28 januari: Europese Dag van de Privacy

Vandaag viert de hele Europese Unie “Data Protection Day”. Op 28 januari 1981 werd Convention 108 van de Raad van Europa ondertekend: het Europese verdrag ter bescherming van persoonsgegevens van burgers. Dit verdrag legde de basis voor de Europese privacybescherming, uiteindelijk resulterend in de AVG. De Europese privacybescherming is inmiddels uitgegroeid tot een wereldwijde standaard voor dataprotectie. Deze dag is een mooi moment om u bij te praten over privacy-ontwikkelingen in HR-verband.

(1) Alcohol- drugs testen bij werknemers

Al vóór de invoering van de AVG hielden we ons in het arbeidsrecht bezig met de vraag of alcohol- en drugstesten bij werknemers in strijd zijn met privacyrecht. Na invoering van de AVG kwam de Autoriteit Persoonsgegevens (AP) in maart 2019 met een publicatie[1] waarin stond dat het afnemen van alcohol- en drugstesten op de werkvloer in het algemeen verboden zijn. Volgens de AP zijn de uitslagen van dergelijke testen immers gezondheidsgegevens, ofwel ‘bijzondere persoonsgegevens’, waarvan de verwerking in beginsel verboden is tenzij er sprake is van een wettelijke uitzondering. Alle gevallen waarin het uitvoeren van een alcohol- of drugstest zijn toegestaan, staan genoemd in de wet (bijvoorbeeld voor piloten, schippers of treinmachinisten). Valt de werknemer niet onder een expliciete wettelijke uitzondering, dan is het volgens de AP niet toegestaan om werknemers te testen. Sterker nog: zelfs het opstellen en het hebben van beleid rondom alcohol en drugs, waarin testen is opgenomen, zou strijd met het privacyrecht opleveren.

Arbeidsrechtelijke praktijk

Dit stuitte op veel verzet aan werkgeverskant, vooral bij bedrijven waarin werken onder invloed van alcohol of drugs grote risico’s met zich mee brengt voor de veiligheid op de werkvloer (bijvoorbeeld fabrieken, brouwerijen en ziekenhuizen). Het arbeidsrecht legt expliciet een zorgplicht op aan de werkgever en daar hoort volgens werkgevers ook bij dat er een beleid omtrent alcohol- en drugs bestaat.

Ook in de rechtspraak zagen we een lijn die maar moeilijk rijmt met de publicatie van de AP: we zien in ontslagzaken dat het opleggen van disciplinaire maatregelen in het kader van alcohol- en drugsgebruik in beginsel alleen mogelijk is als er een duidelijk beleid bestaat rondom alcohol- en drugs.

Kamerbrief 16 januari 2020: alcohol- en drugstesten op de werkvloer

Op 16 januari jl. heeft de staatssecretaris van SZW een kamerbrief[2] ingediend waarin zij aankondigt wetgeving te willen invoeren die het mogelijk maakt om werknemers in bepaalde risicovolle sectoren te testen op alcohol en drugs. In eerste instantie zal wetgeving moeten worden gecreëerd voor bedrijven die onder het Besluit risico zware ongevallen[3] vallen (dit zijn met name chemiebedrijven). Verder zal worden onderzocht of ook voor andere sectoren waarin grote veiligheidsrisico’s bestaan, soortgelijke wetgeving kan worden ingevoerd, bijvoorbeeld in de bouw. Het is dus nog even afwachten wat er gaat gebeuren, maar we zien dus wel dat de wetgever mogelijk gaat zorgen voor een verruiming van de mogelijkheden om te werken met alcohol- en drugstesten. We houden u via onze website op de hoogte van de ontwikkelingen.

(2) Manfield op de vingers getikt voor gebruik vingerafdruk

De Rechtbank Amsterdam wees in augustus 2019 een interessante uitspraak[4] over het gebruik van een vingerscan om het kassasysteem te ontgrendelen bij schoenenwinkel Manfield. Voorheen werkte Manfield met cijfercodes maar zij introduceerde een nieuw kassasysteem met vingerscanauthorisatie voor werknemers om fraude in de winkel te voorkomen. Een werkneemster weigerde haar vingerafdruk af te staan omdat dit volgens haar een inbreuk was op haar privacyrechten. Manfield en de werkneemster hebben vervolgens een gezamenlijk verzoek bij de rechtbank ingediend om antwoord te krijgen op de vraag of de werkneemster op goede gronden weigerde haar vingerafdruk voor het kassasysteem af te staan.

Allereerst stelt de rechter vast dat een vingerscan een bijzonder persoonsgegeven is, een zogeheten biometrisch gegeven (naast een vingerafdruk kun je denken aan bijvoorbeeld een irisscan of een gezichtsafbeelding). In de AVG[5] wordt bij de definitie van biometrische gegevens immers het concrete voorbeeld van een vingerafdruk genoemd. Uitgangspunt is dat biometrische gegevens bijzondere persoonsgegevens zijn en niet verwerkt mogen worden, tenzij een wettelijke uitzondering van toepassing is.

Een tweede uitzondering op het verwerkingsverbod kan een reden van ‘zwaarwegend algemeen belang’ zijn. In de UAVG[6] (dat is de Nederlandse wet die een aantal zaken uit de AVG nader regelt, waaronder de biometrische gegevens) is deze uitzonderingsgrond nader ingevuld, door verwerking toe te staan als verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Dit kan het geval zijn wanneer een gebouw of informatiesysteem zó goed beveiligd moet zijn, dat dit niet anders kan door biometrie te gebruiken (bijvoorbeeld toegang tot een kerncentrale).

Fraudepreventie (het argument van Manfield) als grondslag voor de vingerscan is volgens de rechter niet ‘noodzakelijk’, zoals de wetgever dat bedoelde. Alternatieven zoals cijfercodes, een toegangspas of een combinatie van deze methoden waren door Manfield onvoldoende onderzocht. Werken met biometrische gegevens is dus wel mogelijk, maar moet wel aan die strenge eis van ‘noodzakelijkheid’ voldoen. Steeds moet de werkgever zich de vraag stellen: is er een andere, minder vergaande methode mogelijk om mijn doel te bereiken?

(3) Definitieve DPIA-lijst beschikbaar

De AP heeft in november 2019 een definitieve lijst gepubliceerd[7] van soorten verwerkingen van persoonsgegevens waarvoor een ‘data protection impact assessment (DPIA)’ vereist is (ter herinnering: een DPIA is een middel om vooraf privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen en om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen). Het is verplicht als van tevoren al duidelijk is dat een bepaalde gewenste vorm van persoonsgegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen (zoals werknemers).

Interessant voor de HR-praktijk: op de lijst staat bijvoorbeeld dat voor het verrichten van heimelijk cameratoezicht bij werknemers, steeds een DPIA verplicht is. Ook voor het opstellen van zwarte lijsten, bijvoorbeeld die gaan over onrechtmatig gedrag van werknemers in de zorg, moet een DPIA worden uitgevoerd. Een ander bekend voorbeeld is stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te controleren, zoals controle van e-mail en internetgebrek en GPS-systemen in bestelbusjes van werknemers. Wilt u een DPIA uitvoeren voor een toekomstige verwerking en heeft u hulp daarbij nodig? Neem dan contact op met ons privacy team.

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/testen-op-alcohol-drugs-geneesmiddelen-tijdens-werktijd-alleen-met-wettelijke-regeling[2] https://www.rijksoverheid.nl/documenten/kamerstukken/2020/01/16/kamerbrief-alcohol-en-drugstesten-op-de-werkvloer[3] https://wetten.overheid.nl/BWBR0036791/2015-07-08[4] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005[5] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf[6] https://wetten.overheid.nl/BWBR0040940/2020-01-01[7] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf