AVG UPDATE – de verwerking van persoonsgegevens van werknemers

De inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is alweer meer dan een jaar geleden. Het stof rondom de inwerkingtreding van de AVG leek neergedaald te zijn, totdat op 16 juli 2019 bekend werd dat de Autoriteit Persoonsgegevens (AP) een boete van €460.000,- en een dwangsom heeft opgelegd aan het HagaZiekenhuis. Aanleiding om kort stil te staan bij de handhaving van de AVG sinds de inwerkingtreding daarvan. Vervolgens zal worden ingezoomd op het snijvlak van de AVG en het arbeidsrecht, waarbij een kort overzicht wordt gegeven van de verantwoordelijkheden van de werkgever, compliance perikelen worden besproken en wordt afgesloten met een overzicht van de laatste updates.

Handhaving sinds 1 mei 2018

Op 27 november 2018 werd bekend gemaakt dat aan Uber B.V. en Uber Technologies Inc. een boete van €600.000,- werd opgelegd. Het Uber-concern had nagelaten om binnen 72 uur melding te doen van een datalek. Hoewel de boete is opgelegd na de inwerkingtreding van de AVG, was de AVG strikt genomen nog niet van toepassing. De overtreding had namelijk nog voor de inwerkingtreding van de AVG plaatsgevonden. De AP heeft zich bij haar beoordeling echter wel al gebaseerd op de AVG.

De eerste ‘echte’ AVG-boete is de eerdergenoemde boete aan het HagaZiekenhuis. De aanleiding was een op 4 april 2018 door het HagaZiekenhuis gemeld datalek dat bestond uit de onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Van de 197 inzagen in het dossier, waren er 100 onrechtmatig. Het HagaZiekenhuis kreeg hiervoor een boete van €460.000,-. Bovendien werd een dwangsom opgelegd: als verbetering na 2 oktober 2019 uitblijft moet het ziekenhuis elke twee weken €100.000,-  betalen, met een maximum van €300.000,-.

In 2018 richtte de AP zich naar eigen zeggen vooral op voorlichting, normuitleg en normoverdracht. In het jaarverslag van 2018 kondigde de AP aan dit jaar steviger in te zetten op handhaving. Er zullen dus ongetwijfeld meer boetes gaan volgen.

Verantwoordelijkheden werkgever  

De AVG legt een groot aantal verplichtingen op aan de werkgever. Men denke hierbij aan de informatieplicht, de verantwoordings- en documentatieplicht, de beveiliging van persoonsgegevens, het privacy impact assessment, de verwerkersovereenkomst, de meldplicht voor datalekken en het al dan niet aanstellen van een functionaris voor de gegevensbescherming. Voorts kent de AVG rechten toe aan de werknemer in de hoedanigheid van ‘betrokkene’. Voorbeelden hiervan zijn het recht op inzage en kopie, het recht op correctie of verwijdering, het recht van verzet, het recht op beperking van de verwerking en het recht op overdraagbaarheid van persoonsgegevens.

Moeilijkheden omtrent AVG-naleving 

Artikel 88 AVG bepaalt dat de lidstaten van de Europese Unie nadere regels kunnen vaststellen voor de verwerking van persoonsgegevens van werknemers in het kader van het arbeidsproces. De Uitvoeringswet (UAVG) maakt echter geen gebruik van deze mogelijkheid. Gezien het feit dat de privacywetgeving algemeen geformuleerd is, is menig werkgever tijdens het AVG-nalevingstraject gestuit op tal van vragen waar de AVG, noch de UAVG een antwoord op geeft.

De laatste ontwikkelingen

De AP is zich ervan bewust dat er onder werkgevers nog veel vragen zijn over de AVG en dat het met name voor kleinere ondernemers lastig is om aan hun verplichtingen onder de AVG te voldoen. Sinds de inwerkingtreding in 2018 worden dan ook steeds meer campagnes gelanceerd en adviezen van de European Data Protection Board (EDPB), brieven van ministeries en nieuwsberichten van het AP gepubliceerd. Een aantal voorbeelden.

Campagne ‘Wat betekent de privacywet voor jou’          
Met deze campagne biedt de AP werkgevers praktische hulp om te voldoen aan hun verplichtingen. Op de campagnewebsite van de AP, wordt de komende tijd over steeds een ander onderdeel van de AVG gepubliceerd, zoals: de beveiliging van persoonsgegevens, verwerkersovereenkomsten, verwerking van gegevens van (zieke) werknemers en de grondslagen voor verwerking van persoonsgegevens.

Richtlijnen met betrekking tot cameratoezicht    
Bij de inzet van cameratoezicht is sprake van een inbreuk op privacy. Voor het antwoord op de vraag of deze inbreuk gerechtvaardigd is, dient te worden onderzocht of (i) de opnames een legitiem doel dienen, (ii) het een geschikt middel is om dat doel te bereiken, (iii) de privacy inbreuk evenredig is in verhouding tot het belang van de werkgever en (iv) dat doel redelijkerwijs op een minder ingrijpende wijze bereikt kan worden. De toepassing van deze open normen is afhankelijk van de omstandigheden van het geval en laat zich daardoor niet eenvoudig bepalen. Het is daarom goed dat de EDPB onlangs richtlijnen heeft opgesteld over cameratoezicht. Deze (Engelstalige) richtlijnen verduidelijken hoe de AVG van toepassing is op de verwerking van persoonsgegevens met videocamera’s. De richtlijnen staan momenteel open voor feedback.

De verwerking van persoonsgegevens van zieke werknemers     
Er was onduidelijkheid over de vraag of de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers onverkort zijn blijven gelden onder de AVG. Het Ministerie van SZW heeft dat onlangs expliciet bevestigd. Dit betekent kortgezegd dat een werkgever de zieke werknemer niet mag vragen naar de diagnose, functionele beperkingen of mogelijkheden. De werkgever mag wel vragen naar de vermoedelijke duur van het verzuim. Als de werknemer toch informatie geeft, mag deze informatie niet verwerkt worden.

Alcohol- en drugstesten vereisen een wettelijke grondslag          
Er werd bepleit dat door de komst van de AVG meer ruimte zou zijn ontstaan om alcohol- en drugstesten uit te kunnen voeren op werknemers. Op 15 maart 2019 publiceerde de AP echter een nieuwsbericht waaruit blijkt dat er voor het testen op alcohol- en drugstesten tijdens werktijd nog steeds een wettelijke grondslag vereist is. Alcohol- en drugstesten op de werkvloer zijn altijd verboden onder de AVG, behalve voor zover expliciet toegestaan op grond van het Besluit alcohol, drugs en geneesmiddelen in het verkeer. Voor alle overige gevallen (waarbij wel degelijk een gerechtvaardigde belang voor een dergelijke test bestaat, denk aan risicovolle beroepen), ontbreekt een wettelijke grondslag. De AP legt hiermee de verantwoordelijkheid voor een eventuele uitbreiding van de mogelijkheid om alcohol- en drugstesten uit te voeren op werknemers bij de wetgever.

Voor vragen of meer informatie kunt u contact opnemen met:

terug