De AVG: hoe heet wordt de soep gegeten?

Publicatie in ArbeidsRecht 2019/24

De inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) werd door veel bedrijven en instellingen in de aanloop naar 25 mei 2018 steeds paniekeriger tegemoet gezien. Bij de implementatie van de AVG stuitten werkgevers op diverse problemen en vraagstukken. Wij zullen in dit artikel enkele in het oog springende voorbeelden benoemen. Ook is het interessant, nu het stof rondom de AVG aan het neerdalen is, om te zien welke boetes de Europese privacywaakhonden sinds 25 mei 2018 hebben uitgedeeld. En zijn er daarnaast in de rechtspraak noemenswaardige uitspraken rondom het onderwerp AVG gedaan? Deze en andere vragen worden hieronder beantwoord, steeds vanuit arbeidsrechtpraktijk perspectief.

Handhaving sinds 25 mei 2018
Een van de belangrijkste redenen waarom bedrijven en instellingen zoveel energie hebben gestoken in AVG-compliance is ongetwijfeld gelegen in de extreem hoge boetes die de AVG kent. Het merendeel van de AVG-inbreuken kan worden bestraft met een boete van maximaal 20 miljoen euro of, als de overtreder een onderneming is, maximaal 4% van de totale wereldwijde jaaromzet van het vorige boekjaar, indien deze hoger is. De AVG schrijft voor dat deze boetes ‘effectief, evenredig en afschrikkend’ moeten zijn. Bij het beoordelen van de vraag of een boete moet worden opgelegd en bij het bepalen van het bedrag, moeten de toezichthouders rekening houden met in de AVG opgesomde (verzachtende of verzwarende) omstandigheden zoals de aard, de ernst en de duur van de inbreuk, het opzettelijke of nalatige karakter ervan, het soort persoonsgegevens (al dan niet gevoelig), eerdere inbreuken door het bedrijf, de mate van samenwerking met de Autoriteit Persoonsgegevens (AP) enzovoort.[1]

Vóór de inwerkingtreding van de AVG hadden alle Europese landen weliswaar reeds een gegevensbeschermingsautoriteit, maar er waren nog maar weinig landen waar deze autoriteit ook daadwerkelijk boetes kon opleggen voor overtreding van de toenmalige privacyregels. Dit leidde tot substantiële verschillen in nalevingsniveaus tussen de verschillende EU-landen. Sinds de AVG hebben alle EU landen dezelfde onderzoeks- en sanctiemogelijkheden. Maar is het nu zo dat in de EU sinds de AVG het aantal boetes en de hoogte ervan inderdaad sterk is gestegen zoals werd gevreesd?

In Nederland is dat nog niet het geval. De AP heeft voorafgaand aan en sinds de inwerkingtreding van de AVG vooral de tijd genomen om het publiek te informeren over de gevolgen van de AVG door de website bij te werken en een separate site te openen (www.hulpbijprivacy.nl). De AVG verplicht de autoriteiten overigens ook tot deze voorlichting.[2] Op een enkele beslissing van de AP na zijn er tot op heden geen boetes gepubliceerd. De AP kondigde wel al kort na 25 mei 2018 een controle op naleving van eenvoudig controleerbare verplichtingen aan, zoals de plicht tot het instellen van een functionaris gegevensbescherming (fg) en er werd steekproefsgewijs toezicht gehouden op naleving van de registerplicht e.d. Oftewel, de AP startte eerst en vooral met voorlichting en met eenvoudig op naleving controleerbare verplichtingen als het benoemen van een fg of het bijhouden van een verwerkingsregister. Lastiger kwesties, zoals bijvoorbeeld de inhoudelijke beoordeling van de vraag of aan de introductie van een bepaalde technologie een dpia (data privacy impact assessment) vooraf had moeten worden gegaan, zijn voorlopig naar de toekomst toe geschoven.

Ook in veel andere EU-landen loopt het (nog) niet storm met oplegging van boetes[3] en zijn er meerdere privacy autoriteiten die eerst en vooral met voorlichting bezig zijn geweest. En voor zover er al boetes werden uitgedeeld, vielen de bedragen erg mee afgezet tegen het maximum. Zo legde de Oostenrijkse autoriteit een boete op – voor zover bekend de eerste boete onder de AVG – van € 4.800 voor ontoelaatbaar cameratoezicht door een werkgever. In Frankrijk werd een werkgever beboet die een biometrisch systeem gebruikte om de werktijd van werknemers te controleren. Verzuim om hen daarover te informeren leverde een boete op van € 30.000. In Duitsland werd een boete van € 20.000 uitgedeeld aan een regionaal social media bedrijfje vanwege overtreding van de op haar rustende dat security plicht. De boete werd relatief laag gehouden vanwege de voorbeeldige samenwerking van het bedrijf met de Duitse autoriteit. Verder beboette de Duitse autoriteit een klein postbezorgingsbedrijf dat een serviceprovider waarmee zij samenwerkte een paar keer om toezending van een verwerkersovereenkomst had gevraagd en daarna verder geen actie meer ondernam. De autoriteit bestrafte dit met een (kleine) boete omdat het bedrijf de plicht tot het tekenen van een verwerkingsovereenkomst niet enkel bij de verwerker kon leggen. En in Portugal legde de privacy autoriteit een boete van € 400.000 op aan een ziekenhuis nadat een medewerker zich onrechtmatig toegang had verschaft tot patiëntgegevens.

Klachten bij de AP sinds de AVG

Zoals viel te verwachten na zoveel aandacht voor de AVG is het aantal klachten sinds 25 mei 2018 toegenomen. Eind 2018 waren er sinds 25 mei 2018 circa 10.000 klachten binnengekomen bij de AP, een kwart meer dan dezelfde periode in het jaar daarvoor. De AP had daar op dat moment 56% van geanalyseerd.[4] De meest gehoorde klacht was het niet voldoen aan verwijderingsverzoeken, bijvoorbeeld omdat mensen geen nieuwsbrieven of reclame meer wilden ontvangen. In een derde van de door de AP afgehandelde gevallen werd een handreiking verstrekt aan de betrokkene, dat wil zeggen dat de betrokkene op weg wordt geholpen om de klacht zelf op te lossen. In nog eens een derde van de gevallen trad de AP norm uitleggend op door middel van een brief aan of gesprek met de verantwoordelijke waarover was geklaagd. En in 5% van de gevallen ging het om een door de verantwoordelijke zelf afgewezen klacht van een betrokkene en trad de AP bemiddelend op: zij nam contact op met de verantwoordelijke met het verzoek om een afgewezen klacht te heroverwegen.

Kortom, vooralsnog valt het aantal boetes mee, evenals de hoogte ervan. Na een fase van voorlichting is het echter volgens velen wel de verwachting dat de klachten en boetes in aantal zullen gaan toenemen en langzaamaan ook de verwerking met betrekking tot gegevens van (sollicitanten en) personeel in toenemende mate door de Europese autoriteiten kritisch zal worden beschouwd.

AVG-compliance perikelen
In de Nederlandse Uitvoeringswet AVG (UAVG) is geen gebruik gemaakt van de mogelijkheid die artikel 88 AVG aan de lidstaten biedt om voor de verwerking van persoonsgegevens in het kader van de arbeidsverhouding nadere regels te stellen. Deze UAVG beperkt zich tot het regelen van het bestaan en de positie van de AP, het nader invullen van regels waar de AVG dit voorschrijft, bijvoorbeeld ten aanzien van bijzondere persoonsgegevens en het intrekken van de oude privacywet (Wbp). Tijdens het AVG-compliancetraject op arbeidsrechtelijk gebied stuitten heel wat bedrijven op tal van vragen waar de AVG en ook de UAVG geen antwoord op geven.

Bewaartermijnen

Zo schrijft de AVG voor dat de werkgever (‘verantwoordelijke’) van tevoren bepaalt hoe lang zij persoonsgegevens bewaart, de bewaartermijn en/of de bewaarcriteria vastlegt in een beleid, de bewaartermijnen opneemt in haar verwerkingsregister en de werknemers (‘betrokkenen’) informeert over deze termijnen. Maar welke bewaartermijnen gelden er nu eigenlijk? De AVG kent slechts het algemeen geformuleerde criterium dat persoonsgegevens ‘niet langer bewaard mogen worden dan noodzakelijk is voor het doel waarvoor deze zijn verwerkt’.[5] Nadere specifieke privacyregels zijn er niet.

De AP sluit op haar website voor wat betreft personeelsgegevens aan bij de maximumtermijn van twee jaar, welke nog stamt uit de inmiddels ingetrokken Wbp.[6] Maar dit geldt enkel voor de soorten persoonsgegevens in HR dossiers die niet een eigen, specifieke wettelijke bewaarplicht kennen. Zo is er bijvoorbeeld de bewaarplicht met betrekking tot de registratie van arbeidstijden: deze (persoons)gegevens moeten op grond van de Arbeidstijdenwet ten minste een jaar worden bewaard, gerekend vanaf de datum waarop de desbetreffende gegevens betrekking hebben.[7] De Wet Arbeid Vreemdelingen kent een wettelijke bewaarplicht van vijf jaar voor een afschrift van ‘een document als bedoeld in artikel 1 van de Wet op de Identificatieplicht’, zoals een kopie paspoort.[8] Ook gelden er verplichte bewaartermijnen in fiscale wetgeving, waar veel HR persoonsgegevens onder vallen. Het bestaan van al deze verschillende wettelijke bewaartermijnen betekent dat per soort persoonsgegeven moet worden beoordeeld hoe lang deze mag of juist moet worden bewaard. Dit zorgt begrijpelijkerwijs voor veel hoofdbrekens. Een extra complicerende factor is dat het fiscale recht twee wettelijke bewaartermijnen kent, vijf jaar[9] en zeven jaar[10], en dat zij afwijkende regels hebben voor wat betreft de berekening van de termijn: de vijfjaarstermijn begint te lopen vanaf het jaar van einde dienstverband, de zevenjaartermijn vanaf ‘de eerste dag van het daaropvolgende kalenderjaar’. Met name deze laatste regel zou ertoe nopen dat werkgever ieder jaar per werknemer, ook tijdens het dienstverband, een opschoningsactie moet uitvoeren en de persoonsgegevens die in deze categorie zitten te vernietigen zeven jaar na het jaar waarop ze betrekking hebben. Dat is ondoenlijk, zeker ook omdat onder fiscalisten geen eenduidigheid bestaat over de vraag welke gegevens er onder welke van de twee termijnen vallen en er vaak een overlap bestaat.

Hier ligt een taak voor de AP om duidelijke richtlijnen vast te stellen, helaas heeft de AP dit nog altijd niet gedaan. Tot die tijd lijkt het uit praktische overwegingen raadzaam om in elk geval te voldoen aan de AVG-plicht tot het ten minste voeren van een bewaarbeleid, de gehanteerde bewaartermijnen per soort persoonsgegeven op te nemen in het verwerkingsregister en om vervolgens aan te haken bij de vijfjaarstermijn voor fiscale documenten, aangezien deze gerekend wordt na einde dienstverband, en de tweejaarstermijn voor niet fiscale documenten (beoordelingen, mailadres, ID-kaart nummers et cetera). Dit uiteraard tenzij bepaalde gegevens op grond van de AVG zelf nog langer mogen worden bewaard, bijvoorbeeld wegens mogelijke claims en/of procedures door of tegen de ex-werknemer.

Verwerkersovereenkomst

Wat de praktijk eveneens zou hebben geholpen is het tijdig verschaffen van templates voor verwerkersovereenkomsten[11], die verplicht moet worden opgesteld tussen de verantwoordelijke (de partij die ‘doel en middelen van de verwerking bepaalt’) en de verwerker (de partij die ‘ten behoeve van de verantwoordelijke verwerkt’). Nu deze templates er niet zijn, is er in met name het afgelopen jaar een wildgroei ontstaan aan verschillend geformuleerde verwerkersovereenkomsten. Deze overeenkomsten zijn vaak opgesteld in het voordeel van de partij die de andere partij vóór was en zijn eigen template ter ondertekening aan de ander aanbood: naast de noodzakelijke elementen die artikel 28 AVG voorschrijft over de inhoud van een verwerkersovereenkomst, voegde de opsteller van de te ondertekenen overeenkomst meer dan eens allerlei uitsluitingen van aansprakelijkheden toe, of bijvoorbeeld een onderling regresrecht ingeval de opsteller een boete opgelegd krijgt van de AP. Op zich is dit niet in strijd met de AVG, zolang het recht van de betrokkene om bij een inbreuk te kiezen wie hij aansprakelijk stelt, niet is beknot. Het is een kwestie van tijd totdat zich een situatie voordoet waarbij bijvoorbeeld een verwerker in de uitvoering van zijn werkzaamheden een datalek veroorzaakt, maar alle schade of een boete vervolgens op basis van de verwerkersovereenkomst neerlegt bij de wederpartij die ten tijde van het tekenen niet alert is geweest. En het is ook een kwestie van tijd totdat de AP zich in een voorkomend geval moet buigen over de vraag of een bepaalde verwerkersovereenkomst de AVG-toets der kritiek wel doorstaat.

Overigens laten bedrijven vaak na ook acht te slaan op de verplichting uit artikel 28 lid 1 AVG: de verantwoordelijke mag enkel een samenwerking aangaan met een verwerker die, kort gezegd, voldoende AVG-garanties biedt. De AVG verplicht dus niet enkel tot het aangaan van een papieren ‘schijnzekerheid’, maar ook tot het uitvoeren van een gedegen vooronderzoek naar de beoogde verwerker, zoals controle van de inschrijving in de KvK, controle van jaarstukken, controle van beveiligingscertificeringen en bijvoorbeeld het vooraf kritisch bevragen van de beoogde verwerker naar hun AVG-compliance in het algemeen.

Een vraag die met het bovenstaande verband houdt, is de vraag of in de onderlinge relatie tussen twee partijen nu sprake is van een verantwoordelijke en een verwerker, of van twee verantwoordelijken. In het tweede geval geldt er immers geen plicht tot het opstellen van een verwerkersovereenkomst maar moeten de partijen op basis van artikel 26 AVG een, vormvrijere en minder uitvoerige, ‘regeling’ opstellen. En deze plicht geldt dan weer slechts als twee verantwoordelijken gezamenlijke verantwoordelijken zijn (ofwel gezamenlijk doel en middelen van de verwerking bepalen) en geen zelfstandige verantwoordelijken. Sommige samenwerkingen zijn makkelijk kwalificeerbaar. Zo is de salarisadministrateur steeds een verwerker ten opzichte van zijn klant, de werkgever. Bij de relatie tussen een werkgever en een arbodienst kan men zich echter afvragen of de arbodienst niet zelf (mede) doel en middelen van de verwerking vastlegt en daarmee een verantwoordelijke is. Een expliciet antwoord geeft de AP niet, maar in haar Richtlijnen voor fg’s[12] staat in een voorbeeld de arbodienst genoemd als verwerker.[13] Voorlopig kunnen we dus slechts op deze basis constateren dat de AP een arbodienst als verwerker aanmerkt. Een ander voorbeeld is een pensioenuitvoerder. Op zich bestaat er sinds 2010 wel enige houvast in de vorm van een ‘Opinion on the concepts of “controller and “processor”’ van wat nu heet de European Data Protection Board (EDPB), vroeger de Artikel-29 Werkgroep geheten.[14] Deze geeft aan de hand van een kleine dertigtal voorbeelden zo goed als mogelijk een scheidslijn aan tussen verwerker en verantwoordelijke. De pensioenverzekering (met zijn typerende driehoeksverhouding werkgever, uitvoerder, werknemer) staat helaas niet als voorbeeld genoemd. Binnen de pensioenwereld wordt aangenomen dat de pensioenuitvoerder en de werkgever beide weliswaar zelfstandige verantwoordelijken zijn, maar er toch verstandig aan doen om onderlinge afspraken te maken in een regeling, in verband met de mogelijke onderlinge discussies naar aanleiding van AVG-inbreuken.[15]

Ook kan de vraag worden gesteld hoe de ondernemingsraad (OR) zich kwalificeert ten opzichte van de werkgever c.q. ondernemer. In het kader van de uitvoering van zijn taken ontvangt de OR in de praktijk immers niet zelden persoonsgegevens, die deze gegevens vervolgens zelf opslaat (verwerkt) en mogelijk deelt, bijvoorbeeld met een deskundige of rechtsbijstandsverlener. De OR zal niet als verwerker kunnen worden gekwalificeerd: een OR vraagt immers alle informatie op die hijzelf van belang acht voor de goede vervulling van zijn taak. Maar als de OR kwalificeert als (gezamenlijke of zelfstandige) verantwoordelijke, zou dit kunnen betekenen dat de OR beboet wordt, bijvoorbeeld bij het niet melden van een door hemzelf veroorzaakt datalek. En dat lijkt een moeilijk denkbare consequentie. Maar als de ondernemer aangesproken kan worden op AVG-inbreuken door haar OR, kan dit weer een reden zijn voor de ondernemer om geen persoonsgegevens te willen verstrekken. De ondernemer doet er in elk geval goed aan om vooraf na te gaan welke persoonsgegevens er daadwerkelijk nodig zijn voor de goede taakvervulling van de OR. Vaak hoeft de OR daarvoor immers niet te beschikken over gegevens van individuen. En als zij de OR dergelijke gegevens verstrekt, zou kunnen worden gekozen voor het enkel geven van inzage en/of dient de OR op de verplichtingen uit de AVG te worden gewezen. Verder dienen werknemers in de informatieverstrekking over hun persoonsgegevens geïnformeerd te worden over het feit dat bepaalde gegevens in voorkomende gevallen met de OR kunnen worden gedeeld.

De zieke werknemer

Waar sinds kort wel meer duidelijkheid over bestaat, is de status van de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers uit 2016.[16] Deze dateerde immers van vóór de AVG en het was de vraag of deze nadien onverkort zou blijven gelden. In een gezamenlijke uitleg gedateerd juli 2018 en gepubliceerd door het Ministerie van SZW, wordt duidelijk dat deze Beleidsregels onder de AVG onverkort blijven gelden.[17] De brief verwijst naar de beleidsregels en bevat een nadere toelichting over de periode van de ziekmelding tot het eerste advies van de bedrijfsarts. Een veel gehoorde klacht is dat deze Beleidsregels zeer moeilijk uitvoerbaar zijn. Deze klacht is met deze uitlegbrief niet weggenomen. Een werkgever mag als een werknemer zich ziek meldt niet vragen naar de diagnose, noch naar functionele mogelijkheden of beperkingen, alleen maar naar vermoedelijke duur van het verzuim. En als werknemer deze informatie zelf geeft, mag werkgever dit niet verwerken, nu dit de kerntaak is van de bedrijfsarts. In de praktijk zal het meer dan eens voorkomen dat een werknemer zich ziek meldt onder mededeling van wat hem/haar mankeert. Dit mag de werkgever op basis van de Beleidsregels niet bewaren. Of in elk geval selectief: eventuele informatie over de verwachte verzuimperiode mag wel, medische informatie weer niet. Hij mag ook niet vragen naar functionele beperkingen zoals ‘hoeveel kun je nog tillen’, of ‘is hectiek op de afdeling een probleem’, dit terwijl deze informatie voor de werkgever weldegelijk relevant kan zijn in de periode totdat de bedrijfsarts zijn advies heeft gegeven. Het enige wat de brief van het Ministerie hierover zegt is dat het raadzaam is de bedrijfsarts nog eerder in te schakelen.

Alcohol- en drugstesten

Reeds vóór de datum van inwerkingtreding van de AVG heeft de AP in de zogeheten Uniper-zaak duidelijk gemaakt dat alcohol- en drugstesten door werkgevers niet zijn toegestaan, kort gezegd omdat hiermee bijzondere persoonsgegevens (gezondheidsgegevens) worden verwerkt en dit alleen maar mogelijk is indien de verwerking bij wet is bepaald. In verschillende online publicaties werd bepleit dat door de komst van de AVG ruimte zou zijn ontstaan om alcohol- en drugstesten door werkgevers toe te staan op grond van de Arbowet en art. 7:611 en 7:660 BW. De AP publiceerde echter op 15 maart 2019 een nieuwsbericht[18] waarin zij haar standpunt van vóór de AVG herhaalt dat er voor het testen op alcohol, drugs of geneesmiddelen tijdens werktijd steeds een wettelijke grondslag vereist is.[19] Daarbij moet voldoende aandacht zijn voor de waarborgen die de inbreuk op de privacy van de werknemer minimaliseren. De dringende oproep van werkgeversorganisaties begin 2018 om de Nederlandse Uitvoeringswet AVG (UAVG) aan te passen en werknemers in bijvoorbeeld chemische fabrieken te kunnen testen op alcohol en drugs, was daarvoor al onbeantwoord gebleven. De AP spoort in haar nieuwsbericht van maart 2019 werkgevers aan om bij de wetgever aan te dringen op het creëren van een wettelijke grondslag: “De AP kan zich goed voorstellen dat bedrijven die de mogelijkheid willen hebben om personen in de uitoefening van een risicovol beroep te testen op het gebruik van alcohol, drugs of geneesmiddelen een verzoek indienen bij de wetgever om de wettelijke mogelijkheden op dit gebied te onderzoeken.” Derhalve ontbreekt in de meeste gevallen[20] nog altijd de op grond van artikel 9 lid 2 onder b AVG vereiste wettelijke grondslag voor dit specifieke type verwerking van gezondheidsgegevens. Er zijn echter tal van voorbeelden te noemen van bedrijven waar de wens om een zorgvuldig alcoholbeleid te hebben met de mogelijkheid tot alcohol- en drugstesten, zeer te billijken is, zoals een bedrijf waar met gevaarlijke machines en/of gevaarlijke stoffen wordt gewerkt, of bijvoorbeeld een bierbrouwerij.

De AVG in de arbeidsrechtpraktijk
Inzageverzoek personeelsdossier

In de arbeidsrechtpraktijk is te zien dat privacybescherming, ook door de komst van de AVG, in een langzaam toenemende mate een rol speelt bij conflicten tussen werkgever en werknemer. Een voorbeeld is het gegeven dat steeds vaker een verzoek wordt gedaan om een kopie van het personeelsdossier te ontvangen op grond van artikel 15 lid 3 AVG. De kantonrechter Utrecht moest zich in dat verband buigen over de vraag of het inzage- en kopierecht ook geldt voor een niet-geautomatiseerd personeelsdossier.[21] Het uiteindelijke antwoord was bevestigend, maar vergde wat meer uitleg dan men op het eerste gezicht zou denken. De AVG is op grond van artikel 2 lid 1 van toepassing op de ‘geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen’. Nu in deze zaak niet duidelijk was of het personeelsdossier van de werknemer geautomatiseerd was (in welk geval de AVG direct van toepassing is), moest de vraag worden beantwoord of het personeelsdossier een ‘bestand’ is in de zin van de AVG. [22] Om als ‘bestand’ te kunnen gelden is vereist dat de persoonsgegevens een gestructureerd geheel vormen dat volgens bepaalde criteria toegankelijk is. De kantonrechter verwees naar de geschiedenis van de totstandkoming van artikel 1 van de aan de AVG voorafgaande Wbp[23] waaruit blijkt dat daarvoor een samenhangend geheel en een systematische toegankelijkheid van de persoonsgegevens vereist is. Het vereiste “gestructureerd geheel” houdt in dat de gegevensverwerking of de verzameling op grond van meer dan één kenmerk een onderlinge samenhang vertoont. Ook voor zover het personeelsdossier door de werkgever niet geautomatiseerd werd verwerkt, vond de kantonrechter dat een personeelsdossier meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Het personeelsdossier is in dat geval aan te merken als bestand in de zin van de AVG. Na deze constatering was de werkgever gehouden de verzochte kopie te verstrekken.[24]

Enige tijd later sprak de voorzieningenrechter te Den Haag zich eveneens uit over een vordering tot afgifte van een kopie van het personeelsdossier, hetgeen de werknemer claimde naast een opheffing van een hem opgelegde loonstop.[25] De werkgever had dit geweigerd met als argument dat de opgevraagde gegevens bij de werknemer bekend waren of in elk geval hadden moeten zijn alsmede dat sommige gegevens eerder al door de werknemer waren opgevraagd. Onder verwijzing naar het inzage- en kopierecht van artikel 15 AVG en de wettelijke uitzonderingen opgesomd in lid 4 van bedoeld artikel en artikel 41 van de UAVG legde de voorzieningenrechter deze argumenten naast zich neer; deze gronden staan immers niet opgesomd in de lijst met uitzonderingen, noch waren de rechten van derden in het geding.[26]

Afgeven referenties

Er zijn meer recente uitspraken waarbij de AVG een belangrijke rol speelde. Hof Arnhem-Leeuwarden oordeelde op 21 augustus 2018 bijvoorbeeld over het verstrekken van een belastende referentie door een ex-werkgever.[27] De werknemer was docent en had zijn ex-werkgever opgegeven als referent in een sollicitatieprocedure. De potentiële nieuwe werkgever nam contact op met de referent. Deze liet weten dat vrouwelijke collega’s en leerlingen zich bij de werknemer niet veilig en angstig voelden en dat hij door zijn vorige werkgever was ontslagen. De school waar de werknemer gesolliciteerd had, wees hem vervolgens af. De werknemer stelde zijn ex-werkgever aansprakelijk voor de daaruit voortvloeiende schade. Het Hof oordeelde dat als uitgangspunt heeft te gelden dat als een sollicitant in een sollicitatieprocedure zijn ex-werkgever aanwijst als referent, hij daarmee toestemming in de zin van artikel 6 lid 1 sub a van de AVG geeft om gegevens over zijn persoon en over zijn functioneren te verstrekken aan een ander. Deze informatie kan zowel positief als negatief voor de persoon in kwestie uitpakken. Wanneer een sollicitant bepaalde negatieve informatie van de referentie over zijn persoon of functioneren wil uitsluiten, dient hij dat expliciet bij de referent aan te geven (zie ook art. 7:656 lid 3 BW over het getuigschrift). De referent kan dan op zijn beurt een afweging maken of hij nog wel een referentie wil afgeven. Op grond van artikel 7:656 lid 5 BW moet hij immers een correct beeld van de betrokken persoon aan de potentiële werkgever verstrekken en het onthouden van noodzakelijke informatie kan onzorgvuldig handelen (en daarmee aansprakelijkheid voor de schade) jegens deze derde (i.c. de nieuwe werkgever) opleveren. Bij het verstrekken van een referentie geldt volgens het Hof daarom als uitgangspunt dat zoveel mogelijk relevante informatie, ofwel informatie die van belang is voor het functioneren van de sollicitant, aan de potentiële werkgever mag, en zelfs moet worden verstrekt. Dat geldt ook voor zogenoemde negatieve informatie die ertoe kan leiden dat de potentiële werkgever besluit om af te zien van het in dienst nemen van deze sollicitant. Het Hof kwam tot het oordeel dat de referent de belastende informatie over de ex-werknemer mocht doorgeven en dus niet onrechtmatig en ook niet in strijd met de AVG had gehandeld.[28]

Toelaatbaarheid bewijs

Een ook onder de AVG terugkerend onderwerp is de toelaatbaarheid van bewijs in juridische procedures. Bij de kantonrechter Zwolle lag de vraag voor of een uitdraai van het GPS-systeem van de bedrijfsauto van een werkneemster mocht worden meegenomen als bewijs van een dringende reden voor het ontslag op staande voet van de werkneemster.[29] Een werkneemster werd op staande voet ontslagen naar aanleiding van een GPS-uitdraai uit de bedrijfsauto van werkneemster, waaruit kon worden geconcludeerd dat door werkneemster gedeclareerde uren per cliënt niet overeenkwamen met de tijden dat de auto bij de desbetreffende cliënten geparkeerd had gestaan. Werkneemster stelde zich op het standpunt dat de GPS-uitdraai als onrechtmatig verkregen bewijs buiten beschouwing moest worden gelaten. Zij stelde dat het gebruik van de GPS-gegevens een ongerechtvaardigde inbreuk vormde op haar privacy en dat dit gebruik niet voorzienbaar, niet kenbaar, volledig willekeurig en disproportioneel was. Volgens de kantonrechter geldt echter, ook indien wordt vastgesteld dat bewijsmateriaal door de partij die zich erop beroept onrechtmatig is verkregen, niet als algemene regel dat de rechter daarop geen acht mag slaan. In beginsel wegen het algemeen maatschappelijke belang dat de waarheid in rechte aan het licht komt, alsook het belang dat partijen erbij hebben hun stellingen in rechte aannemelijk te kunnen maken, zwaarder dan het belang van uitsluiting van bewijs. Slechts indien sprake is van bijkomende omstandigheden, is volgens vaste rechtspraak van de Hoge Raad uitsluiting van dat bewijs gerechtvaardigd. Dergelijke bijkomende omstandigheden waren niet aan de orde, aldus de kantonrechter.

Ondanks dat de werkgever in deze zaak wegkwam met het gebruik van de GPS-gegevens lijkt uit de casus te volgen dat de werkgever geen rekening had gehouden met de nieuwe verplichtingen uit de AVG: zo zal de werkgever op grond van het algemene transparantiebeginsel en de informatieplicht uit artikel 15 AVG de werknemers vooraf moeten informeren omtrent de verwerking van deze GPS-gegevens, hoe lang deze bewaard worden, wat het doel is van de verwerking, waar de werknemer heen kan met klachten, et cetera. Ook moet er sprake zijn van doelbinding, althans mag geen verdere verwerking plaatsvinden voor een doel dat met het oorspronkelijke doel onverenigbaar is.[30]

Met betrekking tot het beginsel van doelbinding wijzen wij nog op de Guidelines on Consent van de EDPB, aangenomen vlak voor de inwerkingtreding van de AVG.[31] Hierin staat dat een verwerkingsactiviteit voor een specifiek doel in de regel niet op meerdere AVG-grondslagen kan worden gebaseerd. Het is op zich mogelijk om op meer dan één legale basis te vertrouwen om verwerking te legitimeren, mits de gegevens voor verschillende doeleinden worden gebruikt, aangezien elk doel op een wettige basis moet worden aangesloten. De verwerkingsgrondslag voor een specifiek doel kan dus niet worden gewijzigd tijdens de verwerking: het is bijvoorbeeld niet toegestaan ​​om met terugwerkende kracht de legitieme basis van een gerechtvaardigd belang te gebruiken om de verwerking te rechtvaardigen, nadat problemen zijn geconstateerd met de geldigheid van bijvoorbeeld toestemming als verwerkingsgrond.

Werkgeversaansprakelijkheid bij datalek

Op basis van door de AP gepubliceerde cijfers komen de meeste datalekken voort uit slordigheid van personeel, zoals usb sticks met persoonsgegevens kwijtraken in de trein, het per vergissing openzetten van een online HR-personeelsadministratiesysteem voor alle werknemers of zelfs extern of bijvoorbeeld het onversleuteld versturen van bestanden met persoonsgegevens naar de onjuiste persoon. De actiemiddelen van de door de datalek getroffen betrokkene c.q. werknemer zijn niet gering. De betrokkene kan naar de rechter stappen met het verzoek om een ‘doeltreffende voorziening in rechte’ zoals een last onder dwang. De betrokkene kan (im)materiële schade door inbreuk op de AVG eisen. Op grond van het beginsel van accountability geldt in feite een omkering bewijslast en kent de AVG het beginsel van hoofdelijkheid, bijvoorbeeld tussen verantwoordelijke en verwerker. Daarnaast kunnen werknemers die als groep gedupeerd zijn, een class action starten.[32] En dit onverminderd het klachtrecht bij de AP en de actiemiddelen die de AP ten dienste staan. Het is dus van groot belang dat werkgevers hun personeel, met name die mensen die vanuit hun functie op grote schaal persoonsgegevens verwerken, in een privacy policy wijzen op alle verplichtingen uit de AVG, hen daar de nodige handreikingen en tools voor geven en hen trainen in AVG-compliance. Het is, vooral vanwege alle sanctiebevoegdheden van de AP, zaak om daarin ook de verplichting op te leggen tot het onmiddellijk melden van een (potentiele) datalek. Het niet of niet tijdig melden van een datalek kan voor de AP immers aanleiding geven tot het opleggen van boetes. Werkgevers dienen ervoor te waken dat er een ‘angstcultuur’ met het betrekking tot het melden van datalekken ontstaat. De vraag komt daarbij op wat de werkgever kan doen indien een werknemer deze policy niet naleeft. Bij de beantwoording van die vraag zal een belangrijke rol spelen of de werkgever de werknemers voldoende heeft geïnformeerd (en periodiek heeft getraind) omtrent de policy meldplicht datalekken. Indien dat het geval is, kan ons inziens overtreding van die policy tot (vergaande) arbeidsrechtelijke sancties leiden, niet in de laatste plaats vanwege de potentiële schade voor de werkgever als gevolg van dit handelen en/of nalaten van de werknemer.

Conclusie
Nu na een klein jaar AVG het net is opgehaald, zijn een paar conclusies te trekken. Ten eerste: evenals onder de oude privacyregels moet ook sinds de komst van de AVG en de UAVG de praktijkjurist in het arbeidsrecht zich nog altijd behelpen met veel algemeen geformuleerde privacy-beginselen zonder arbeidsrechtelijk invulling, om zo vragen uit de dagelijkse praktijk te beantwoorden. Er zijn inmiddels wel veel adviezen van de EDPB en beleidsregels en nieuwsberichten van de AP, die ook arbeidsrechtelijk handvaten bieden. Hoewel deze geen formele rechtskracht hebben, zal de AP – en wij verwachten ook de rechterlijke macht – handelen op basis van deze beleidsregels en adviezen. Het is dus zaak deze bij de beantwoording van AVG-vragen steeds mede te beschouwen.

Ten tweede lijkt voor wat betreft het opleggen van de gevreesde miljoenenboetes de soep voorlopig minder heet te worden gegeten dan zij op 25 mei 2018 werd opgediend. Daar staat dan weer tegenover dat het eerste jaar van de AVG vooral een periode van voorlichting is, en de verwachting bestaat dat de Nederlandse autoriteit naar de toekomst toe wat vaker het middel van een financiële sanctie zal inzetten, zij het dat de AP dit wel dient te doen binnen de kaders van algemene beginselen van behoorlijk bestuur (abbb’s) en dus behoudens extreme gevallen niet rauwelijks mag overgaan tot het direct opleggen van hoge boetes.

Ten derde is te zien dat ook in de arbeidsrechtrechtspraak de AVG langzaam steeds meer aandacht krijgt. Het zal interessant zijn om te zien hoe deze rechtspraak zich ontwikkelt en hoe deze zich zal verhouden tot de (publicaties van) maatregelen van de AP. Zeker sinds de komst van de AVG is het dus op het snijvlak van privacy- en arbeidsrecht ‘never a dull moment

1. Zie art. 83 AVG.
2. Artikel 57 lid 1, met name onder b en d AVG. Ook is een aantal moties door Tweede Kamerleden ingediend met een oproep aan de AP tot het opstellen van beleidsregels, o.a. over de invulling van bepaalde AVG-begrippen.
4. Klachtenrapportage 2018 Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/klachtenrapportage_2018.pdf.
5. Artikel 5 lid 1 sub e AVG.
6. Dit stond in het Vrijstellingsbesluit bij de Wbp;
7. Artikel 3.2:1 Arbeidstijdenbesluit.
8. Artikel 15 lid 4 WAV.
9. Artikel 7.5 lid 4 en 7.9 lid 2 Uitvoeringsregeling loonbelasting 2011.
10. Artikel 52 lid 4 Algemene Wet inzake Rijksbelastingen (AWR) en het Besluit fiscaal bestuursrecht.
11. Artikel 28 lid 8 AVG
12. Dit is in feite een vertaling van opinion 243 d.d. 30-10-2017 van de Article 29 Working Party, tegenwoordig de European Data Protection Board geheten, artikel 68 e.v. AVG.
13. Het bedoelde voorbeeld staat op blz. 8, onder hoofdstuk 2.2.
14. Opinion 1/2010, aangenomen 16 februari 2010 (WP 169).
15. In I. de Somviele, R.J.G. Veugelers en P.A. Nabben, ‘De AVG: one size fits all, ook voor België en Nederland?’ Kluwer Pensioenmagazine 2018, 6/7 wordt op dit onderwerp nader ingegaan.
16. https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_de_zieke_werknemer.pdf.
17. Gezamenlijke uitleg beleidsregels ‘De zieke werknemer’, Ministerie van SZW 27 juli 2018: https://www.arboportaal.nl/documenten/publicatie/2018/07/27/gezamenlijke-uitleg-beleidsregel-de-zieke-werknemer.
18. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/testen-op-alcohol-drugs-geneesmiddelen-tijdens-werktijd-alleen-met-wettelijke-regeling.
19. Zie daarover ook uitvoerig: I.J. de Laat, ‘Alcohol- en drugstesten, een gemiste kans?’, ArbeidsRecht 2018/6. De conclusies uit dit artikel zijn o.i. ook onder de AVG hetzelfde gebleven.
20. In bijvoorbeeld de spoorwegwet en ook de luchtvaartwet is voor deze specifieke beroepsgroepen wel voorzien in een wettelijke grondslag voor het doen van adem- en/of bloedonderzoek.
21. Kantonrechter Utrecht 25 juli 2018, JAR 2018/228.
22. Artikel 4 lid 6 AVG.
23. Kamerstukken II 25 892, nr. 3, blz. 53 en 54.
24. Zij het dat de Hoge Raad dit inzagerecht wel ingeperkt heeft (strekt zich niet uit tot interne notities die persoonlijke gedachten van medewerkers bevatten en uitsluitend zijn bedoeld voor persoonlijk gebruik) en ons inziens deze inperking nog altijd geldt: HR 8 februari 2013, JAR 2013/72.
25. Rechtbank Den Haag 31 augustus 2018, ECLI:NL:RBDHA:2018:10910.
26. Overweging 63 van de AVG geeft wel aan dat de verzoeken ex artikel 15 AVG met redelijke tussenpozen kunnen worden gedaan. Als een betrokkene onredelijk vaak een inzageverzoek doet, kan dit aanleiding geven om niet aan het verzoek te hoeven voldoen.
27. Gerechtshof Arnhem-Leeuwarden 21 augustus 2018, JAR 2018/239. Het Hof benoemt in de uitspraak gezien het moment waarop de casus speelde zowel de Wbp als de AVG.
28. Dat de kwestie een andere was geweest indien de arbeidsrelatie tussen deze twee procespartijen was geëindigd met een vaststellingsovereenkomst met daarbij nadere afspraken over de inhoud of toon van referenties, merken wij terzijde op.
29. Kantonrechter Zwolle 15 juni 2018, ECLI:NL:RBOVE:2018:2409.
30. Art. 5 lid 1 sub b en art. 6 lid 4 AVG.
31. WP259 rev.01, aangenomen op 10 april 2018.
32. Deze opsomming vindt men in de AVG terug in respectievelijk artikel 77 (klachtrecht bij AP), artikel 79 (recht op een ‘doeltreffende voorziening in rechte’, onverminderd het klachtrecht bij de AP), artikel 79 (rechtskeuze), artikel 82 (im)materiële schade door inbreuk op AVG, artikel 82 lid 3 (accountability: omkering bewijslast), artikel 82 lid 4 + 5 (hoofdelijke aansprakelijkheid en artikel 80 (class action mogelijkheid).