Toestemming van de werknemer voor de verwerking van persoonsgegevens: hoe zit het ook alweer?

Iedere werkgever verwerkt persoonsgegevens. Denk aan de salarisadministratie, gegevens over de re-integratie van een zieke werknemer of gegevens voor toezicht op en controle van het personeel. Volgens de Wet Bescherming Persoonsgegevens dient iedere verwerking van persoonsgegevens gebaseerd te zijn op een van de gronden die in de wet worden genoemd. Eén van deze gronden is artikel 8 sub a Wbp: “de toestemming”. Maar is dit wel een geschikte grondslag voor een gegevensverwerking in de arbeidsrelatie?

Toestemming

Vereiste voor toestemming is dat de werknemer de toestemming “vrijelijk, specifiek, geïnformeerd en ondubbelzinnig” moet hebben gegeven voor de verwerking van zijn gegevens. Daarbij dient elke twijfel te zijn uitgesloten over de vraag of er daadwerkelijk toestemming is gegeven. In de arbeidsrelatie kan toestemming van de werknemer echter problematisch zijn, nu de werknemer onder gezag staat van de werkgever. De werknemer is immers afhankelijk van zijn werkgever voor zijn inkomen en levensonderhoud. Hierdoor kan hij zich onder druk gezet voelen om toch akkoord te gaan met een verwerking, zodat hij geen “vrijelijke” toestemming heeft gegeven. Een werkgever kan dus –waar mogelijk- beter een andere grond uit de Wbp kiezen. Dat geldt ook omdat de werknemer de eventueel gegeven toestemming te allen tijde weer mag intrekken, waardoor de verwerking van gegevens alsnog niet rechtmatig kan zijn. Ander mogelijke gronden voor verwerking kunnen zijn artikel 8 sub b (noodzakelijk voor de uitvoering van de arbeidsovereenkomst), artikel 8 sub c (noodzakelijk voor de nakoming van een wettelijke verplichting) of artikel 8 sub f (noodzakelijk voor de behartiging van het gerechtvaardigd belang van de werkgever of een derde, tenzij het belang van de werknemer prevaleert) Wbp.

Medische gegevens

Ook voor de verwerking van medische gegevens geldt dat de werknemer hier niet zijn vrijelijke toestemming voor kan geven. Ook dan dient een andere grondslag te worden gekozen. Toch is een dergelijke toestemming soms wettelijk vereist. Dit is bijvoorbeeld het geval wanneer de bedrijfsarts medische gegevens opvraagt bij de behandelend arts, om beter te kunnen adviseren over de re-integratie van de werknemer. De werknemer dient hiervoor toestemming te geven aan zijn behandelend arts door middel van het ondertekenen van een machtigingsformulier. Als een werkgever echter in zijn verzuimreglement opneemt dat de werknemer verplicht is om dit formulier te ondertekenen op straffe van een loonstop of loonopschorting, is ook hier geen sprake van in vrijheid gegeven toestemming. De werknemer ondervindt dan immers nadelige gevolgen als hij de toestemming weigert en zal zich onder druk gezet voelen om toch te tekenen. Het is voor werkgevers dus aan te raden om de werknemer niet te verplichten om zijn toestemming te geven voor een gegevensuitwisseling tussen de bedrijfsarts en de behandelend arts.

Algemene Verordening Gegevensbescherming

In mei 2018 wordt de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit is een Europese verordening die direct doorwerkt in de Nederlandse rechtsorde. Wij schreven eerder een artikel “Nieuwe privacywetgeving, van ‘tell me’ naar ‘show me’ en de Data Protection Officer” over de nieuwe verplichtingen en de hogere boetes die onder deze verordening gaan gelden. De gronden voor de verwerking veranderen echter niet, hoewel de vereisten die aan toestemming worden gesteld (nog) strenger worden. De AVG voorziet wel in de mogelijkheid om nationale regels te stellen voor bijvoorbeeld de eisen die voor toestemming gelden in de relatie tussen werknemers en werkgever. De Nederlandse wetgever heeft in het conceptvoorstel voor de Uitvoeringswet AVG echter de mogelijkheid om deze regels te stellen, onbenut gelaten. Dat lijkt een (vooralsnog) gemiste kans om de praktijk meer handvatten te geven voor onder meer de verwerking van medische gegevens van werknemers, bijvoorbeeld bij de verstrekking van wearables door de werkgever (zie ook www.ploum.nl/wearables-daar-als-werkgever-iets-mee).

Conclusie

In de arbeidsrelatie zal een werknemer zich snel onder druk gezet voelen om toestemming te geven voor het verwerken van zijn persoonsgegevens. Hierdoor kan er geen sprake zijn van echt vrije, ondubbelzinnige toestemming. Onder de AVG verandert dit niet, maar kunnen er wel hoge boetes worden opgelegd bij niet-naleving. Werkgevers doen er dus goed aan om zoveel mogelijk andere grondslagen te kiezen voor de gegevensverwerking van hun werknemers. Is de werknemer wettelijk verplicht om zijn toestemming te geven, dan dient een werkgever er zoveel mogelijk aan te doen om te zorgen dat de werknemer geen negatieve gevolgen ondervindt van een weigering om zijn toestemming te geven. Dit artikel is mede geschreven door Michelle Westhoeve.