Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ‘toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Deel dit artikel

  1. In welke gevallen zou zo’n bedrijf wel een test mogen verlangen? Bijvoorbeeld als iemand veroordeeld is voor drugsdelicten of regelmatig is beboet voor rijden onder invloed? Of als iemand naar alcohol ruikt als hij/zij op het werk verschijnt? Mag je dan een blaastest doen (als dronkenschap een levensgevaarlijke situatie op zou leveren als je die persoon dan nar een klus zou sturen)?

    • Bijvoorbeeld als iemand veroordeeld is voor drugsdelicten of regelmatig is beboet voor rijden onder invloed?

      Hoe zou een werkgever dat kunnen weten? Strafrechtelijke gegevens mag een werkgever niet verwerken. En je kunt wel raden dat een werkgever geen eisen mag stellen op basis van gegevens die hij helemaal niet onder zich mag hebben.

  2. Ik ben het er absoluut mee eens dat werkgevers in beginsel helemaal niets met het privéleven van haar werknemers te maken hebben. Wat ik doe in mijn eigen tijd gaat de baas geen flikker aan. Overigens is dit volgens mij een typisch gezonde Nederlandse instelling. 🙂

    Maar van de andere kant ik snap ook dat er risico’s zijn zijn als je bijvoorbeeld met 100kv schakelinstallaties werkt. In dat geval is het van groot belang dat je personeel optimaal functioneert, voor hun eigen (en andermans!) veiligheid.

    In hoeverre mag je dan als werkgever bepaalde eisen stellen aan je personeel? Naar mijn mening is de grondslag voor drugs- en drankcontroles voor mensen in bepaalde functies bij een energiebedrijf wel degelijk aanwezig, net zoals dit voor bijvoorbeeld piloten geldt.

    • Het verschil met piloten (en chauffeurs) is dat de werkgever het niet af mag dwingen. Bij chauffeurs is dat het meest duidelijk: Die mogen door de politie wel staande gehouden worden voor een blaastest, maar niet door de werkgever voordat ze in hun vrachtwagen of bus stappen.

      In dit geval zou het vergelijkbaar zijn als een onafhankelijke handhavende instantie controles uit zou voeren. Het punt is namelijk dat de werkgever een gezagsverhouding heeft met de werknemer, en die werknemer daar consequenties van kan ondervinden als ie (om welke reden dan ook) zo’n test zou weigeren.

      • Robin, je schrijft: ‘Die mogen door de politie wel staande gehouden worden voor een blaastest, maar niet door de werkgever voordat ze in hun vrachtwagen of bus stappen.’

        Maar als ze met een dronken kop een zwaar ongeluk veroorzaken, dan zullen de slachtoffers toch ook achter het bedrijf aangaan.

        En dat klopt dan weer niet: Niet mogen controleren = geen verantwoordelijkheid kunnen nemen.

        • Ik heb juist het idee dat het bedrijf doorgeschoten is:

          Een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag.
          Ik ben voor afspraken over drugs- en alcoholgebruik tussen werkgevers en werknemers en dat een werknemer niet “onder invloed” op het werk hoort te verschijnen is vanzelfsprekend. Maar dat betekent niet dat de werkgever eenzijdig een 0% eis kan opleggen; de werknemer hoort fit te zijn voor de opgedragen werkzaamheden. Met 0.5‰ bloedalcohol mag je een auto besturen… de resten van een joint op vrijdagavond hebben op maandag geen merkbare invloed meer. Met dat soort zaken hoort het drugsbeleid van een bedrijf rekening te houden.

    • Naar mijn mening is de grondslag voor drugs- en drankcontroles voor mensen in bepaalde functies bij een energiebedrijf wel degelijk aanwezig, net zoals dit voor bijvoorbeeld piloten geldt.
      Ja, maar ook piloten of chauffeurs hoeven toch niet random getest te worden op de werkvloer, maar alleen als er vermoeden is dat iemand onder de invloed is?

  3. Er is nog wel een alternatief behalve individuele “toestemming”. Collectieve afspraken zijn ook geldig. Ik zou me kunnen voorstellen dat een dergelijke regeling met de Ondernemingsraad kan worden afgesproken in een bedrijfsreglement, mits die Ondernemingsraad daarvoor instemmingsrecht had en die instemming heeft gegeven.

