Een lezer vroeg me:
Ik werk als vrachtwagenchauffeur en moet sinds deze week een nieuwe app gebruiken om in- en uit te klokken. Deze nieuwe app vraagt me om toegang tot mijn locatiegegevens. Als verklaring geeft de werkgever dat dit is omdat inklokken alleen op het bedrijfsterrein mag gebeuren. Ik heb daar moeite mee, want deze verplichting is nooit eerder gemeld en om toestemming is niet gevraagd. Wat kan ik nu doen?Om met die toestemming te beginnen: een werkgever mag persoonsgegevens verwerken zonder toestemming. Sterker nog, hij zal wel moeten want werknemers kunnen (bijna) nooit rechtsgeldig toestemming geven onder de AVG vanwege de machtsverhouding tussen hen en de werkgever. De werkgever moet dus een noodzaak binnen de arbeidsovereenkomst vinden, of een gerechtvaardigd belang waarvoor de privacy van de werknemer mag worden gepasseerd (mits met waarborgen).
Cameratoezicht op de werkvloer is een bekend voorbeeld van dat laatste. Bewaken van spullen en mensen is een gerechtvaardigd belang, en met goede maatregelen worden de beelden dan afgeschermd en weggegooid. Dat is dan binnen de AVG.
Hetzelfde zou hier moeten gelden. Waarom moet je inklokken op het bedrijfsterrein? Het simpele antwoord is fraude, mensen klokken dan thuis in en gaan op het gemak naar het werk. De oplossing van de app dat laten checken is dan een voor de hand liggende. Gezien dat probleem denk ik dat deze oplossing wel kan. Een alternatief was geweest dat je alleen op het wifi-netwerk van het bedrijf bij de inuitklokappserver zou kunnen, maar dat is technisch moeilijker te realiseren.
Tegelijk snap ik dat dit mensen overvalt. Hier is de werkgever dus niet helemaal goed gegaan. De AVG eist immers duidelijke voorlichting over het wat en waarom van persoonsgegevens verwerken, en dat had vooraf moeten gebeuren. En bij een organisatie met een OR had deze om instemming moeten zijn gevraagd, want dat is verplicht bij ieder systeem voor personeelsvolgen en verwerken van persoonsgegevens (art. 27 Wet OR).
Bezwaar maken lijkt dus mogelijk omdat dit niet duidelijk is aangegeven. Alleen of het uiteindelijk veel uit gaat maken weet ik niet. Na betere uitleg over de randvoorwaarden en beveiliging kan de werkgever het alsnog invoeren. De vraag is of de OR er een fundamenteel bezwaar in ziet. Gezien de specifieke toepassing zie ik dat niet meteen.
Arnoud
Dit kan technisch wat worden ingeperkt: ik heb geen zicht op Android maar bij iOS kan je toegang geven tot de locatie alleen tijdens gebruik. Als de app alleen is voor in-/uitklokken is er geen privacy-issue. Start app, klok in, sluit app. Dan is alleen de bedrijfslocatie bekend.
En dat is inderdaad goed verklaarbaar.
Android kent die optie ook, gebruik ik bij de meeste apps die iets locatiegebonden doen.
Ook op Android krijg je de vraag om een app toegang te verlenen tot locatie gegevens. Je hebt dan (meestal) deze opties om uit te kiezen:
Dit kan anders zijn op toestellen die centraal beheert worden door de werkgever. Deze kan namelijk het toestel zo ingesteld hebben dat er automatisch toestemming verleend wordt, zonder deze popup.
Ik zou er een probleem mee hebben als dit op mijn privé telefoon zou moeten. Ik heb daar locatie helemaal uitstaan, en steeds in en uitschakelen als ik die app wil gebruiken is niet handig. Het lijkt me dat dan de werkgever maar voor een telefoon moet zorgen die ik dan alleen zakelijk gebruik.
Locatiegegevens van een telefoon zijn meestal eenvoudig te foppen door middel van een app zoals FakeGPS. Er bestaat dus een grote kans dat het systeem wat “fraude” moet verkomen dus in het geheel niet waterdicht is. Daarbij lijkt het mij dat er een verschil zit tussen het gebruik van een toestel wat zakelijk ter beschikking is gesteld of een prive telefoon waarvan er de verwachting is dat deze zakelijk gebruikt wordt ten behoeve van de app.
Ik zou zeggen dat dat juist veel makkelijker te realiseren is. Op bedrijfswifi is trivaal en betrouwbaar te checken. Geografische dichtbijheid is veel onnauwkeuriger en geeft allerlei persoonsgegevens weg over waar je bent.
Zou dus zeggen dat hier juist de proportionaliteit geschonden wordt aangezien er een veel minder invasieve optie is.
Wat als je de locatie alleen ophaalt bij het in en uitklokken en alleen binnen de telefoon verwerkt (door te vergelijken met de werklocatie) en daarna direct weg te gooien. Dan krijg je alleen een log met geslaagde of mislukte inklokpogingen. uit de geslaagde pogingen kun je dan afleiden waar de mede werker was (op het werk) maar de mislukte pogingen leveren dan slechts ‘ergens anders’ op.
Zoals de waard is vertrouwt hij zijn gasten!
Als hele sectoren zonder inklokken aan thuiswerken kunnen doen, zonder dat dit productiviteit kost, dan zie ik de noodzaak van inklokken niet eens. Laat staan dat je geografische gegevens moet delen voor inklokken.
Ik heb vroeger ook met een klok gewerkt, als vakkenvuller. De grootste slackers waren het eerst bij de klok om in te klokken om vervolgens minuten lang rond te hangen voor ze aan het werk gingen en bij weggaan het omgekeerde. Een klok straft goede en beloont slechte werknemers. Het is eigenlijk diep triest dat er nog bedrijven zijn die uberhaupt in het nut van een klok systeem geloven.
Ja, want hoe nuttig kan het nou zijn, dat een planner weet dat een vrachtwagenchauffeur beschikbaar is voor een nieuwe rit? Dat heb je in andere sectoren toch ook niet? [/sarcasme]
Dat is een andere situatie.
Bij een vrachtwagenchauffeur is er een belang om te weten waar deze is op het moment dat hij zich beschikbaar voor opdrachten meldt. Dan kan de planner de chauffeur naar opdrachten sturen die binnen zijn bereik liggen.
Bij een fabrieksarbeider is dat niet van belang. Hij klokt zich in om te registreren hoe lang hij werkt, daarvoor is niet van belang waar dat gebeurt. Hij werkt ook op ene vaste locatie, namelijk de fabriek.
Het klinkt alsof dit weer een geval “werkgever verlangt dat werknemer dienst prive-telefoon gebruikt voor zakelijke doeleinden” is. Daar zijn hier al meerdere keren vragen over gesteld, waarbij ik altijd het standpunt hebt dat je dat als werknemer niet moet doen, gewoon helemaal niet. Dit geval illustreert een van de redenen; de app vraagt informatie of vereist rechten die je niet wil verstrekken. Als je echter eenmaal de drempel over bent en op je prive-telefoon een zakelijke app hebt geinstalleerd dan kan je je niet meer echt op principieele bezwaren beroepen.
Ik weet dat de mening van Arnoud hierin in de afgelopen jaren wat is veranderd, maar ik zelf blijf op mijn ouderwetse standpunt staan: geen enkele zakelijke app op mijn prive-telefoon, niet nooit never onder geen enkele legale conditie.
Als middel tegen fraude is het ook een wassen neus; als je echt bewust fraude wil plegen dan is het kinderspel om een app te installeren die zorgt dat als locatie een zelf opgegeven plaats wordt gezien. De enige mensen die je dan hebt met zo’n eis zijn de mensen die wel gewoon de normale locatie willen gebruiken voor hun eigen doeleinden zoals navigatie-apps, maar die zich er niet prettig bij voelen dat zo’n zakelijke app ook toegang heeft tot die locatiedata. In dit specifieke geval zou dat dan alleen zijn tijdens in- en uitklokken, maar dat is dus al meer dan dat het was, wat als de volgende versie elk kwartier op de achtergrond de locatie wil gaan doorgeven, bijvoorbeeld “om te checken of de bestuurder wel op tijd rijdt”, of “zich houdt aan de verplichte pauzes”.
Er zijn overigens ook apps die (ik heb me laten vertellen dat dat een gevolg is van een verouderd onderliggend framework) “alleen toestaan tijdens gebruik” registeren als “geen permissie gekregen” en klagen dat ze niet over de juiste permissies beschikken, en die het pas gaan doen als je die app instelt op “altijd toegang”.
Ik krijg hier weer heel erg het idee dat dit weer een gevalletje “hoe kan ik de AVG misbruiken om mijn zin door te drukken” is.
En de hele discussie over privé telefoons: De werkgever geeft de werknemer een vrachtwagen van een ton of meer mee, geloof je dan echt dat een paar honderd euro voor een smartphone nog iets uitmaakt?
Ten derde: BYOD is meestal een beleid om werknemers tegemoet te komen, het is voor de IT-afdeling veel makkelijker om iedereen een dichtgetimmerde bedrijfslaptop/smartphone te geven, maar die zijn niet cool genoeg en de meeste werknemers willen geen 2 telefoons bij zich dragen.
Ik mis even waarom iedereen denkt dat dit om apps op privételefoons gaat. De vraagsteller heeft het daar niet over gehad. De vraag gaat volgens mij over of déze reden voor locatiebepaling goed genoeg is, dan is het apparaat waarmee dat gebeurt niet relevant volgens mij?
Dat is waar. De vraag wekte ook bij mij die indruk, maar het is niet daadwerkelijk gezegd. Als het echter een door de werkgever verstrekte telefoon is dan lijkt de vraag mij niet zo heel relevant; die zakelijke telefoon laat je dan op je werk liggen en die gebruik je daar om in te klokken als je aankomt. Ik nam aan dat het ging om de prive-telefoon omdat het in de honderden vergelijkbare vragen op reddit e.d. eigenlijk altijd gaat over een werkgever die verwacht dat zo’n soort app door de werknemer op dienst prive-telefoon wordt geinstalleerd.
Dat snap ik ook weer. Maar maakt het bij deze toepassing heel veel uit? De kern is en blijft dat je expliciet de app start, je locatie laat uitlezen en bevestigt voor een specifieke zakelijke handeling: ik ben op het werk, ik ga aan de slag. Aangenomen dat de app neit continu je locatie uitleest en doorgeeft, wat is hier dan het onzorgvuldige of excessieve?
Onder die aannames lijkt het niet onzorgvuldig of excessief inderdaad. Dan nog zou ik zelf niet akkoord gaan. Mijn eerste reactie bedoelde ik ook anders; namelijk dat dit goed illustreert waarom ik zelf van mening ben dat je nooit je prive-telefoon moet gebruiken voor zakelijke toepassingen. Daar heb ik verschillende redenen voor, ik zal proberen bondig te blijven:
1) Ik vind dat de werkgever alle hulpmiddelen moet verschaffen (* ja koks en kappers etc.). We verlangen van electriciens ook niet dat die hun eigen schroevendraaier meenemen ook al heeft iedereen wel een prive-schroevendraaier. Ik begrijp niet goed waarom dit bij mobiele telefoons zo vaak anders gezien wordt; niemand verwacht dat ik mijn eigen laptop of soldeerbout of snoeischaar gebruik om mijn werk te doen, maar hele volksstammen verwachten dat wel bij een mobieltje.
2) Ik wil niet voor mijn werk afhankelijk zijn van mijn prive eigendommen. Dit is met name relevant op het moment dat je om wat voor reden dan ook tijdelijk niet de beschikking hebt over je prive-telefoon. Als mijn prive-telefoon kapot gaat en ik wil wachten op reparatie, of de verzekering, of een nieuw model dat pas over 4 weken uit komt, dan kan ik gedurende die tijd mijn werk niet goed doen. Ik vind dat ongewenst; de werkgever kan niet verwachten dat ik dan direct een nieuwe telefoon koop.
3) Als je eenmaal de grens over bent en akkoord gaat met het installeren van zakelijke apps op je prive-telefoon, dan kan je niet langer het principe als argument gebruiken. Je bent immers akkoord. Het wordt dan steeds lastiger om dat akkoord in te trekken op het moment dat je gevraagd wordt om een app te installeren waar je wel echt problemen mee hebt. Dit geval illustreert dat goed; zhij wil niet de locatie delen, en dat moet volgens mij een eigen keuze zijn.
Wat als de locatiemodule op de telefoon kapot gaat (reden dat ik dit voorbeeld gebruik is dat dat bij mijn telefoon het geval is, GPS doet het sinds een jaar domweg niet meer en als ik een app toesta de locatie op te vragen dan geeft dat een error, dus locatie staat uit en ik mis het ook totaal niet). Moet ik dan een nieuwe telefoon gaan kopen omdat ik akkoord ben gegaan? Als ik een nieuw model wil kopen en wil kiezen voor een niet standaard merk met een alternatief OS waar die werkgever app niet op draait, dan ben ik ineens iemand die moeilijk doet en lastig is en de boel frustreert, dus ik word toch beperkt in mijn vrije keuze. Wat als die werkgever app wordt geupdate en ineens voldoet mijn verder nog prima werkende nokia uit 2018 niet meer, zoals ik onlangs had bij de app van mijn mobiele provider, moet ik dan ook een nieuwe telefoon gaan kopen?
Of wat als een app meer en meer rechten gaat vragen? Als de volgende versie niet alleen bij het gebruik de locatie wil zien, maar ook op de achtergrond altijd. Of toegang vraagt tot sensors, of het adresboek, of de microfoon of camera? Als je eenmaal akkoord bent gegaan, op welk moment kan je dan daarna nog weigeren? Daarom leg ik de grens bij “helemaal niet”; die lijn is duidelijk en die kan ik verdedigen met zowel principieele als praktische argumenten.
3) Eigenlijk vind ik dat de eigenaar van deze telefoon helemaal geen argumenten hoeft aan te dragen. Zhij wil het niet, het is zhijn telefoon, en daarmee klaar. Dat is het principe van eigendom; ik bepaal of ik wel of niet een app op mijn telefoon wil installeren en ik hoef me helemaal niet te verdedigen als ik iets niet wil. Gewoon “nee dat wil ik niet, punt” zou voldoende moeten zijn. Het is immers niet de telefoon van de werkgever, dus die heeft helemaal niets te zeggen over welke apps er wel of niet op komen. Reden 1 en 2 zijn de redenen waarom, maar die zou ik niet eens uit moeten hoeven leggen; gewoon “nee” moet voldoende zijn. Het argument “iedereen heeft toch al een telefoon, dus goed werknemersschap” vind ik niet op gaan als het gebruik van een app om iets te doen door de werkgever wordt opgedragen. Dan is het gewoon een noodzakelijk stuk gereedschap, niet anders als een schroevendraaier. Ik zeg daarmee ook duidelijk niet dat de werkgever altijd zo’n telefoon moet verstrekken; ik kan me zo voorstellen dat een werkgever kan zeggen “voor het inklokken kan je of dit pasje voor de lezer houden, of op je eigen telefoon een app installeren”, of “als je je loonstrook wil inzien kan je dat doen op een pc op de zaak, maar als je wil kan je ook deze app installeren op je eigen telefoon”, dat zijn allemaal gevallen waarin het prima is. Als je echter moet inklokken, en dat moet met een app, dan moet de werkgever een telefoon verstrekken of een alternatief systeem in de lucht houden.
Het is niet zelden zo dat de werkgever wil dat je aan BYOD doet, want dan kan die werkgever jou nog buiten werktijd bellen “Voor nog even dit en dat”. Wordt natuurlijk wat lastiger als je die werktelefoon in je bureaula legt wanneer je om 5 uur naar huis gaat.
Ik heb (microsoft) apps op mijn prive telefoon voor het werk. Ik kan alle werk functionaliteit met een enkele optie in het swipe down menu uitschakelen. En ik bepaal nog altijd zelf of ik de telefoon opneem. (Mijn werkgever belt met een bekend algemeen nummer dus ik kan zien dat het werk is)
Maar nog belangrijker, mijn werkgever en collegas bellen niet zomaar buiten werktijd. Gebeurt dit wel dan is er echt iets bijzonders aan de hand en hebben ze andere opties al uitgeput. Met die wetenschap zal ik als ze bellen altijd opnemen.
De issue is hier eerder: voordat de nieuwe app er kwam hoefde de persoon ook zijn locatie niet te delen. Waarom nu dan wel?
De reden dat die nieuwe app, met nieuwe eisen, er gekomen is, maakt veel uit voor de beoordeling van deze zaak.
Als die app er is gekomen ‘want dat ik makkelijk, dan kan iedereen van overal inklokken’, dan kun je dat natuurlijk moeilijk stellen als werkgever dat je fraude wilt tegengaan, je wilde immers dat iedereen van overal kon inklokken.
Als die app er is gekomen omdat het oude systeem echt helemaal ‘op’ was en dit het enige systeem is dat momenteel beschikbaar is, dan is het natuurlijk een heel ander verhaal.