Privacy
Samenvatting
Grondwet, artikelen 10 en 13 Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, artikel 8 Algemene Verordening Gegevensbescherming Uitvoeringswet AVG Burgerlijk Wetboek, artikel 7:611 Wetboek van Strafrecht, artikelen 139f, 441b Wet op de ondernemingsraden, artikel 27 Verordening (EU) 2016/679
Het recht op privacy van de werknemer wordt in diverse (wettelijke) regels beschermd. Een inbreuk op de privacy van de werknemer kan in strijd zijn met de fundamentele vrijheden die gewaarborgd zijn in het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en in de Grondwet. De werkgever kan ook handelen in strijd met de wettelijke norm van het ‘goed werkgeverschap’, als hij niet een zekere privacy in acht neemt. De Algemene Verordening Gegevensbescherming (AVG) en daarop gebaseerde Uitvoeringswet ziet specifiek op de privacy in het kader van de verwerking van persoonlijke gegevens. Werkgevers willen het toegenomen gebruik van internet en van email op de werkplek kunnen controleren. Er zijn nieuwe technische middelen voorhanden om ook ander gedrag van werknemers waar te nemen. Bij dit alles mag echter de privacy van de werknemer niet uit het oog worden verloren.
3.3.1 Algemeen wettelijk kader Voorbeeld
Het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) bepaalt dat ieder persoon recht heeft op respect voor zijn privéleven, zijn ‘family-life’, zijn woning en zijn correspondentie. In de Nederlandse Grondwet is het recht op eerbiediging van de persoonlijke levenssfeer opgenomen. De bescherming van de communicatievrijheid is specifiek uitgewerkt in het grondwettelijke artikel over het brief-, telefoon- en telegraafgeheim. Dit artikel is tamelijk verouderd door de komst van moderne (digitale) communicatievormen, zoals faxen, e-mails, sms-berichten, internetfora, facebook, whatsapp en andere online communicatiemiddelen en sociale media. Voorvermelde regels gelden niet alleen tussen de staat en de burger, maar hebben ook ‘horizontale werking’: ze gelden eveneens tussen burgers onderling. Ook de werkgever moet dus deze fundamentele vrijheden jegens de werknemer in acht nemen. Dit geldt direct al bij de selectie en verwerving van personeel. Naast specifieke regelgeving zoals de Wet op de medische keuringen is hier ook het EVRM van belang.
Een specifiek onderdeel van het privacyrecht gaat over wat er met persoonsgegevens van ons, als burgers, wel en niet mag worden gedaan. Tot 2018 was dit in Nederland geregeld in de Wet bescherming persoonsgegevens. Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Deze wordt in de volgende paragraaf behandeld.
Bij een werkneemster (serveerster in een casino behorend bij een hotel) worden sporen van cocaïne in het bloed aangetroffen tijdens een door de werkgever uitgevoerde bloedtest. De werkgever draagt de werkneemster op om mee te doen aan een afkickprogramma. De werkneemster weigert dit omdat zij de cocaïne in privétijd heeft gebruikt, niet verslaafd is en deelname aan een afkickprogramma stigmatiserend acht. Daarop volgt ontslag. De werkneemster vecht dit aan maar de Hoge Raad stelt de werkgever in het gelijk. De Hoge Raad geeft aan dat het strenge drugsbeleid weliswaar een inbreuk vormt op de persoonlijke levenssfeer van de werkneemster, maar dat dit gerechtvaardigd is gelet op het belang van het hotel bij het behoud van haar goede naam. Van belang is daarbij ook dat in vrije tijd gebruikte drugs van invloed kunnen zijn bij het functioneren op het werk, terwijl die link in een concreet geval moeilijk te bewijzen is. Bron: Hoge Raad, 14 september 2007, (ECLI:NL:HR:2007:BA5802 Hyatt/Dirksz arrest).
Er is een zekere mate van toezicht en controle door de werkgever op de werknemer toe-
252 Deel 3 RECHTEN EN PLICHTEN
3.3
Voorbeeld
gestaan, noodzakelijk voor een goede bedrijfsvoering, maar wel met in achtneming van de grondrechten. De werkgever moet steeds zorgvuldig, en zoveel mogelijk transparant te werk gaan bij zijn controle-uitoefening.
Gedurende een half jaar wordt van een werkneemster het gebruik van telefoon, e-mail en internet op het werk, zonder haar medeweten, gecontroleerd in opdracht van de adjunctdirecteur. Deze geeft nadien als reden op dat hij wilde nagaan of de werkneemster geen excessief gebruik maakte van de betreffende communicatiemiddelen voor privédoeleinden. De telefoongesprekken zijn niet afgeluisterd en de inhoud van de e-mails is niet bekeken. Wel heeft de adjunct-directeur in enkele gevallen contact opgenomen met de personen met wie werkneemster had gebeld. De werkneemster verzoekt het Europees Hof voor de Rechten van de Mens aan te geven of sprake is van schending van artikel 8 EVRM. Het Hof komt tot de conclusie dat dit inderdaad het geval is, nu de inbreuk op het privéleven niet overeenkomstig de wet heeft plaatsgevonden en niet noodzakelijk was in een democratische samenleving. Het Hof kent de werkneemster € 3.000 aan immateriële schadevergoeding en € 6.000 voor kosten rechtsbijstand en overige onkosten toe. Bron: Europees Hof voor de Rechten van de Mens, 3 april 2007 (JAR 2007, 233)
3.3.1.1 Goed werkgeverschap/ goed werknemerschap
Voorbeeld
De werknemer heeft recht op een bepaalde mate van privacy. Een werkgever die zich mengt in het privéleven van zijn werknemer handelt al snel in strijd met het beginsel van goed werkgeverschap. (Zie ook hoofdstuk 3.2)
Een werkgever ontvangt een anonieme email waarin een werknemer ervan wordt beschuldigd zich in te laten met een oplichter en daarmee een bedrijf op te richten. De werkgever laat vervolgens een onderzoek verrichten. Na twee maanden wordt de werknemer van het onderzoek op de hoogte gesteld en wordt ontbinding van de arbeidsovereenkomst verzocht. Als reden wordt onder meer gesteld dat de werknemer onvoldoende informatie heeft verstrekt over een adviseurschap en dat hij daaraan teveel tijd in werktijd heeft besteed. De werknemer kan deze verwijten weerleggen en verwijt de werkgever een inbreuk op zijn privacy. Met de werknemer is de kantonrechter van oordeel dat de wijze waarop de werkgever is omgesprongen met zijn privacy bij het onderzoek niet getuigt van goed werkgeverschap. Het gedurende maanden registreren van de nummers waar de werknemer mee belde, ook privé, is volgens de kantonrechter volledig buiten proporties en een ernstige aantasting van het privéleven van de werknemer en zijn gezin. De arbeidsovereenkomst wordt ontbonden, maar er wordt een hoge vergoeding toegekend aan de werknemer. Bron: Ktr. Haarlem, 4 juli 2003 (JAR 2003, 189)
Echter, ook een werknemer moet zich als goed werknemer gedragen. Maakt een werknemer in werktijd ongeremd gebruik van het internet voor privédoeleinden dan gedraagt hij zich ook niet als goed werknemer en kan hij hierop aangesproken worden. In gevallen waarin een bedrijfsreglement ontbreekt en niet duidelijk bepaald is wat is verboden of wat is toegestaan, kan bij evident misbruik van de werknemer op de algemene norm van goed werknemerschap worden teruggevallen.
Let op Voorbeeld
Het is erg verstandig voor een werkgever om gedragscodes te formuleren ten aanzien van internet-/mail-/telefoongebruik tijdens werktijd en deze in een personeelshandboek/bedrijfsreglement op te nemen. Naast het kenbaar maken van het gewenste gedrag zal de werkgever vervolgens echter ook dit beleid moeten handhaven en in voorkomende gevallen werknemers op afwijkend gedrag moeten aanspreken om te voorkomen dat het door haar voorgeschreven (gewenste) beleid een losse huls wordt. Het is raadzaam in de arbeidsovereenkomst expliciet te verwijzen naar de gedragscode en de toepasselijkheid daarvan binnen de organisatie. Een praktische manier om de (voornaamste) bedrijfsregels levend te houden, is door deze in de vorm van een memo op een zichtbare plaats op te hangen, bijvoorbeeld in de kantine (zie ook paragraaf 3.3.4).
Een werknemer is voor 19 uur per week in dienst als onderwijsassistent bij een landbouwschool. Daarnaast is hij bedrijfsmatig actief op het gebied van porno. De werkgever heeft geen beleid opgesteld op het gebied van nevenwerkzaamheden of privéactiviteiten, en er zijn ook geen regels bekend gemaakt voor het gebruik van internet. De werkgever verzoekt ontbinding van de arbeidsovereenkomst met deze werknemer nadat is gebleken dat hij via het leerlingennetwerk en op kosten van de school gedurende vele uren de ISDN-lijn bezet heeft gehouden voor zijn nevenactiviteiten. Bovendien is gebleken dat de werknemer een groot aantal privé-e-mails heeft ontvangen op zijn werkplek in werk-
253 Hoofdstuk 3.3 Privacy
tijd. Daaronder waren ook berichten in het kader van zijn porno-bedrijfsactiviteiten, waarmee een niet gewenste link tussen de school en de porno-activiteiten gelegd kan worden. De werknemer voert als verweer onder meer aan dat de school niet gerechtigd was om zijn e-mails door te lezen, en dat zijn privacy in strijd met de grondwet en het EVRM is geschonden. De kantonrechter ontbindt de arbeidsovereenkomst en kent de werknemer geen enkele vergoeding toe. De werknemer heeft zich niet als goed werknemer gedragen. De rechter overweegt onder meer dat ook zonder verbod of algemene regeling het de werknemer duidelijk had moeten zijn dat dit exorbitante privégebruik leidt tot het treffen van maatregelen. Privacy op de werkplek is een relatief gebruik. Volgens de rechter is er een gradatie tussen het recht op privacy op de werkplek en het recht van een onderwijsinstelling om niet met seks-activiteiten in verband te worden gebracht. Dat laatste recht krijgt van de rechter hier voorrang, na afweging van de wederzijdse belangen. Bron: Ktr. Emmen, 29 november 2000 (JAR 2001, 4)
Een werknemer (52 jaar) is sinds 1983 in dienst van De Drukkerij in de functie van calculator. In 1998 is werknemer berispt wegens het veelvuldig bellen van sekslijnen met de bedrijfstelefoon. In 2006 is bij de werknemer een psychisch stoornis vastgesteld en heeft De Drukkerij werknemer aangeboden hulp te verlenen. Medio mei 2009 heeft De Drukkerij op de computer van werknemer 25.000 pornografische internetbestanden aangetroffen. Werknemer is op non-actief gesteld. De Drukkerij verzoekt thans ontbinding wegens primair een dringende reden en subsidiair veranderingen in de omstandigheden. Werknemer voert verweer en stelt onder andere dat hij thans (gedeeltelijk) arbeidsongeschikt is zodat het opzegverbod tijdens ziekte geldt. De kantonrechter oordeelt als volgt. Het verzoek houdt geen verband met de arbeidsongeschiktheid, zodat het beroep op de reflexwerking van het opzegverbod moet worden afgewezen. Het verweer van de werknemer dat mogelijke andere personen op zijn computer hebben gewerkt, wordt eveneens verworpen omdat de bestanden op de persoonlijke harde schijf zijn aangetroffen. De enkele omstandigheid dat werkgever geen reglement hanteert ten aanzien van het gebruik van internet tijdens werktijd kan er niet toe leiden dat de gedragingen van werknemer geen grond kunnen vormen voor de ontbinding van de arbeidsovereenkomst. De kantonrechter acht geen dringende reden aanwezig, omdat niet is gebleken dat werknemer de door hem bezochte websites ook heeft verspreid onder collega’s of hen daar anderszins mee heeft geconfronteerd. Ook weegt mee dat werknemer een lange staat van dienst heeft en onvoldoende is gebleken dat het internetgebruik nadelige invloed heeft gehad op zijn arbeidsprestaties. Wel leidt het voorgaande tot een verstoorde arbeidsrelatie. Volgt ontbinding van de arbeidsovereenkomst zonder toekenning van enige vergoeding. Bron: Ktr. Haarlem, 1 september 2009 (ECLI:NL:RBHAA:2009:BJ7362)
Ook indien er geen reglement is en/of bestendig beleid bestaat binnen een bedrijf kan derhalve onder omstandigheden tot beëindiging van het dienstverband (zonder toekenning van enige vergoeding) worden gekomen. Het blijft echter verstandig wel een gedragscode/reglement op te stellen en te hanteren. Raadzaam is bovendien om de gedragscode/ het reglement levend te houden binnen de organisatie door hier regelmatig (al dan niet naar aanleiding van een concrete aanleiding) onder het personeel (opnieuw) de aandacht op te vestigen.
Een werknemer zit in het managementteam (MT) van een werkgever. De werknemer wordt vrijgesteld van werkzaamheden nadat in de e-mailbox van een collega (mevrouw X) van werknemer een zeer groot aantal e-mailberichten van hem (aan mevrouw X) was aangetroffen. Deze mails betroffen volgens werkgever onder meer zeer disrespectvolle mails waarin medewerkers van de werkgever belachelijk worden gemaakt. Bij werkgever geldt een internet- en emailbeleid. De werkgever laat weten een gedegen onderzoek te zullen doen om tot een zorgvuldige beslissing te kunnen komen inzake de toekomst van de werknemer bij de werkgever. Vier dagen na de vrijstelling laat werkgever weten afscheid te willen nemen van werknemer en dat het onderzoek niet wordt afgewacht. De werkgever verzoekt ontbinding van de arbeidsovereenkomst. De werknemer voert onder meer als verweer dat het overleggen door werkgever van e-mailberichten van hem in strijd is met zijn recht op een persoonlijke levenssfeer en dat daar geen waarschuwing aan vooraf is gegaan zodat in strijd met art. 8 EVRM en 13 Grondwet is gehandeld. De kantonrechter oordeelt dat e-mailberichten weliswaar vallen onder de privacybescherming van art. 8 EVRM en dat inbreuk op deze privacy strijd met art. 7:611 BW zou kunnen opleveren, maar dat deze inbreuk in dit geval als gerechtvaardigd en proportioneel dient
254 Deel 3 RECHTEN EN PLICHTEN
Voorbeeld
Voorbeeld
3.3.2
Voorbeeld
te worden aangemerkt. De kantonrechter is namelijk van oordeel dat de werkgever gelet op het grote aantal e-mailberichten van werknemer die bij mevrouw X tijdens haar ziekte werden aangetroffen en het ontbreken van een onderwerp (in de onderwerpregel) bij de e-mailberichten redelijkerwijs kon worden overgaan tot het inzien van de inhoud ervan. Het staat voldoende vast, werknemer erkent dit, dat de hoeveelheid e-mailberichten aan mevrouw X enerzijds en de inhoud van een aantal van deze berichten anderzijds een ernstige deuk in het vertrouwen van de werkgever in de werknemer hebben veroorzaakt. De kantonrechter is echter van oordeel dat van de werkgever als goed werkgever (art. 7:611 BW) verwacht mocht worden dat hij eerst en op rustige wijze met werknemer in gesprek zou gaan over de e-mailberichten en dat redelijkerwijs van hem verwacht mocht worden het dienstverband wel voort te zetten. Bij dat laatste is betrokken dat werknemer steeds goed heeft gefunctioneerd, er nooit klachten waren over zijn gedrag, de betreffende emailberichten niet bij andere werknemers terecht zijn gekomen en de werknemer aannemelijk heeft gemaakt dat hij bereid was over de e-mail berichten te spreken en daarbij het boetekleed aan te willen en kunnen trekken. De kantonrechter is anderzijds van oordeel dat er geen basis meer is voor een vruchtbare samenwerking tussen de partijen. Nu werkgever voor de vertrouwensbreuk het meest verantwoordelijk is, wordt een vergoeding boven neutraal toegekend (Bron: Rechtbank Gelderland, 10 oktober 2013 - RAR 2014/20).
Een assessmentbureau rapporteert haar bevinden aan haar opdrachtgever onder meer aan de hand van een persoonlijk en biologisch profiel van de kandidaat. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht. Een deel van de mensen die dit assessment ondergaat, doet dit binnen een al bestaande arbeidsrelatie. De Autoriteit Persoonsgegevens onderzoekt de gang van zaken en oordeelt dat de handelwijze niet in overeenstemming is met de regels omtrent het verwerken van persoonsgegevens. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen namelijk geen sprake van ‘vrije’ toestemming door de werknemer. De Autoriteit Persoonsgegevens draagt het assessmentbureau op om waarborgen in te bouwen waardoor de toestemming, zoals gegeven door de werknemer aan het assessmentbureau, voldoende vrij is. Het assessmentbureau geeft hier ook gehoor aan. Zo wordt er een raamovereenkomst opgesteld voor de werkgever, deelt het assessmentbureau geen informatie over de deelnemer meer met de werkgever en worden de assessments niet meer in groepssessies afgenomen. Ook is er een aparte assessment-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens (zoals over gezondheid, waaronder psychische gesteldheid) worden verwerkt en worden klanten nu op de juiste manier geinformeerd bij het vragen om toestemming (bron: onderzoek Autoriteit Persoonsgegevens z2016-00227, zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-verwerking-bijzondere-persoonsgegevens-door-braincompass-strijd-met-privacywet en https://autoriteitpersoonsgegevens.nl/nl/nieuws/braincompass-past-werkwijze-aan-na-onderzoek-ap).
Algemene verordening gegevensbescherming
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is Europese wetgeving en is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. De voorheen in Nederland geldende Wet bescherming persoonsgegevens (Wbp) is komen te vervallen.
Op nationaal niveau zijn de (nadere) regels rondom gegevensverwerking vastgelegd in de Uitvoeringswet AVG.
3.3.2.1 Verwerking van persoonsgegevens
Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een bepaalde persoon. Daarbij gaat het niet alleen om de gebruikelijke personalia (naam, adres, geboortedatum), maar ook om gegevens over eigenschappen, opvattingen of gedragingen van een bepaalde persoon. Ook foto's of video-opnamen van een persoon, of gegevens over bijvoorbeeld zijn telefoon- of computergebruik zijn als persoonsgegevens aan te merken. Het gaat in feite om al die gegevens die tot een individuele persoon te herleiden zijn.
Onder verwerking van persoonsgegevens verstaat de AVG ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter
255 Hoofdstuk 3.3 Privacy
3.3.2.2
Hoofdonderscheid
beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’. Met andere woorden: er zal in de praktijk al snel sprake zijn van gegevensverwerking in de zin van de AVG.
De natuurlijke persoon op wie de (te verwerken) persoonsgegevens betrekking hebben wordt ‘de betrokkene’ genoemd.
Een essentieel hoofdonderscheid dat de AVG maakt, is tussen de Verwerkingsverantwoordelijke en de Verwerker van de persoonsgegevens. De verwerkingsverantwoordelijke is degene die ‘het doel van en de middelen voor de verwerking vaststelt’. De verwerker is degene die ‘ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’. In de Handleiding Algemene verordening gegevensbescherming van de Autoriteit Persoonsgegevens (AP) is het onderscheid in een overzichtelijk schema uitgewerkt.
3.3.2.3 Verplichtingen verwerkingsverantwoordelijke
De verwerking van persoonsgegevens moet voldoen aan de volgende eisen (artikel 5 AVG): de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (‘rechtmatigheid, behoorlijkheid en transparantie’); de verwerking moet gebonden zijn aan specifieke verzameldoelen (‘doelbinding’); de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (‘minimale gegevensverwerking’); de gegevens moeten juist zijn (‘juistheid’); de gegevens mogen niet langer worden bewaard dan nodig (‘opslagbeperking’); gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (‘integriteit en vertrouwelijkheid’).
De verantwoordelijkheid om toe te zien op de naleving van deze eisen rust op de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze eisen voldoet (de verantwoordingsplicht). Dit houdt concreet in dat de verwerkingsverantwoordelijke: een register van verwerkingsactiviteiten bij moet houden (de registerplicht); onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan moet stellen; voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit moet voeren; de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit moet raadplegen (voorafgaande raadpleging); bij het inrichten van verwerkingen rekening moet houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default); passende beveiligingsmaatregelen moet treffen met het oog op de bescherming van persoonsgegevens; in het geval van een datalek melding moet doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de betrokkenen; afspraken moet maken met verwerkers; medewerking moet verlenen aan de Autoriteit Persoonsgegevens.
Van een rechtmatige verwerking is uitsluitend sprake in de volgende gevallen: de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name
256 Deel 3 RECHTEN EN PLICHTEN
Rechtmatige verwerking
Verwerkersovereenkomst
wanneer de betrokkene een kind is.
Dit zijn ieder voor zich juridische en abstracte normen. In hoofdstuk 4 van de Handleiding Algemene verordening gegevensbescherming heeft de Autoriteit Persoonsgegevens deze normen verder uitgewerkt.
In het kader van de verantwoordingsplicht van de verwerkingsverantwoordelijke moet aan de verwerking door een verwerker een overeenkomst (of andere rechtshandeling) tussen de verwerkingsverantwoordelijke en de verwerker ten grondslag liggen. In deze overeenkomst moet ten minste zijn opgenomen: het onderwerp en de duur van de verwerking; de aard en het doel van de verwerking; het soort persoonsgegevens en de categorieën van betrokkenen; en de rechten en verplichtingen van de verwerkingsverantwoordelijke;
en verder dat de verwerker: de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van de verwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht); waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting; minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als de verwerkingsverantwoordelijke; de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen; de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken; na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens wist of teruggeeft, en bestaande kopieën verwijdert; de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken; afspraken met betrekking tot sub-verwerkers maakt, op wie dezelfde verplichtingen van toepassing zijn als op de verwerker in relatie tot de verwerkingsverantwoordelijke.
Belangrijkste wijzigingen ten opzichte van de Wbp
Voor organisaties zijn de voornaamste wijzigingen dat zij: een verantwoordingsplicht hebben; verwerkingen van persoonsgegevens niet meer hoeven te melden bij de Autoriteit Persoonsgegevens; verplicht kunnen zijn een data protection impact assessment (DPIA) uit te voeren; en verplicht kunnen zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.
De verantwoordingsplicht houdt in dat organisaties met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. De AVG verplicht organisaties onder meer tot: het bijhouden van een register van verwerkingsactiviteiten; het uitvoeren van een data protection impact assessment (DPIA); het bijhouden van een register van datalekken die zijn opgetreden; het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer de organisatie voor een verwerking toestemming nodig heeft.
Het DPIA, in het Nederlands ‘gegevensbeschermingseffectbeoordeling’ genoemd, is een instrument om vooraf privacyrisico’s van gegevensverwerking in kaart te brengen. Deze beoordeling is niet in alle gevallen verplicht, maar wel als de gegevensverwerking waarschijnlijk een hoog risico oplevert voor de personen van wie de gegevens worden ver-
257 Hoofdstuk 3.3 Privacy
3.3.2.4
Criteria gegevensverwerking op grote schaal
werkt. Volgens de AVG is daar sprake van als de organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van verwerkingen waar een DPIA voor verplicht is. Voorbeelden zijn cameratoezicht (stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones) en de controle van werknemers (grootschalige en/of systematische verwerking van persoonsgegevens om activiteiten van werknemers te monitoren, bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding).
De AVG kent geen concrete definitie van het begrip ‘grote schaal’, maar criteria waar aan getoetst kunnen worden zijn onder andere het aantal betrokkenen van wie gegevens worden verwerkt, de hoeveelheid gegevens die worden verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking. Voorbeelden van organisaties die door Europese toezichthouders worden aangemerkt als organisaties die op grote schaal gegevens verwerken zijn:
een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden;
een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen (bijvoorbeeld door hen te volgen via reiskaarten);
een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden;
een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden;
een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag;
een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten, zoals inhoud, verkeer en locatie.
Als sprake is van het verwerken van persoonsgegevens op grote schaal, is er ook een verplichting tot het aanwijzen van een Functionaris Gegevensverwerking (FG). Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken.
De verplichting tot het aanstellen van een FG geldt ook als vanuit de kernactiviteiten op grote schaal individuen worden gevolgd of er op grote schaal bijzondere persoonsgegevens worden verwerkt en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken. Of die tot de hoofdtaken van de organisatie horen. De AP geeft als voorbeeld dat de verwerking van gegevens over de gezondheid een kernactiviteit is van een ziekenhuis. Maar de verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de salarisadministratie, valt buiten de kernactiviteiten.
Uitzondering
De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig, aldus de Autoriteit Persoonsgegevens.
Verwerkingsregister
De AVG verplicht tot het opstellen en bijhouden van een verwerkingsregister. Dit is noodzakelijk met het oog op het aan kunnen tonen dat de verwerking van persoonsgegevens plaatsvindt binnen de kaders van de wettelijke normen die de AVG stelt. Het volgende moet in het register worden opgenomen: uw naam en contactgegevens, of indien van toepassing die van uw vertegenwoordiger; waar van toepassing de naam en contactgegevens van partijen waarmee u gezamen -
258 Deel 3 RECHTEN EN PLICHTEN
Kernactiviteit
Rechten betrokkenen
lijk verwerkingsverantwoordelijke bent; de contactgegevens van uw functionaris voor gegevensbescherming als u die heeft aangesteld; de verwerkingsdoeleinden; een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie. Daarbij dient u ook de documenten inzake de passende waarborgen te vermelden; indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Wanneer de verwerkingsactiviteiten wijzigen, moet het register daarop worden aangepast.
Ook de verwerker is verplicht een register bij te houden. Dit register ziet op de ten behoeve van de verwerkingsverantwoordelijke verwerkte persoonsgegevens en bevat: de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming; de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Uitgangspunt van de AVG (zoals dat onder de Wbp ook gold) is dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze verwerkt zijn. Hier gelden geen ‘hard en fast rules’ en het zal afhangen van de (aard van de) persoonsgegevens en het doel waarvoor ze verwerkt zijn wat een reële en redelijke bewaartermijn is. Onder de Wbp gold een Vrijstellingsbesluit met daarin richtlijnen wat per categorie persoonsgegevens beschouwd kon worden als een reële en redelijke bewaartermijn: sollicitatiegegevens: vier weken na de sollicitatieperiode, tenzij de kandidaat akkoord is met langer bewaren (tot één jaar); camerabeelden: vier weken na opname, tenzij langer nodig is voor onderzoek naar een bepaald incident; personeelsdossiers (functioneringsverslagen e.d.): twee jaar na einde dienstverband; re-integratiedossiers: twee jaar na volledige re-integratie; afspraken over concurrentie/relatiebedingen: zolang als de bedingen lopen; afspraken over opleidingskosten: gedurende het dienstverband en daarna gedurende de periode dat de werknemer moet terugbetalen; logfiles van computersystemen en e-mail/internet-monitoring: zes maanden na logging.
Opmerking verdient dat dit slechts richtlijnen waren, waarvan dus afgeweken kan worden. Bovendien is het Vrijstellingsbesluit met de invoering van de AVG vervallen en het biedt dus geen juridische basis meer.
De AVG kent aan betrokkenen verschillende rechten toe met betrekking tot de verwerking van hun persoonsgegevens. Als een betrokkene zich op (een van) deze rechten beroept, is de verwerkingsverantwoordelijke verplicht daar gehoor aan te geven. Gebeurt dit niet, dan kan de AP hier een boete voor opleggen. De rechten van de betrokkene zijn: het recht op informatie over de verwerkingen; het recht op inzage in zijn gegevens; het recht op correctie van de gegevens als deze niet kloppen; het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
259 Hoofdstuk 3.3 Privacy
Bewaartermijnen
Verwerking van persoonsgegevens bij arbeidsongeschiktheid
het recht op beperking van de gegevensverwerking; het recht op verzet tegen de gegevensverwerking; het recht op overdracht van zijn gegevens (dataportabiliteit); het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
Met het oog op de opheffing van een loonstop vraagt een werknemer zijn werkgever om afgifte van nog niet-ontvangen stukken uit zijn personeelsdossier en een opgave van de gegevens die zijn verwerkt. De werkgever geeft aan dit verzoek geen gehoor, omdat de stukken al eerder aan de werknemer zijn verstrekt of bij de werknemer al bekend zijn (bijvoorbeeld de gegevens rond het ziekteverloop).
De kantonrechter oordeelt in het voordeel van de werknemer en veroordeelt de werkgever, op straffe van een dwangsom, tot afgifte:
“(…) Het uitgangspunt van de AVG is het transparantiebeginsel: iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren (overweging 63 van de AVG). Artikel 15 AVG geeft betrokkenen dan ook het recht op inzage en op een kopie van de persoonsgegevens zonder daaraan andere beperkingen te verbinden dan de rechten en vrijheden van anderen. Artikel 12, derde lid, AVG bepaalt dat verzochte informatie in ieder geval binnen een maand na ontvangst van het verzoek moet worden verstrekt. Artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) noemt een beperkt aantal uitzonderingen waarin het recht op inzage geweigerd kan worden. Het gaat dan bijvoorbeeld om de bescherming van de openbare veiligheid of de onafhankelijkheid van de rechter. Asta voert als verweer tegen de vordering tot afgifte van stukken uit het personeelsdossier aan dat de stukken waarvan werknemer nu een kopie vraagt al eerder aan hem zijn verstrekt of dat hij met de gegevens die daarin staan bekend is of moet zijn (zoals bijvoorbeeld gegevens omtrent zijn ziekteverzuim en ziekteverloop). Dit behoort echter niet tot de uitzonderingen genoemd in artikel 41 UAVG. Bekendheid met gegevens is geen grond voor het niet verstrekken van stukken. Verder is in lid 3 van artikel 15 AVG vastgelegd dat voor het verstrekken van bijkomende kopieën geen andere kosten in rekening mogen worden gebracht dan een redelijke vergoeding op basis van de administratieve kosten. Daaruit volgt dat de betrokkene ook om een kopie kan vragen van stukken die al eerder (ooit eens) zijn verstrekt. Naar het oordeel van de kantonrechter heeft werknemer dan ook een rechtmatig belang bij afgifte van de stukken in zijn personeelsdossier die hem niet reeds na zijn verzoek in april 2018 zijn verstrekt. De kantonrechter is tevens van oordeel dat werknemer daarbij een spoedeisend belang heeft. Hij heeft een conflict met zijn werkgever en het is voor hem van belang om te weten wat er in zijn personeelsdossier zit. Asta heeft de wettelijke termijn van één maand niet in acht genomen en zonder bevel van de kantonrechter is niet te verwachten dat zij werknemer binnen een redelijke termijn zal geven waarop hij recht heeft. (…)” (Ktr. Den Haag 31 augustus 2018, ECLI:NL:RBDHA:2018:10910)
De verwerking van persoonsgegevens over de gezondheid van zieke werknemers is (al jaren) een heet hangijzer. De basis voor de rechten en plichten zijn de Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers. Hoewel deze beleidsregels dateren van vóór de AVG zijn deze nog altijd leidend, zoals de AP en het ministerie van SZW in een gezamenlijke uitleg aangeven (zie ook www.arboportaal.nl).
Op grond van de beleidsregels mag de werkgever alleen vragen naar gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen. In dat kader mag de werkgever de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen van de werknemer. Zo mag bijvoorbeeld niet worden gevraagd ‘hoeveel kun je nog tillen’, ‘kun je op je knieën zitten’, ‘hoelang kun je geconcentreerd werken’, ‘is hectiek op de afdeling een probleem’ of ‘kun je in een groep werken’.
De beleidsregels bevatten helaas geen aanknopingspunten voor vragen die in de praktijk wél zijn toegestaan. Om het zekere voor het onzekere te nemen is het verstandig om bij twijfel zoveel mogelijk via de bedrijfsarts te laten lopen; de bedrijfsarts kan de medisch vertrouwelijke informatie van de werknemer immers vertalen naar de praktische belast-
260 Deel 3 RECHTEN EN PLICHTEN
Voorbeeld
Meldplicht datalekken
baarheid van de werknemer.
Onder een datalek wordt verstaan ‘een inbreuk in verband met persoonsgegevens’ waarbij sprake is van een inbreuk op de beveiliging ‘die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’. Het moet gaan om een daadwerkelijke inbreuk; bij enkel de dreiging van een datalek omdat de beveiliging is gecompromitteerd, is nog geen sprake van een datalek.
Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens, onder verstrekking van (in ieder geval) de volgende informatie: de aard en omvang van de inbreuk; waar mogelijk de categorieën van betrokkenen, de persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die u heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Op het niet (tijdig) melden van een datalek bij de AP staat een boete. De Handleiding Algemene verordening gegevensbescherming van de AP vermeld in dit verband:
‘Overtredingen van de bepalingen die zien op de (verantwoordings)plichten die rusten op organisaties, zoals het doen van een gegevensbeschermingseffectbeoordeling of het doen van een melding in geval van een datalek, kunnen worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is.
Overtredingen van de bepalingen over de principes, rechtsgrondslagen en rechten van betrokkenen, kunnen worden gesanctioneerd met een administratieve boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, in het geval deze hoger is.’
Let op
De introductie van de AVG heeft veel stof doen opwaaien. Zelden kwam nieuwe wetgeving zo veelvuldig in het nieuws, of vormde deze zo vaak onderwerp van gesprek op feestjes, als de AVG. De voorganger van de AVG, in Nederland de Wet bescherming persoonsgegevens, leefde in verhouding tot de AVG zowat een sluimerend bestaan. Een bijkomend gevolg van de grote bekendheid van de AVG is dat (ook) werknemers zich bewust zijn van hun privacyrechten en er veel meer dan voorheen een beroep op doen. De rechtspraak over de werking van de AVG in de arbeidsrelatie is nog volop in ontwikkeling. Het strekt te ver om daar in deze uitgave een goed beeld van te geven; dat vergt een zelfstandige uitgave. Resumerend is het voor werkgevers van belang zich goed te laten informeren over de ins en outs van de AVG. De praktijk laat zien dat veel werkgevers de AVG nog niet of niet goed hebben geïmplementeerd, terwijl dit wel al gebeurd had moeten zijn. Dit brengt inherent risico’s met zich en behoort aldus een punt van aandacht te zijn.
Op grond van de Wet op de Ondernemingsraden (WOR) moet een werkgever aan de ondernemingsraad instemming vragen bij het instellen en toepassen van regelingen omtrent persoonsgegevens. Hieronder valt zowel de persoonsregistratie (zoals opgeslagen persoonlijke dossiers van de werknemers) als de personeelsvolgsystemen. Bij dit laatste kan men denken aan camera's, meeluisterapparatuur bij telefoongesprekken, en prikklokken. Ook een GPS-systeem ingebouwd in een bedrijfsauto, waarmee wordt vastgelegd waar een auto zich bevindt en wanneer er mee gereden wordt, is te beschouwen als een personeelsvolgsysteem.
De AP heeft speciaal voor de ondernemingsraden een checklist gemaakt waarbij, aan de hand van 25 toetsingsvragen met voorbeelden de belangrijkste voorwaarden voor het behoorlijk, zorgvuldig en rechtmatig omgaan met persoonsgegevens van medewerkers op het werk, kunnen worden besproken (zie ook https://autoriteitpersoonsgegevens.nl/sites/ default/files/downloads/brochures/bro_orchecklist.pdf.
261 Hoofdstuk 3.3 Privacy
3.3.3 Wet op de ondernemingsraden
Let op
3.3.4 Enkele specifieke controlemiddelen
Deze checklist is gemaakt op basis van de Wet bescherming persoonsgegevens. Deze checklist is (vooralsnog) niet bijgewerkt in het kader van de Algemene verordening gegevensbescherming. Ondernemingsraden kunnen ook op deze pagina van de AP specifieke informatie vinden.
Er komt steeds geavanceerdere apparatuur op de markt die ingezet kan worden als controle-instrument jegens werknemers. Wat is toelaatbaar en wat niet? Soms gelden er specifieke regels of zijn gedragscodes opgesteld. En anders zal de rechter moeten beoordelen of een bepaald instrument toelaatbaar is als controlemiddel en of de daaruit afgeleide gegevens als bewijs kunnen dienen in een gerechtelijke procedure.
3.3.4.1 Internet- en e-mailgebruik
Het niet-zakelijk gebruik van internet en e-mail door de werknemer op de werkplek kan door de werkgever worden verboden of slechts in bepaalde mate worden toegestaan. Echter, de controle door de werkgever op de naleving van zo'n regel levert doorgaans een inbreuk op de privacy van de werknemer op. De werkgever zal dan ook zeer zorgvuldig te werk moeten gaan. Van belang is dat de werknemer van tevoren op de hoogte is van de controlemogelijkheden van de werkgever. De controle-instrumenten moeten ook helder, noodzakelijk en doelmatig zijn en de privacy niet onnodig schaden. Het openen en doorlezen van duidelijke privé-e-mailberichten wordt veelal als een niet toegestane inbreuk op de privacy beschouwd.
Voorbeeld
Tijdens ziekte van een werkneemster bij de Arbeidsinspectie (Inspectie SZW) heeft haar teamleider haar e-mail bezien, om na te gaan of zich daarbij correspondentie bevond die van belang was voor de afhandeling van lopende werkzaamheden. Bij de e-mail bevonden zich ook berichten waarin de werkneemster zich laatdunkend uitliet over haar afdeling en teamleider. De werkneemster wordt hierop aangesproken en er wordt aangekondigd dat zulks aan de orde zal komen bij het eerstvolgende beoordelingsgesprek. De werkneemster klaagt hierover bij de formele werkgever het Ministerie van SZW. Deze gaat alleen in op de vraag of e-mail als zodanig gecontroleerd mag worden. De werkneemster dient vervolgens een klacht in bij de Nationale Ombudsman. Deze oordeelt dat de werkgever ervoor moet waken dat de voortgang van het werk niet in gevaar komt, en dat de werkneemster er rekening mee moest houden dat om die reden de werkgever de e-mailbox zou inzien. Temeer omdat de gedragscode binnen het bedrijf die mogelijkheid ook noemt.
Echter, door emailberichten te openen met onderwerpsaanduidingen zoals ‘even ontspannen’ en ‘fitness’ en ‘wat lees ik nou’ en deze berichten, die persoonlijk van karakter waren, geheel door te lezen heeft de teamleider het recht op eerbiediging van de persoonlijke levenssfeer van de werkneemster geschonden. Bron: Nationale Ombudsman, 7 juni 2007 (JAR 2007, 164)
Voorbeeld
Een werknemer is op 1 januari 2006 bij een werkgever in dienst getreden als algemeen directeur. Op de arbeidsovereenkomst is een concurrentiebeding van toepassing. Op 29 januari 2009 heeft de werkgever de werknemer medegedeeld voornemens te zijn de arbeidsovereenkomst per 31 januari 2009 op te zeggen wegens een dringende reden. De werknemer stelt zich op het standpunt dat het ontslag niet rechtsgeldig is verleend. Daarbij merkt de werknemer op dat de werkgever de e-mailcorrespondentie tussen hem en zijn schoonzoon onrechtmatig heeft verkregen en dus niet mag gebruiken. De kantonrechter oordeelt als volgt. Onrechtmatig verkregen bewijs dient buiten beschouwing te blijven indien de met de inbreuk aangetaste belangen van de werknemer zwaarder wegen dan de met de inbreuk gediende belangen van de werkgever. De kantonrechter is van oordeel dat het hier aangetaste (privacy)belang de houdster van de betrokken e-mailaccount beoogt te beschermen. Vast staat dat de gebruikte e-mailaccount op naam van Y stond, zodat het haar privacybelang is dat in geding is en mogelijk het afgeleide privacybelang van degenen waarmee zij door middel van deze e-mailaccount correspondeert. Naar het oordeel van de kantonrechter strekt dit belang zich echter niet zover uit dat ook derden, die onderling gebruik maken van deze account om mails te sturen, met de strekking als de in geding gebrachte mails, daaraan een voldoende zwaarwegend afgeleid belang kunnen ontlenen om in deze procedure tot bewijsuitsluiting van de e-mails te leiden. Lezing van de e-mails brengt de kantonrechter tot de conclusie dat er niet slechts vrijblijvende gedachten werden geuit door werknemer omtrent mogelijke nevenactiviteiten, maar dat daadwerkelijke stappen werden genomen om te komen tot een directe concurrentie met de werkgever.
262 Deel 3 RECHTEN EN PLICHTEN
Bedrijfsregels/gedragscode
Let op
Onderdeel van deze uitvoeringshandelingen waren het buiten de kring van de direct betrokkenen brengen van de plannen, het actief verwerven van benodigde informatie en het schrijven van een businessplan. Deze handelingen leveren een dringende reden op. Voorts acht de kantonrechter het ontslag ook onverwijld verleend. Het feit dat tussen de ontdekking van de dringende reden en het ontslag een aantal dagen zat, is onder de gegeven omstandigheden gerechtvaardigd. Ontslag op staande voet is dan ook rechtsgeldig verleend en de vordering van de werknemer wordt afgewezen. Bron: Ktr. Sittard-Geleen, 7 juli 2010 (ECLI:NL:RBMAA:2010:BN9957)
Bij voorkeur dienen de regels van al dan niet toegestaan gebruik van internet en e-mail tevoren schriftelijk binnen de organisatie bekend te zijn gemaakt aan de individuele werknemer, zodat duidelijk is vastgelegd wat wel of niet mag.
Uit de jurisprudentie volgt dat een werkgever moet aanvaarden dat er binnen zekere grenzen enig privécontact via de e-mail wordt onderhouden.
Ook de controlemogelijkheden door de werkgever kunnen in de bedrijfsregels/gedragscode beschreven staan en de mogelijke sancties bij overtreding van de regels. Elk bedrijf kan zijn eigen regeling opstellen.
Let op
De ondernemingsraad moet instemming verlenen aan de bedrijfsregels omtrent e-mailen internetgedrag.
Uit de rechtspraak blijkt dat van belang is of een werknemer tevoren goed is geïnformeerd over wat wel en niet mag en wat de gevolgen kunnen zijn bij overtreding van de regels. Is er een duidelijke gedragscode opgesteld dan geldt de werknemer eerder als te zijn ‘gewaarschuwd’.
Autoriteit Persoonsgegevens Voorbeeld
De Autoriteit Persoonsgegevens (het vroegere College Bescherming Persoonsgegevens) heeft in het verdere verleden al vuistregels opgesteld voor het gebruik van e-mail en internet door de werknemer en de controle daarop door de werkgever. De belangrijkste vuistregels zijn: behandel zaken online op dezelfde manier als offline; stel heldere regels op met de instemming van de ondernemingsraad; publiceer de regels op een voor de werknemer toegankelijke wijze; bespreek geconstateerd gedrag zo spoedig mogelijk met de werknemer; biedt inzage in de gegevens.
Deze vuistregels gaan ook thans, onder de AVG, nog steeds op. Op de huidige webpagina van de Autoriteit Persoonsgegevens is bovendien een aparte pagina beschikbaar met informatie over het controleren en monitoren van werknemers, waaronder een frequently-asked-questions. Zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel
Ook indien er binnen een onderneming duidelijke gedragscodes gelden over (bijvoorbeeld) het gebruik van internet en e-mail, wil dat nog niet zeggen dat een overtreding van die regels zonder meer ontslag rechtvaardigt. De rechter zal per geval beoordelen of die sanctie passend is.
Een werkgever stelt vast dat zijn werknemer gedurende twee maanden dagelijks internetsites van pornografische aard heeft bezocht. Er is een gedragscode geldig binnen het bedrijf waarin onder meer is aangegeven dat internetgebruik maatschappelijk aanvaardbaar moet zijn, dat e-mailadressen ook kunnen worden uitgelezen van de pc als men bepaalde websites bezoekt en dat men daarom op zijn hoede moet zijn, en voorts dat de afdeling ict op verzoek van de directie gegevens aanlevert van websites die vanuit het netwerk van het bedrijf zijn bezocht. De werkgever stelt de werknemer op non-actief en vraagt ontbinding van de arbeidsovereenkomst aan. De rechter wijst dit verzoek af, om de volgende redenen: het bezoek van de pornosites vond plaats in een relatief korte periode, in die periode is de werknemer niet opgevallen wegens vermindering van arbeidsprestaties, zijn beoordeling kort hiervoor was goed, hij heeft geen derden erbij betrokken, werknemer is 58 jaar en kan binnen korte termijn met de vut, hetgeen niet mogelijk
263 Hoofdstuk 3.3 Privacy
3.3.4.2 Toezicht werkgever op internet- en e-mailgebruik
is als het dienstverband nu wordt verbroken.
Vanwege deze omstandigheden had de werkgever volgens de rechter een minder vergaande maatregel moeten toepassen. Bron: Ktr. Amsterdam, 17 juni 2005 (JAR 2005, 177)
In bepaalde sectoren kan van een werknemer verlangd worden dat hij meewerkt aan screeningsonderzoeken in het kader van bij klanten te verrichten werkzaamheden. De werkgever moet daar zeer zorgvuldig mee omgaan. Ten eerste moet de noodzaak van zo’n onderzoek in het concrete geval vaststaan, De werkgever zal daarnaast ook duidelijke criteria moeten opstellen ten aanzien van de screeningseisen, rekening houdende met de privacy belangen van de werknemer.
Werknemer X is als onderhoudstechnicus voor koffiemachines werkzaam bij werkgever Y. Aan X is verzocht om mee te werken aan een screeningsverzoek van een klant, een grote bank. X heeft dit geweigerd om redenen van privacy, waarop zijn werkgever bij de kantonrechter verzoekt om beëindiging van de arbeidsovereenkomst. De kantonrechter wijst het verzoek af. Ten eerste is het verzoek voorbarig, omdat werknemer X zelden bij de betreffende bank de onderhoudswerkzaamheden moet verrichten en ook niet gebleken is dat de weigering tot concrete problemen heeft geleid. Verder acht de kantonrechter het van belang dat de werkgever geen beleid heeft gemaakt ten aanzien van screeningseisen van klanten. Dit had de werkgever wel moeten doen. Een goed werkgever mag immers pas verlangen van zijn werknemer om mee te werken aan een screening als hij zelf heeft vastgesteld dat de privacy van de werknemer is gewaarborgd. Zo'n beleid, met duidelijke criteria, moet bovendien zijn voorgelegd aan de ondernemingsraad. Bron: Ktr. Apeldoorn, 31 mei 2010 (JAR 2010, 149)
Een belangrijke uitspraak over het toezicht van werkgevers op o.a. e-mailgebruik is het Barbulescu-arrest van het Europees Hof voor de Rechten van de Mens van 5 september 2017. Dit betrof een zaak die was aangespannen door een Roemeense werknemer die in 2007 was ontslagen wegens, volgens de werkgever, ongeoorloofde privécommunicatie via een werkaccount. Het Hof komt tot het oordeel dat er geen goede balans is aangebracht tussen enerzijds de belangen van de werknemer op privacy en anderzijds het recht van de werkgever op controle en toezicht. Het Hof oordeelt dat monitoring van e-mailverkeer van werknemers is toegestaan op voorwaarde dat: de werknemer vooraf is geïnformeerd over de (mogelijkheid tot) controle en de reikwijdte van die controle; er vooraf kenbaar gemaakte legitieme doeleinden zijn voor het uitvoeren van de controle; de controle proportioneel is; de controle niet op een andere, minder ingrijpende wijze mogelijk is.
In het concrete geval heeft het Hof geoordeeld dat de privacyrechten van de werknemer geschonden zijn. (bron: ECLI:CE:ECHR:2017:0905JUD00649608).
Het Barbulescu-arrest is een voorbeeld van een zaak waaruit blijkt hoe belangrijk de ‘reasonable expectation of privacy’ van de betrokkene is. Met andere woorden: welke mate van privacy had de betreffende persoon (in dit geval werknemer Barbulescu) in de gegeven omstandigheden in redelijkheid mochten verwachten? Voor de invulling van deze ‘reasonable expectation of privacy’ binnen de arbeidsrelatie zijn bedrijfsregels, gedragsregels waarin duidelijk staat wat de werknemer wel of niet mag verwachten bijgevolg van wezenlijk belang.
3.3.4.3 Cameratoezicht
In bepaalde situaties kan de werkgever het noodzakelijk of wenselijk achten om gedragingen van werknemers vast te leggen. Dit kan te maken hebben met het verkrijgen van bewijs in geval van verdenking van onrechtmatig gedrag van een of meer werknemers in een concreet geval. Bijvoorbeeld, er verdwijnen regelmatig goederen uit het magazijn en de werkgever verdenkt een of meer werknemers van diefstal. Een werkgever kan er ook belang bij hebben dat hij ziet hoe een werknemer zijn werkzaamheden verricht. De werkgever wil daartoe een werknemer een tijdje observeren. Het gebruik van camera's, en met name het heimelijk filmen, door de werkgever is echter niet zonder meer toegestaan. Dit omdat heimelijk cameratoezicht een strafbaar feit oplevert voor de werkgever en in een procedure het daardoor verkregen bewijs, als onrechtmatig
264 Deel 3 RECHTEN EN PLICHTEN
Screening
Voorbeeld
Let op
verkregen, buiten beschouwing kan worden gelaten.
Het is aan te raden (indien nodig na verkregen toestemming van de ondernemingsraad/ personeelsvertegenwoordiging) in een personeelshandboek/bedrijfsreglement aan te kondigen dat in voorkomende gevallen tijdelijk cameratoezicht kan worden ingesteld. Voorbeeldtekst zou kunnen zijn: ‘De werkgever heeft het recht om in voorkomende gevallen, zoals het vermoeden van een strafbaar feit, tijdelijk over te gaan tot het instellen van cameratoezicht.’
Ten eerste geldt de Algemene verordening gegevensbescherming (AVG) op het cameratoezicht als digitale videotechnieken worden toegepast, hetgeen meestal het geval is. Bij andere cameratechnieken moet natuurlijk altijd nog de norm van het goed werkgeverschap in acht worden genomen. Op grond van de AVG moet met name voldaan worden aan het vereiste dat het cameratoezicht plaatsvindt voor een welbepaald, uitdrukkelijk omschreven doel.
De camera's moeten ook noodzakelijk zijn voor de behartiging van een gerechtvaardigd belang van de werkgever. Overigens moet aan alle normen uit de AVG voldaan worden.
Voor het gebruik van camera's op de werkplek is in beginsel de instemming van de ondernemingsraad nodig. Incidenteel gebruik van camerasystemen, bijvoorbeeld ter bestrijding van diefstal of fraude, kan eventueel zonder instemming van de ondernemingsraad plaatsvinden.
Voor het gebruik van verborgen camera's gelden strengere eisen. Deze mogen alleen ingezet worden als uiterste middel, en incidenteel. Het heimelijk cameratoezicht mag bovendien slechts tijdelijk plaatsvinden. Voorwaarde is verder dat de werknemers vooraf in kennis zijn gesteld over de mogelijke inzet van verborgen camera's onder bijzondere omstandigheden.
Een werknemer is sinds 1973 in dienst van HMS, een horeca-exploitant op Schiphol, in de functie van leidinggevende. Eén dag per week draait hij kassadienst in terminal X. De werknemer heeft een zogenoemde kassiersovereenkomst getekend. Hierin zijn regels omtrent de juiste registratie en afdracht van de kasomzet opgenomen, alsmede regels omtrent (heimelijk camera)toezicht. Op 28 juni 2008 is de werknemer op staande voet ontslagen wegens het verrichten van frauduleuze handelingen en het handelen in strijd met de kassiersovereenkomst. Na onderzoek met een verborgen camera zou HMS geconstateerd hebben dat de werknemer regelmatig geldtransacties ‘buiten de kassa om’ verrichtte. De werknemer vordert in deze procedure wedertewerkstelling. Volgens hem is geen sprake van fraude, maar hooguit van een ‘fout’ wegens drukte in de vestiging. Daarnaast voldoet het cameratoezicht niet aan het kenbaarheidsvereiste. Ten slotte wijst de werknemer op het feit dat hij reeds 37 jaar naar tevredenheid voor HMS werkt. De kantonrechter oordeelt als volgt. Anders dan de werknemer stelt, is wel degelijk aan het kenbaarheidsvereiste voldaan middels de kassiersovereenkomst. Het kenbaarheidvereiste gaat niet zo ver dat een werknemer voorafgaand aan ieder gepland gebruik van een verborgen camera van dat gebruik op de hoogte moet worden gebracht. Dit zou een onderzoek als het onderhavige — waarbij HMS haar vermoeden dat door enkele van haar medewerkers frauduleuze handelingen worden verricht wenst te toetsen — illusoir maken. Wat de dringende reden betreft, oordeelt de kantonrechter als volgt. Het niet volledig naleven van de procedure zoals verwoord in de kassiersovereenkomst levert een omstandigheid op die meeweegt bij de beoordeling van het ontslag op staande voet. Voor fraude is evenwel vereist een opzettelijk handelen van de pleger en het oogmerk om economisch voordeel te behalen. Nu blijkens het rapport van Interseco door de onderzoekers telkens werd gezien dat de werknemer de door hem ontvangen aankoopbedragen in de kassa heeft gedaan, en niet werd geconstateerd dat de werknemer eventuele overschotten uit de kassa heeft weggenomen, is HMS er naar het voorlopige oordeel van de kantonrechter niet in geslaagd om de gestelde fraude aannemelijk te maken. Vooralsnog lijkt het erop dat HMS haar stellingen baseert op een vermoeden. Dit rechtvaardigt geen ontslag op staande voet. Een vertrouwensbreuk evenmin. Bron: Ktr. Haarlem, 7 september 2010 (ECLI:NL:RBHAA:2010:BO9131).
Let op
Het gebruik van verborgen camera's zonder dat de werknemer daarvan tevoren in kennis is gesteld, kan zelfs een strafbaar feit voor de werkgever opleveren. Zie ook het Wetboek
265 Hoofdstuk 3.3 Privacy
Algemene verordening gegevensbescherming
Instemming ondernemingsraad Verborgen camera’s Voorbeeld
3.3.4.4
Voorbeeld
van Strafrecht artikel 139f en 441b. De werkgever, die deze regels niet zorgvuldig in acht neemt, loopt het risico dat de door hem genomen vervolgmaatregelen, zoals een ontslag van de werknemer, als onrechtmatig worden beschouwd. Dit kan betekenen dat het dienstverband niet wordt beëindigd, danwel een hoge (ontbindings)vergoeding wordt toegekend.
Een werknemer (55 jaar) is als persoonlijk begeleider in dienst van een werkgever. De werknemer was onder meer verantwoordelijk voor de verzorging van cliënt Z. In 2009 is de toestand van Z verslechterd. Tussen de werknemer en de familie van Z is verschil van inzicht ontstaan over de wijze van verzorging. Nadat Z is overleden, heeft de familie van Z een klacht ingediend bij de werkgever. De klacht is kracht bijgezet middels door de familie van Z heimelijk verzameld beeldmateriaal waarop werknemers functioneren is vastgelegd. De werkgever heeft — mede op basis van dit beeldmateriaal — de werknemer wegens onethisch handelen op staande voet ontslagen. Thans verzoekt de werkgever voorwaardelijke ontbinding van de arbeidsovereenkomst. De kantonrechter oordeelt als volgt. De verzochte ontbinding zal worden uitgesproken, omdat beide partijen inmiddels te kennen hebben gegeven geen vertrouwen meer te hebben in een vruchtbare voortzetting van de arbeidsovereenkomst. Met betrekking tot de vraag of de werknemer een vergoeding toekomt, overweegt de rechter als volgt. Het ontslag is gebaseerd op als onethisch bestempelde behandeling van Z. De werkgever heeft daarvan kennisgenomen middels beeldmateriaal dat door de familie van Z heimelijk is verzameld. De kantonrechter wijst erop dat de verzameling van dergelijk bewijs via heimelijk cameratoezicht een strafbaar feit ex artikel 139f en 441b Wetboek van Strafrecht oplevert. Door dergelijk bewijs te gebruiken, handelt de werkgever onrechtmatig en is zij strafbaar jegens de werknemer. Het beeldmateriaal zal derhalve niet als bewijs mogen dienen in de onderhavige procedure. De werkgever dient zijn werknemers te beschermen tegen dergelijk handelen van (familieleden van) cliënten. Het had dan ook op de weg van de werkgever gelegen nader onderzoek te doen en niet zonder meer van de juistheid van de klachten van de familie van Z uit te gaan. Ten overvloede merkt de kantonrechter op dat beide partijen alsook de rechter de beelden wel ter zitting hebben gezien en dat hieruit geen onethisch gedrag valt af te leiden. Gelet op het voorgaande ziet de kantonrechter aanleiding om een vergoeding toe te kennen waarbij de correctiefactor is vastgesteld op 2 (€ 100.294,74). Bron: Ktr. Middelburg, 8 april 2010 (LJN BN855).
Afluisteren / opnemen telefoongesprekken
Het afluisteren/opnemen van telefoongesprekken is in beginsel niet toegestaan. Dit volgt uit artikel 13 van de Grondwet, waarin het telefoon- en telegraafgeheim is vastgelegd. Ook kan het zonder voorafgaande aankondiging en/of toestemming een ongeoorloofde inbreuk op de privacy inhouden, op grond van artikel 8 EVRM.
De aard van het werk kan echter meebrengen dat er wordt meegeluisterd en/of telefoongesprekken worden opgenomen. Dit is bijvoorbeeld het geval bij call-centers, waarbij dit middel wordt ingezet bij beoordelingen en kwaliteitsverbeteringen. Het is dan wel van belang dat duidelijk is vastgelegd, bijvoorbeeld in het contract of bedrijfsreglement, dat de werkgever bevoegd is tot meeluisteren en/of opnemen.
Afweging privacy / waarheidsvinding
Voorbeeld
Evenals bij de andere controlemiddelen kan er in de praktijk een spanningsveld ontstaan tussen de privacyregels en de waarheidsvinding. Uiteindelijk bepaalt de rechter wat toelaatbaar is in een bepaald geval.
Nadat de werkgever de werknemer te kennen heeft gegeven dat hij het dienstverband wil gaan beëindigen, meldt de werknemer zich ziek. De werknemer belt vervolgens naar een collega op het werk, die het telefoongesprek als bedreigend beschouwt. De werkgever vraagt ontbinding van de arbeidsovereenkomst aan de kantonrechter. In de ontbindingsprocedure biedt de werkgever aan om het opgenomen telefoongesprek te laten horen. De werknemer maakt hiertegen bezwaar met een beroep op artikel 8 EVRM, en stelt dat er sprake is van onrechtmatig verkregen bewijs. De kantonrechter is van oordeel dat er geen sprake is van een ongeoorloofde inbreuk op het door artikel 8 EVRM beschermde recht op bescherming van de persoonlijke levenssfeer, omdat het gesprek is gevoerd in het kader van de uitvoering van de arbeidsovereenkomst en dus een zakelijk karakter had. Onder deze omstandigheden weegt het belang van de waarheidsvinding zwaarder dan het belang van de werknemer, aldus de rechter. Uit de opname blijkt dat er sprake is van bedreiging, en de rechter ontbindt zonder een vergoeding aan de werknemer toe te kennen. Bron: Ktr. Breda, 15 februari 2007 (JAR 2007, 78).
266 Deel 3 RECHTEN EN PLICHTEN
Voorbeeld
3.3.4.5 Inschakelen detectivebureau
Gedaagde is van 2 tot 25 juli 2007 via uitzendbureau Capac Inhouse Services als medewerker ‘transport’ werkzaam geweest bij de geldcentrale van Altajo te Capelle aan den IJssel. Tot de werkzaamheden van de medewerker ‘transport’ behoren onder meer het vervoeren van sealbags met vreemde valuta van de medewerker die de vreemde valuta na aankomst op de geldcentrale overpakt in een doorzichtige dichtgeplakte sealbag naar de vreemde valuta kassier. Op 20 en 24 juli zijn twee sealbags verdwenen. Altajo stelt gedaagde aansprakelijk voor de schade wegens het plegen van verduistering. Altajo heeft van de door gedaagde verrichte handelingen op 20 en 24 juli 2007 beeldopnamen gemaakt, die zij ten bewijze van haar stelling dat gedaagde zich heeft schuldig gemaakt aan verduistering wenst te gebruiken. Nu gedaagde de gestelde verduistering heeft betwist, er geen rechtstreeks bewijs over zijn rol in de verdwijning van de sealbags in het dossier aanwezig is en (nog) geen strafrechtelijke vervolging, laat staan veroordeling heeft plaatsgevonden, spelen de door Altajo gedeponeerde beeldopnamen een rol van betekenis. Gedaagde heeft tot zijn verweer aangevoerd dat deze beeldopnamen onrechtmatig zijn verkregen, nu zij zijn verwerkt in strijd met het gestelde in artikel 8 van de Wet Bescherming Persoonsgegevens (WBP). De rechtbank overweegt daartoe het volgende. In het midden kan blijven of de beeldopnamen zijn verkregen in strijd met het gestelde in artikel 8 WBP. De WBP beoogt de privacy van personen te beschermen. Zelfs indien geoordeeld zou moeten worden dat verwerking van de beeldopnamen niet zou zijn toegestaan gelet op artikel 8 WBP, en daarmee dat de privacy van gedaagde zou zijn geschonden, dan nog betekent dat niet zonder meer dat de beeldopnamen niet in een civiele procedure als bewijs gebruikt kunnen worden. In een civiele procedure heeft de rechter een grote vrijheid in de waardering van het bewijs. Materiële waarheidsvinding staat voorop. In dit kader zal een belangenafweging moeten worden gemaakt, waarbij enerzijds het belang van de werkgever speelt om onrechtmatigheden in de onderneming te kunnen opsporen, en anderzijds het belang van de werknemer om beschermd te zijn tegen inbreuken op zijn privacy, ook op de werkplek. In casu was cameratoezicht toelaatbaar en voldeed het aan de eisen van proportionaliteit en subsidiariteit. Nu voorts uit de beelden valt op te maken dat gedaagde de sealbags onder zich heeft gehad en gedaagde geen goede verklaring voor zijn gedragingen heeft, wordt de onrechtmatige gedraging aan hem toegerekend. Bron: Rechtbank Rotterdam, locatie Rotterdam, 6 augustus 2008 (ECLI:NL:RBROT:2008:BD9713)
Als er een vermoeden bestaat dat een werknemer zijn verplichting(en) niet nakomt of bedrijfsregels overtreedt, kan een werkgever besluiten om een detectivebureau in te schakelen om het vermoeden bevestigd te krijgen en een bewijsmiddel te vergaren. Een dergelijk onderzoek kan de privacy van de werknemer aantasten. Of dit middel is toegestaan hangt af van diverse factoren, zoals: de ernst van het onjuist handelen van de werknemer; de mate van het vermoeden van het onjuist handelen van de werknemer; het al dan niet aanwezig zijn van alternatieven om de waarheid te achterhalen en eventueel bewijs rond te krijgen; de omvang en duur van het onderzoek.
Het in te zetten onderzoek moet niet alleen een legitiem doel nastreven, maar ook doelmatig/passend zijn én proportioneel/noodzakelijk, in het licht van de (vermeende) gedraging van de werknemer.
Voorbeeld
Een werkgever verzoekt ontbinding van de arbeidsovereenkomst met een zieke werkneemster, wegens het niet meewerken aan haar re-integratie en het weigeren passend werk te verrichten waartoe ook het Uitvoeringsinstituut Werknemersverzekeringen (UWV) haar geschikt achtte. De werkneemster, arbeidsongeschikt voor eigen functie maar aan wie passend werk was aangeboden, weigerde die werkzaamheden te verrichten. Zij meldde zich opnieuw geheel arbeidsongeschikt. Zij had de werkgever bovendien laten weten dat zij niet tot een gesprek in staat was, niet zelfstandig in haar auto kon stappen, haar kinderen niet naar school kon brengen en niet naar het werk kon komen. Omdat collega's haar gewoon op straat en op het schoolplein hadden zien lopen, schakelde de werkgever een detectivebureau in om uit te zoeken hoe een en ander zat. Op basis van de resultaten van de observaties en het onderzoeksrapport nodigde de werkgever de werkneemster uit voor een gesprek in het kader van hoor en wederhoor. De werkneemster verscheen niet. Dan dient de werkgever een verzoek tot ontbinding van de arbeidsovereenkomst in bij de kantonrechter. Daarbij vordert de werkgever ook vergoeding van de kosten van het onderzoeksbureau ter hoogte van € 8.000. De werkneemster verweert zich, onder andere
267 Hoofdstuk 3.3 Privacy
Voorbeeld
stellende dat de rapportage van het detectivebureau buiten beschouwing dient te blijven omdat het onderzoek inbreuk maakte op haar privacy (art. 8 EVRM) en de werkgever handelde in strijd met goed werkgeverschap (art. 7:611 BW).
De rechter wijst dit verweer af omdat het onderzoek beperkt was gebleven tot enkele observaties op een beperkt aantal dagen, in de openbare ruimte, zonder dat derden zijn benaderd, en niet gesproken kan worden van een onaanvaardbare inbreuk op de privacy. De ontbinding wordt na een inhoudelijke verdere beoordeling uitgesproken zonder toekenning van een ontbindingsvergoeding. De kantonrechter wijst het verzoek van de werkgever om de kosten van het bureau in rekening te brengen bij werkneemster echter ook af, omdat inschakeling van het bureau een eigen keuze is geweest van de werkgever en hij de werkneemster ook eerst had kunnen confronteren met verklaringen van diverse collega's. Bron: Ktr. Amsterdam, 13 juli 2009 (JAR 2009, 221)
Een werknemer, timmerman, is langere tijd arbeidsongeschikt wegens schouderklachten. Zijn werkgever ontvangt een anonieme tip dat de werknemer volop elders aan het klussen is. De werkgever schakelt een onderzoeksbureau in, dat op vier werkdagen waarnemingen verricht en ook enkele video-opnamen maakt. Op grond van de resultaten van dat onderzoek verzoekt de werkgever om ontbinding van de arbeidsovereenkomst. De werknemer stelt in zijn verweerschrift onder andere dat het onderzoek een grove schending van zijn privacy inhoudt. Als de werkgever hem niet vertrouwde, had deze eerst met hem moeten spreken en/of de arbo-arts kunnen inschakelen, aldus de werknemer. De kantonrechter acht het onderzoek wel gerechtvaardigd. De periode waarin de observaties zijn verricht, en de korte opnames zijn gemaakt, waren alleen op de werknemer gericht, en gemaakt vanaf de openbare weg. De opnames tonen niets wat een willekeurige voorganger ook had kunnen zien. Kortom, de actie van de werkgever is passend en proportioneel. Ter zitting geeft de werknemer toe dat hij regelmatig heeft bijgeklust. De rechter ontbindt de arbeidsovereenkomst, zonder een vergoeding aan de werknemer toe te kennen. Bron: Ktr. Breda, 5 augustus 2010 (JAR 2010, 220).
3.3.4.6 GPS volgsystemen
Een ander controlemiddel dat steeds vaker door werkgevers wordt toegepast is een GPS volgsysteem in een aan de werknemer ter beschikking gestelde bedrijfsauto plaatsen. Het mag duidelijk zijn dat een dergelijk volgsysteem een inbreuk is, althans kan zijn op de privacy van een werknemer, aangezien de werkgever exact kan zien waar de werknemer is geweest en hoe lang hij op bepaalde plaatsen heeft stilgestaan. Indien de werknemer de auto uitsluitend mag gebruiken onder werktijd zal er niet snel sprake zijn van een ontoelaatbare inbreuk op de privacy van de werknemer. Echter als de auto ook privé gebruikt mag worden zal dat juist weer sneller wel het geval zijn.
Voorbeeld Voorbeeld
Een werknemer (27 jaar) is sinds 2003 in dienst van een werkgever. Op 12 juli 2010 is werknemer op staande voet ontslagen. Nadat bij de werkgever het vermoeden was gerezen dat de werknemer onjuiste tijdstippen op zijn opdrachtbonnen invulde, heeft werkgever een GPS-systeem in het busje van de werknemer geïnstalleerd. Gebleken is dat de werknemer inderdaad onjuiste tijdstippen invulde. Thans verzoekt werkgever voorwaardelijke ontbinding. Volgens de werknemer is sprake van een inbreuk op zijn recht op privacy (gebruik GPS-systeem), was sprake van een zekere bedrijfscultuur waarbij werktijden niet nauwkeurig werden genoteerd en is sprake van willekeur, omdat alleen hij wordt ontslagen terwijl zijn collega's een waarschuwing krijgen. De kantonrechter oordeelt als volgt. Ten aanzien van het heimelijk plaatsen van een GPSsysteem, oordeelt de kantonrechter dat de werkgever een gerechtvaardigd belang had en geen sprake is van een onredelijk middel. Er kan nauwelijks gesproken worden van een ontoelaatbare inbreuk op de privacy van de werknemers, nu het betreffende systeem slechts registreerde waar de door de werknemers gebruikte bedrijfsauto's zich tijdens werktijd bevonden. Veel meer dan de in veel bedrijven gehanteerde prikklok betreft het in casu derhalve niet. De verweren van de werknemer falen voor het overige. Uit het summiere onderzoek blijkt dat de werknemer regelmatig onjuiste werktijden heeft ingevuld. Dat hij zwaarder wordt gesanctioneerd, volgt uit het feit dat hij als bedrijfsleider een voorbeeldfunctie heeft naar anderen. De Kantonrechter ontbindt de arbeidsovereenkomst — uitsluitend voor zover deze nog zou doorlopen — wegens een dringende reden. Bron: Ktr. 's-Hertogenbosch, 24 augustus 2010 (AR2010,0772).
Een werknemer is op 5 januari 2009 in dienst getreden bij een werkgever, een onderne-
268 Deel 3 RECHTEN EN PLICHTEN
ming die zich richt op de detachering van personeel, met name in de bouwsector en in de weg- en waterbouw. De werknemer heeft de beschikking over een bedrijfsauto. Gebruik van de bedrijfsauto voor privédoeleinden is niet toegestaan. De werknemer heeft hier voor getekend.
Op 25 september 2013 schrijft de werkgever aan de werknemer dat zij tot haar grote verbazing vernomen heeft dat de werknemer, die zich ziek had gemeld en maandag 16 september 2013 weer aan het werk zou gaan, dat de werknemer op vrijdag 13 september 2013 aan het werk is gegaan als verkeersregelaar bij een andere werkgever. De werkgever schrijft:
“Aangezien je ons aangaf pas aanstaande maandag 16 september weer fysiek inzetbaar te kunnen zijn, ben je in overtreding! Jij stond deze dag als zieke werknemer bij [geïntimeerde] Personeelsdienst geregistreerd. Toch ben je gewoon bij derden aan het werk gegaan. Dit is voor ons niet te accepteren! Bovendien ben je op donderdagavond, terwijl je ziek was, gesignaleerd bij de dartclub. Hoe is dit mogelijk? Je was toch ziek? Dit is voor een indicatie dat je niet meewerkt aan je herstel, niet helpt [onleesbaar, hof] om beter te worden. Bovendien ben je met de bedrijfsauto naar [plaats X] gereden, terwijl je weet dat je niet privé mag rijden met deze bedrijfsauto. Je hebt namelijk het document “Verbod tot privé gebruik bedrijfsauto” met de daaraan aangegeven sancties ondertekend. Gezien deze overtredingen van de regels ziektewet en “verbod tot privé gebruik bedrijfsauto” bovenstaand, zijn we tot de conclusie gekomen, dat wij dit gedrag absoluut niet kunnen c.q. willen accepteren. (…) Tevens hebben we overwogen om gezien de aard van de overtreding jou op staande voet te ontslaan! We willen het houden bij een nadrukkelijke waarschuwing (“gele kaart”).”
Op 5 mei 2014 meldt werknemer zich ziek wegens rugklachten en op 19 mei 2014 meldt hij zich hersteld voor lichte, rugsparende werkzaamheden. Met ingang van 26 mei 2014 zou werknemer zijn werk hervatten. Op 23 mei 2014 troffen de directeur en de planner de werknemer aan in een vijver, gekleed in een waadpak, waar hij aan het werk was. De werkgever ontslaat de werknemer op staande voet, onder andere vanwege het gebruik van de bedrijfsauto voor privé doeleinden.
De werknemer begint een procedure en in dat kader stelt hij zich op het standpunt dat de gegevens van het GPS-volgsysteem niet gebruikt mogen worden, omdat het onrechtmatig verkregen bewijs is. De kantonrechter en het Hof gaan aan die stelling voorbij. Daarbij overweegt het Hof dat bij de beantwoording van de vraag of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, onderzocht dient te worden of de inbreuk makende handeling een legitiem doel dient en of is voldaan aan het noodzakelijkheidscriterium, het proportionaliteitscriterium en het subsidiariteitscriterium (HR, 14 september 2007, ECLI:NL: HR:2007:BA5802). Aan deze criteria is volgens het Hof voldaan. Bron: Hof Arnhem-Leeuwarden, 25 november 2014, ECLI:NL:GHARL:2014:9128.
269 Hoofdstuk 3.3 Privacy