    Zie de Verordening Bescherming Persoonsgegevens, art. 9(2)(b) (Lid 1 is het verbod op het verwerken van bijzondere persoonsgegevens);

    2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: (a) (…) (b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

    Niet dat de waarborgen dan wegvallen: ook dan gelden de beginselen van proportionaliteit etc nog steeds. Maar de afweging dat dit noodzakelijk is hoeft niet altijd voor individuele werknemer afzonderlijk te worden gemaakt, en er bestaat wel degelijk een manier om dit mogelijk te maken zonder dat individuele toestemming van de medewerker (die inderdaad niet echt kan worden gegeven) nodig is.

      • Nou ja zeg, het grondrecht hier is het recht om toestemming te mogen geven voor het verwerken van bijzondere persoonsgegevens (en natuurlijk het recht om sancties te eisen als het zonder instemming gebeurt). Er worden genoeg grondrechten geschonden in een arbeidsovereenkomst, zoals het recht op vrijheid (als je op maandagochtend op je werk wordt verwacht, ben je niet meer vrij om te gaan en staan waar je wilt!) – maar omdat je die overeenkomst in vrijheid bent aangegaan zal niemand dat als een inbreuk op je grondrechten beschouwen.

        En je ontkomt niet aan collectieve besluitvorming in veel gevallen. Als er bijvoorbeeld een collectieve ongevallenverzekering geldt voor het bedrijf, waar ook de werknemers aan meebetalen, kan ik me voorstellen dat werknemers zouden willen dat mensen die dronken op het werk komen daarvan worden uitgesloten, en dat er – om te hoge premies en misbruik te voorkomen – een aantal bijzondere persoonsgegevens zou moeten worden opgeslagen. Daar is dat artikel volgens mij precies voor bedoeld. En anders is er gewoon geen ongevallenverzekering – een situatie die lang niet overal wenselijk is.

        En kijk anders eens (indien van toepassing) in de CAO voor je bedrijfstak of in de verzuimpreventieafspraken van het bedrijf waar je werkt.. Daar zullen ook wel wat grondslagen voor de verwerking van bijzondere persoonsgegevens te vinden zijn, bijvoorbeeld voor het ondersteunen van diversiteitsbeleid.

        Dit zijn allemaal slechts voorbeelden. Echt nodig zijn ze niet, want jouw bewering dat een OR die bevoegdheid niet zou hebben is gewoon niet waar. Ze wordt al voldoende ontkracht door het aangehaalde artikel van de Algemene Verordening Persoonsgegevens. Ik vat je bewering maar op als een uiting van jouw ongenoegen daarover. Ik kan me daarbij iets voorstellen, maar gelukkig heeft het arbeidsrecht voldoende andere waarborgen om te voorkomen dat werkgevers ongebreideld inbreuk maken op grondrechten.

        • Dit zijn allemaal slechts voorbeelden. Echt nodig zijn ze niet, want jouw bewering dat een OR die bevoegdheid niet zou hebben is gewoon niet waar. Ze wordt al voldoende ontkracht door het aangehaalde artikel van de Algemene Verordening Persoonsgegevens. Ik vat je bewering maar op als een uiting van jouw ongenoegen daarover. Ik kan me daarbij iets voorstellen, maar gelukkig heeft het arbeidsrecht voldoende andere waarborgen om te voorkomen dat werkgevers ongebreideld inbreuk maken op grondrechten.

          Excuses voor de dubbelpost, edit werkt niet goed in mijn mobiele browser blijkbaar..

        • Neem de eerste alinea van jouw reactie. Het grondrecht is natuurlijk de bescherming van de levenssfeer, en met alle bijbehorende beperkingen is ervoor gekozen voornamelijk te focussen op de verwerking van persoonsgegevens. Het is overduidelijk dat instemming, in verhouding tot een werkgever, niet kan gelden als grondslag voor verwerking van persoonsgegevens. Dat houdt dus ook in dat een ander (zij het de OR) die instemming niet namens mij kan geven. De aangehaalde tekst gaat over noodzaak en recht, niet over afspraken.

          • Het recht op bescherming van de persoonlijke levenssfeer is niet hetzelfde als het recht op een rechtmatige verwerking van persoonsgegevens. Ze staan beiden in artikel 10 van de Grondwet, maar dat betekent niet dat ze hetzelfde zijn. De systematiek van der Grondwet is niet het enige wat hier van belang is, het Handvest van grondrechten van de EU speelt bijvoorbeeld ook mee.

            Een rechtmatige verwerking van persoonsgegevens is dan ook zeker iets anders dan bescherming van de privacy.

            “Dat houdt dus ook in dat een ander die toestemming niet namens mij kan geven” wordt voldoende weerlegd door de tekst van de Verordening, ik weet niet precies waarom je denkt daar omheen te kunnen door gewoon opnieuw te zeggen dat jij vindt van niet. Wel houd ik me aanbevolen voor jouw uitleg van het aangehaalde artikel.

            De redactie van dat artikel laat m.i. overduidelijk zien dat er verschillende vormen van collectieve besluitvorming mogelijk zijn, die in de plaats kunnen treden van persoonlijke toestemming van de betrokkene, mits er sprake is van “passende waarborgen”. Wat “passende waarborgen” zijn is een kwestie van Unierecht, maar als je zó zeker weet dat een CAO of een OR-instemming daar niet onder vallen heb je vast wel een bron voor me? Ik kon ze niet vinden, tot die tijd neem ik dan maar aan dat de tekst van de verordening maar gewoon betekent wat er staat.

    • Een klant waar ik ooit gedetacheerd was, had iets dergelijks op het inlogscherm van alle computers staan: “(onrechtmatig inloggen en hacken) zal worden gesanctioneerd.” Dit was een grote overheidsklant die viel onder het ministerie van, nota bene, justitie. Na een mailtje van mij waarin ik ze erop wees dat de Nederlandse betekenis van sanctioneren “goedkeurern” is, hebben ze de tekst aangepast. In het Vlaams wordt wel geregeld de betekenis “bestraffen” gebruikt.

  4. Zou het praktisch gezien niet passender zijn als de werkgever gewoon een vaardigheidstest verplicht stelt? Dus: voordat je de hoogspanningsruimte binnen gaat moet je eerst even een evenwichtstest, een oog-hand-coordinatie-test, een risico-inschattings-test en een reactiesnelheidstest doen, een paar puzzeltjes binnen een bepaalde tijd oplossen. Idealiter test je precies datgene wat voor de veiligheid nodig is, zonder je druk te maken over welke privé-omstandigheden eventueel hebben geleid tot een tijdelijk falen op een bepaalde test. Dat maakt ook niet uit: als je vanwege een vechtscheiding je gedachten er niet bij hebt, ben je misschien nog wel gevaarlijker dan als je een geharde alcoholist bent wiens hersenen juist zijn ingesteld op een bepaald alcohol-percentage.

    Ik neem aan dat zo’n veiligheidstest wel toegestaan is. Vraag is natuurlijk wel: mag je iemand ontslaan die structureel faalt op je tests? Ergens lijkt het me wel redelijk. Ik ben op zich wel voorstander van een soepel ontslagrecht, maar er moeten wel wat dingen veranderen om een soepel ontslagrecht sociaal acceptabel te maken.

    • Nja, iemand die zo’n test constant faalt zou ik niet direct ontslaan maar even doorsturen naar bijv. de bedrijfsarts. Als diegene dat weigert, dan kan diegene op non-actief worden gesteld. Als dan nog sprake is van weigering, kan diegene altijd nog worden ontslagen.

      Wel een topidee trouwens, zo’n veiligheidstest! Ben het volledig met je eens! 🙂

  5. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

    Zelfs het vragen is toch verboden, Arnoud? Er geldt immers een verbod voor het verwerken van gezondheidsgegevens en opvragen is ook een verwerking.

    Wat wel mag is kennis nemen (maar niet registreren) als een werknemer het uit zichzelf overweging vertelt, stelt het AP. Al wordt ook dat eigenlijk onmogelijk gemaakt, omdat de AP tevens van mening is:“Uw werknemer is (financieel) afhankelijk van u en kan zich daardoor verplicht voelen om toestemming te geven. Daarom kan de toestemming voor deze verwerking nooit ‘vrij’ zijn, zoals wettelijk is vereist.” Hooguit misschien in de situatie dat iemand bijvoorbeeld last heeft van epilepsie en het van belang is dat een werkgever hiervan op de hoogte is.

    Praten in functionele beperkingen en mogelijkheden is trouwens ook niet meer toegestaan, tenzij de bedrijfsarts eerst een oordeel heeft geveld.

    Maar verder is het best wel gek dat werknemers soms wat moeite hebben om zieke werknemers te begeleiding 😉

    • Opvragen is weliswaar verwerking (ook mondeling) maar “[d]eze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen” (art. 2 lid 1 Wbp) Het punt is dat een mondelinge vraag een niet-elektronische verwerking is en als je dan het antwoord niet in een dossier stopt, dan val je dus buiten de Wbp.

      • Hmmm, interessant. Dat artikel wordt in discussies omtrent verzuimbegeleiding niet vaak aangehaald in mijn beleving.

        Echter staat in de aangehaalde do’s en don’ts van de AP wel letterlijk: “Vraag niet wat uw zieke werknemer precies mankeert en waardoor dat komt. Informeren naar de aard en oorzaak van de ziekte is wettelijk niet toegestaan.“.

        Ook schrijft de AP in de beleidsregels ‘De zieke werknemer’ op pagina 19:

        De werkgever mag bij de ziekmelding van de werknemer alleen de volgende gegevens over de gezondheid van de zieke werknemer vragen en registreren: – het telefoonnummer en (verpleeg)adres; – de vermoedelijke duur van het verzuim; – de lopende afspraken en werkzaamheden; – of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt); – of de ziekte verband houdt met een arbeidsongeval; – of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

        Maar goed, misschien is dit dan in beide gevallen een beetje lost in translation. Interessant nieuw perspectief, bedankt!

    • Dan heb je inderdaad valide toestemming, maar ook dan moet je rekening blijven houden met algemene eisen van n0odzakelijkheid en proportionaliteit bij de verwerking. Dus als je dit alleen maar vraagt om de optie te hebben het te kunnen doen, dan ga je onderuit. En bv. een accountantskantoor zal niet snel een gegronde noodzaak kunnen bedenken voor een alcohol- of drugstest. (Natuurlijk wil je geen dronken accountant aan het werk maar de impact is anders dan bij een hoogspanningsinstallatie.)

      • Dus als je dit alleen maar vraagt om de optie te hebben het te kunnen doen, dan ga je onderuit.

        Tja, als blijkt dat het achteraf niet meer kan als er al een arbeidscontract is, wat moet je dan als bedrijf? Je weet ook niet van te voren of iemand gaat komen te werken op de afdeling waar het nodig is.

        En dan is het ineens wel ‘vrije toestemming’? Dat gaat wel erg snel. Of voelt de sollicitant zich misschien onder druk gezet, omdat anders de uitkeringsinstantie gaat zeggen dat hij verwijtbaar niet meewerkt aan een nieuwe baan? Of omdat over twee maanden zijn WW stopt en hij dan eerst zijn huis moet gaan verkopen. Deze druk komt weliswaar niet vanuit de werkgever, maar maakt de keuze desondanks niet vrij naar mijn mening.

        Verder is de hele casus weer een mooi voorbeeld hoe de hele wetgeving weer doorgeslagen is. Straks gebeurt er echt een groot ongeluk en mag het bedrijf vele miljoenen lappen. Tja, we mochten niet testen in verband met privacy. Nu zijn we de sjaak.

  6. Ik zou eigenlijk wel willen weten wat die ‘andere grondslagen’ zoal kunnen zijn.

    Is deze uitspraak van de AP niet direct in strijd met de arbeidsomstandighedenwet? Die wet zegt bijvoorbeeld:

    tenzij dit redelijkerwijs niet kan worden gevergd worden de gevaren en risico’s voor de veiligheid of de gezondheid van de werknemer zoveel mogelijk in eerste aanleg bij de bron daarvan voorkomen of beperkt; naar de mate waarin dergelijke gevaren en risico’s niet bij de bron kunnen worden voorkomen of beperkt, worden daartoe andere doeltreffende maatregelen getroffen waarbij maatregelen gericht op collectieve bescherming voorrang hebben boven maatregelen gericht op individuele bescherming; slechts indien redelijkerwijs niet kan worden gevergd dat maatregelen worden getroffen die zijn gericht op individuele bescherming, worden doeltreffende en passende persoonlijke beschermingsmiddelen aan de werknemer ter beschikking gesteld

    Dit betekent dat je iemand niet dronken een auto mag laten besturen of een andere gevaarlijke machine mag laten bedienen. Als bovenstaande uitspraak echt betekent dat je daar werknemers niet op mag testen, mag je ze er ook niet naar vragen en ook niet aan zijn/haar adem ruiken. Wat kun je dan nog doen? De werknemer er alleen aan herinneren dat dronken dat ding besturen niet mag, zonder er op toe te zien dat het niet gebeurt, lijkt me echt niet voldoende.

    Het lijkt me dus dat de uitspraak dat niet betekent. Ik denk dat je werknemers wel degelijk een blaastest mag laten doen, je mag ze alleen niet vragen of ze daarmee akkoord zijn. Tamelijk krankzinnig maar ja.

