• Nieuws

Vakantie in de baas zijn tijd? Houd het gebruik van ‘gluursoftware’ binnen de perken.

01 mei 2020
IT & privacy - Arbeidsrecht - Corona (COVID-19) juridische Helpdesk

Massaal thuiswerken, massaal meegluren?

In deze crisistijd is een van de belangrijkste veranderingen het massaal thuiswerken. Vanmorgen vroeg, op de Dag van de Arbeid nota bene, verscheen enigszins verscholen in een liveblog van NOS een bericht waarin werd gemeld dat werkgevers massaal ‘spionagesoftware’ aanschaffen en installeren, om hun werknemers thuis te kunnen volgen. Een goed moment om daar een kort blog over te schrijven. Mag dat wel?

Monitoring van werknemers

Controle van werknemers is in principe niet verboden, maar er gelden wel strikte voorwaarden en de mogelijkheden zijn dan ook begrensd. Heimelijk gluren is veelal niet toegestaan. Met het monitoren van werknemers is veelal sprake van verwerking van persoonsgegevens. Hierop zijn de Algemene Verordening Gegevensbescherming (AVG) en gerelateerde privacywetgeving van toepassing. Voorts is art. 7:611 BW van belang: werkgever en werknemer zullen zich als goed werkgever resp. werknemer dienen te gedragen. Daarbij hoort dat de werkgever de persoonlijke levenssfeer van de werknemer respecteert. Hieronder geven wij een beknopt overzicht van mogelijkheden van en voorwaarden voor controle van thuiswerkende werknemers. We laten daarbij de (arbeidsrechtelijke) vraag wat er eventueel met de uitkomst zou kunnen worden gedaan daarbij even buiten beschouwing.

Gerechtvaardigd belang werkgever?

De werkgever moet een gerechtvaardigd belang hebben (lees: een legitieme reden) om werknemers te controleren middels een personeelsvolgsysteem. Dit belang moet zwaarder wegen dan het privacybelang van haar werknemers. Een van de belangrijkste vragen die daarbij moet worden gesteld is: is het op deze wijze monitoren van werknemers noodzakelijk? Zijn er andere, minder ingrijpende manieren om het betreffende doel te bereiken? Dit dient van geval tot geval te worden beoordeeld en kan nog wel eens tot een negatieve uitkomst leiden in dit kader. Zo zal in de regel wellicht kunnen worden volstaan met het (eerst) ‘anoniem’ monitoren van computergebruik. Een werkgever zal eerder een gerechtvaardigd belang kunnen hebben, indien er sterke aanwijzingen zijn dat een thuiswerkende werknemer zonder goede reden zijn of haar werk niet uitvoert. Een vervolgvraag kan dan zijn of het dan niet meer zin heeft om de werknemer om opheldering te vragen in een gesprek, of dat (heimelijke) controle in dit geval toch nodig is. Vertrouwen staat altijd voorop.

Het is ook belangrijk in acht te nemen dat inmiddels wel aanvaard is dat werknemers ook tijdens werktijd enige tijd aan privézaken moeten kunnen besteden. Even ‘Facebooken’? Moet kunnen, indien met mate. Bovendien zijn er ook geluiden dat meer pauze tijdens het thuiswerken en een kortere werkdag aanhouden juist belangrijk ofwel volstrekt normaal is.

Informatieplicht

Als deze toets (waarover hier meer is te lezen) is doorstaan, is het belangrijk werknemers te informeren over het feit dat controle plaatsvindt of kan plaatsvinden, maar ook over de regels waaraan de werknemer zich moet houden. In het kader van de AVG is het belangrijk de werknemer ook te informeren welke persoonsgegevens daarbij worden verwerkt, hoe lang deze worden bewaard, wat zijn/haar rechten zijn etc. (zie voor meer informatie ook dit blog). Dit kan bijvoorbeeld middels het personeelshandboek of een privacyverklaring voor werknemers, en is heel belangrijk in het kader van de rechtmatigheid van de controle. Heimelijke controle is – kort gezegd – alleen toegestaan als er een redelijke verdenking van bijv. diefstal of fraude bestaat en mag slechts incidenteel zijn. Wij menen dan ook dat in het algemeen het voorafgaand aan de inzet van spionagesoftware verstrekken van duidelijke informatie over de (mogelijke) controle noodzakelijk is.

Beperk de controle

De controle dient zich te beperken tot wat noodzakelijk is voor het betreffende doel. Stel van tevoren als werkgever dus goed de grenzen vast en zorg ook dat slechts een beperkt aantal bevoegde personen de uit de controle verkregen gegevens kunnen inzien. Een werkgever dient zich ook te onthouden van het bekijken van berichten (bijv. e-mail) die als privé zijn aangemerkt. Hoewel niet zaligmakend, kan het werknemers en werkgevers helpen als een werknemer in zijn/haar e-mailbox een mapje “Privé” aanmaakt. En hoe vaak is controle nu echt nodig voor het betreffende doel? Hierbij is ook het volgende van belang.

Type software relevant

Bij het doorlopen van voornoemde toets dient de werkgever in ogenschouw te nemen wat de betreffende software precies doet. Als alleen de schermtijd wordt gemeten zal de toets makkelijk worden doorstaan dan wanneer – zoals in voornoemd bericht op nos.nl werd vermeld – om de zoveel tijd screenshots worden gemaakt van de openstaande pagina’s. Daarmee bestaat ook een veel grotere kans dat (meer) persoonsgegevens worden verwerkt c.q. privéinformatie wordt verzameld. Het is sterk de vraag of dat niet een te vergaande inbreuk maakt op de privacy van werknemers. Het nieuwsbericht noemt ook het maken van foto’s van de werknemer, dat lijkt ons in ieder geval een brug te ver.

Afspraken softwareleverancier
Uiteraard moeten ook goede afspraken met de softwareleverancier worden gemaakt: veelal zal een verwerkersovereenkomst nodig zijn. Let ook op het privacybeleid van de leverancier en houd daarbij ook in het oog dat potentieel klantgegevens/gevoelige gegevens ook worden verwerkt door de spionagesoftware te gebruiken. Het kan dan ook zijn dat uw externe privacybeleid ook moet worden aangescherpt.

Toestemming?

Kan een werkgever niet gewoon om toestemming vragen in deze crisistijd? Nee, om gegevens te verwerken op grond van toestemming moet deze vrijelijk worden gegeven. We hebben er van de week al wat meer over geschreven, maar kort gezegd wordt aangenomen dat van ‘vrijelijke toestemming’ in een arbeidsrelatie geen sprake kan zijn.

DPIA en OR

Afhankelijk van de mate van controle zal een Data Protection Impact Assessment (DPIA) moeten worden verricht, voordat de werkgever de software mag inzetten. Dat is ook relevant voor de verantwoordingsplicht onder de AVG; in welk kader wij hoe dan ook adviseren voornoemde toets te verslaan en het verslag te bewaren. Verder zal een ondernemer eerst instemming moeten vragen aan de ondernemingsraad voordat hij ‘gluursoftware’ of een vergelijkbaar controlesysteem (personeelsvolgsysteem) introduceert, maar ook als er een thuiswerkprotocol wordt ingesteld of aangepast.

Conclusie

Controleren mag veelal, maar binnen bepaalde grenzen en onder strikte voorwaarden. Wij adviseren voordat u als werkgever software aanschaft, voornoemd assessment toe te passen en deze analyse goed te documenteren. Zoals gezegd zou het veelal voldoende moeten zijn om ‘anoniem’ gegevens te verzamelen en pas bij een vermoeden van gedrag in strijd met het thuiswerkprotocol meer vergaand onderzoek te verrichten. De wens meer te controleren in deze crisissituatie is begrijpelijk, maar houd het gebruik van ‘gluursoftware’ in ieder geval binnen de perken. Als u deze software – met inachtneming van het voornoemde – gebruikt, pas dan ook uw privacybeleid aan waar nodig en stuur dit, inclusief de thuiswerkprotocollen nog eens naar de werknemers.

Vragen?

Hulp nodig? Ons team met privacy- en arbeidsrechtspecialisten assisteert hierbij graag. Neem contact met ons op via de in de zijlijn vermelde gegevens of via privacy@ploum.nl.

Meer informatie

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel