrechtmatig gedrag. Dat kan alleen als de controle in tijd en waarneming beperkt is en je het bewijs van de onrechtmatigheden niet op minder ingrijpende wijze kan verkrijgen.
De voorwaarden voor een rechtsgeldige controle staan onder andere in de Algemene Verordening Gegevensbescherming (AVG), de uitvoeringswet daarvan (de UAVG), het recht op eerbiediging van de persoonlijke levenssfeer (art. 10 Grondwet, art. 6 EVRM) en het goed werkgeverschap (art. 7:611 BW).
De rechtspraak
De rechtspraak is altijd even niet eenduidig met betrekking tot het al dan niet toelaten van bewijs dat in strijd met de privacywetgeving is verkregen. Er zijn voorbeelden waar het bewijs werd toegelaten, maar er zijn ook voorbeelden waar de rechter het onrechtmatig verkregen bewijs buiten beschouwing liet.
Een schending kan echter wel in het kader van goed werkgeverschap (art. 7:611 BW) meewegen bij de beoordeling van de aan de werknemer opgelegde sanctie. Ook kan een werknemer een werkgever die in strijd met de AVG zijn persoonsgegevens heeft verwerkt mogelijk met succes aansprakelijk stellen op grond van art. 7:611 BW.
Ik licht er twee recente voorbeelden uit.
- Lezen e-mails
De kantonrechter te Amsterdam oordeelde op 14 juli 2020 (ECLI:NL:RBAMS:2020:3452) dat een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer in beginsel onrechtmatig is, tenzij er sprake is van een rechtvaardigingsgrond. Het was echter niet gebleken dat de werkgever een gegronde reden had om de e-mails zonder toestemming van de werknemer te onderzoeken. Er was dus geen rechtvaardigingsgrond. De rechter wees € 10.000,– aan de werknemer toe vanwege de grove privacyschending. - Controleren telefoon
Op 5 maart 2021 oordeelde de Amsterdamse kantonrechter (ECLI:NL:RBAMS:2021:1087) anders. In dit geval was er volgens de kantonrechter voldoende aanleiding voor de werkgever om de zakelijke telefoon van de CEO te controleren vanwege een concreet vermoeden op concurrerende zijdelingse activiteiten of zaken. Er was hierom geen sprake van ‘onrechtmatig verkregen bewijs’ en het bedrijf mocht de CEO daarom op staande voet ontslaan.
Welke voorwaarden gelden er?
Om ervoor te zorgen dat een controle de toets van de rechter zal doorstaan, is het in ieder geval van belang om als werkgever opvolging te geven aan de volgende zeven punten.
Voorwaarde 1 – Gerechtvaardigd belang
Je moet als werkgever een gerechtvaardigd belang hebben voor de controle. Bijvoorbeeld: er is cameratoezicht om diefstal tegen te gaan of om je werknemers en bezoekers te beschermen.
Voorwaarde 2 – Noodzaak
Deze wijze van controle moet noodzakelijk zijn. Het doel is niet op een andere manier te bereiken. Je moet daarvoor kunnen motiveren dat je een andere maatregel, die minder ingrijpend is voor de privacy, niet in kan zetten. Ook mag de maatregel niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.
Voorwaarde 3 – Privacytoets
Je moet de belangen en rechten van de werknemers en/of cliënten en/of bezoekers afwegen tegen het bedrijfsbelang.
Voorwaarde 4 – De ondernemingsraad (OR)
In sommige gevallen, als er sprake is van een continue maatregel zoals cameratoezicht, moet je dit vooraf ter instemming voorleggen aan de OR.
Voorwaarde 5 – DPIA
Als je grootschalige en/of systematische controlemaatregelen structureel en langdurig wilt instellen, moet je vooraf een Data Protection Impact Assessment (DPIA) uitvoeren. Hierbij breng je vooraf de privacyrisico’s van een gegevensverwerking in kaart:
- welke gegevensverwerking er wordt uitgevoerd;
- de doeleinden hiervan;
- welk gerechtvaardigd geldt als grondslag voor de verwerking;
- de beoordeling of de verwerking noodzakelijk is;
- of de belangen opwegen tegen de inbreuk op de privacy;
- een beoordeling van de risico’s voor de betrokkenen;
- de beoogde maatregelen om die risico’s in te perken.
Bij heimelijke controlemaatregelen, ook als dat incidenteel is, moet de werkgever altijd een DPIA uitvoeren.
Voorwaarde 6 – Rechten werknemers, cliënten en bezoekers
De betrokkenen hebben de volgende rechten:
- Het recht om te weten dat er controlemaatregelen gelden en voor welk doel. In het geval van cameratoezicht kan dat bijvoorbeeld door bordjes op te hangen.
- het recht om de verwerkte gegevens (bijvoorbeeld de camerabeelden) in te zien;
- het recht om vergeten te worden;
- het recht op beperking van de verwerking;
- het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.
Voorwaarde 7 – Bewaartermijn gegevens
De persoonsgegevens mag je niet langer bewaren dan noodzakelijk is. De richtlijn is maximaal vier weken. Maar als er een incident is vastgelegd, zoals bijvoorbeeld mishandeling, dan mag je de betreffende beelden bewaren totdat het incident is afgehandeld.