    • De belangrijkste andere grondslag is de eigen dringende noodzaak: ik móet deze gegevens verwerken anders gaan er bij mij dingen stuk, maar ik heb alles gedaan om jouw privacy te beschermen. Iemand laten blazen bij een vermoeden van drankmisbruik vlak voordat hij een machine gaat bedienen zou daar zonder meer onder vallen. De vraag is wel hoe proportioneel dat is. Dus als je zegt, iedereen blaast elk uur, dan is dat niet proportioneel want hoezo moet Henk van debiteuren/crediteuren ook blazen? En als je zegt, alle kraandrijvers elk uur blazen, vind je dat niet een beetje té hard ingestoken dan, hoe weinig vertrouw jij je mensen?

      • Waar het mij om gaat is of je überhaupt mensen mag laten blazen. Je schrijft dat het van de AP niet mag dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen. Maar wat niet mag is blijkbaar de resultaten ‘verwerken’, wat dat dan ook precies moge betekenen. (De gegevens in een bestandje zetten is verwerken, ook als je dat bestandje vervolgens wist. De gegevens door 6 mensen uit hun hoofd laten leren, is dat verwerken?)

      • Over: “De belangrijkste andere grondslag is de eigen dringende noodzaak.”

        Artikel 9(2)(b) zegt dat bijzondere persoonsgegevens ook mogen worden verwerkt als “de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de voor de verwerking verantwoordelijke op het gebied van arbeidsrecht, voor zover zulks is toegestaan bij EU-wetgeving of de nationale wetgeving en deze adequate garanties biedt”.

        Aangezien het hier om arbeidsveiligheid gaat, kunnen we voor deze situatie dus ook nog een andere grondslag bedenken. “Adequate garanties” kunnen bijvoorbeeld bestaan uit collectieve besluitvorming in een CAO.

        • Dat betwijfel ik. Volgens mij betekent die zinsnede “toegestaan bij EU-wetgeving of de nationale wetgeving” dat er echt een wettelijke regeling moet zijn, en ik weet niet of een algemeen verbindend verklaarde CAO telt als “nationale wetgeving”. De adequate garanties moeten in ieder geval méér zijn dan “het staat in een CAO”, de cao-regeling moet met waarborgen omkleed zijn. Een cao die zegt “een ieder mag te allen tijde aan een alcoholtest worden onderworpen” zal niet voldoen aan dit artikel.

          • Dat laatste ben ik uiteraard met je eens, maar dat is een voorbeeld van een proportionaliteitsvereiste. Zoals je zelf al aangeeft, moet – zelfs na uitdrukkelijke toestemming – nog steeds voldaan worden aan de algemene beginselen, en jouw extreme voorbeeld is daar overduidelijk mee in strijd.

            Daarmee echter is m.i. het voorbeeld van een CAO als grondslag voor de verwerking van bijzondere persoonsgegevens nog niet voldoende onderuit gehaald. Daarvoor gelden twee eisen: toegestaan bij nationale wetgeving, en het bieden van adequate garanties.

            Aan die eerste voorwaarde lijkt me gewoon voldaan in dit geval. Het algemeen verbindend verklaren van een CAO is een “wetgevende” handeling van een overheidsorgaan met een daartoe strekkende bevoegdheid (om precies te zijn: de Minister van Sociale Zaken en Werkgelegenheid, op grond van de Wet AVV). Daarmee is voldaan aan de eis dat er een “wettelijke regeling” moet zijn, immers: het is in Europa gebruikelijk dat “nationale wetgeving” betekent dat iets voldoet aan de nationale eisen voor algemeen verbindende voorschriften (eigenlijk: dat de bevoegdheid voortvloeit uit nationale wetgeving), niet per se dat de voorschriften in het nationale parlement zijn besproken en goedgekeurd.

            Blijft alleen nog de vraag van de adequate waarborgen over. Dat kan van alles zijn, en zal voornamelijk procedurele aspecten betreffen (opt-out mogelijkheden, intern onafhankelijk toezicht), omdat waarborgen als proportionaliteit etc. al gewoon rechtstreeks volgen uit de AVG.

            Voor mij is het allerminst een uitgemaakte zaak dat een CAO of zelfs een bedrijfsreglement waar de OR instemmingsrecht voor had en instemming heeft gegeven, onvoldoende grondslag zijn voor het verwerken van bijzondere persoonsgegevens. Diversiteitsbeleid, ongevalspreventie en dergelijke moeten toch ook gewoon mogelijk blijven? Volgens mij is dat de reden van artikel 9(2)(b).

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS