Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

| AE 12447 | Ondernemingsvrijheid, Privacy | 75 reacties

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?
Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

 

Arnoud

Mag de makelaar van de buren je tuin met een drone fotograferen?

| AE 12431 | Ondernemingsvrijheid | 28 reacties

Een lezer vroeg me:

Een makelaar maakt opnames met een drone om beelden te gebruiken bij verkoop huis. Daarbij neemt hij ook beelden op bij de buren om de koper goed te kunnen informeren, bovendien zijn die beelden te zien op Funda. Mag dit?
Een drone is een bewegende camera die vanuit de hoogte filmt. Daarmee is de regelgeving over bewakingscamera’s en dergelijke niet van toepassing want die geldt alleen voor aangebrachte (op één punt staande) camera’s.

Met de AVG kom je ook niet heel ver, mits je de camera pas aanzet als er geen mensen in de tuin te zien zijn. Iemands tuin is geen persoonsgegeven. Je kunt een foto van iemands tuin zien als een inbreuk op zijn privacy (artikel 8 EVRM) maar dat zou voor mij wel sterk afhangen van hoe gedetailleerd die in beeld komt en voor welk doel de foto wordt gepubliceerd. Een overzichtsfoto van de te verkopen tuin met de aangrenzende percelen zie ik eerlijk gezegd niet als inbreukmakend.

Sinds 1 januari gelden nieuwe Europese regels voor drones. Deze vormen op diverse punten een aanzienlijke versoepeling ten opzichte van de oude, Nederlandse regels. Relevant voor deze vraag is dat er geen verbod meer is op het vliegen boven bebouwing, zolang je maar mensen ontwijkt.

Als de makelaar een drone van meer dan 250 gram heeft, dan moet zhij zich wel registreren – en bovendien een vliegbewijs hebben. Dat is alleen niet iets waar je als boze buurman iets mee kunt, de vlucht kun je niet tegenhouden omdat de makelaar geen vliegbewijs heeft.

Langdurig over jouw terrein vliegen of detailfoto’s maken is natuurlijk wél een probleem, juridisch gezien. Dat zou bij een makelaar niet moeten gebeuren omdat dat buiten diens opdracht valt. Maar, zoals de casus-spionerende drone neerhalen laat zien, het kan wel degelijk tot problemen leiden.

Arnoud

Wanneer is een bericht aangekomen als het in een portaal wordt geplaatst?

| AE 12433 | Ondernemingsvrijheid | 39 reacties

Vorige week hadden we een stevige discussie over wanneer een mail is aangekomen als providers daar spamfilters tussen hebben zitten. Als zijstap daarbij kreeg ik diverse vragen over die praktijk van de vele “Uw Mijn Dienstverlener”-portalen, waarbij de berichten in een inbox aldaar worden geplaatst en je alleen een mailtje krijgt met iets als “Er staat een (1) belangrijk bericht voor u klaar in Jouw Mijn Dienstverlener”. Wanneer is een bericht dan aangekomen?

Om maar te beginnen met de juridische regel: een bericht is aangekomen als het in de macht van de ontvanger is gekomen. Dus in ieder geval wanneer je hebt ingelogd en het bericht hebt aangeklikt / geopend. Ik zou zelf zeggen, het moment dat je de inbox opent en de subjectregel kon zien (dus niet pas na het openklikken), maar in de praktijk zal dat zelden uitmaken behalve bij 23:59 inloggen en om 00:02 het bericht openklikken.

Maar wat nu als je enkel de notificatiemail hebt gekregen, maar niet bent gaan kijken? Dat leek mij wat mager, immers ken je de inhoud dan al? Toch lijkt de rechter daar iets anders tegenaan te kijken. In een recent vonnis (dank, nl-x) kwam de dienst Aangetekend Mailen van KPN als bezorgdienst voor een ontbinding koop huis langs. Men had een huis gekocht, wilde daar binnen drie dagen vanaf en had dit verstuurd per aangetekende post en via deze aangetekende maildienst. De aangetekende brief was niet aangekomen, maar de aangetekende mail wel. Althans:

Blijkens [het logfile-] overzicht is de aankondiging van de e-mail van [gedaagden] met de ontbindingsverklaring op 22 juni 2015 om 12:10:10 uur aangeboden aan de mailserver van [mailadres] , welke aankondiging door deze mailserver om 12:11:06 uur is aangenomen. Op 28 juni 2015 om 08:00:07 uur is een herinnering van de aankondiging aangeboden, welke aankondiging op 28 juni 2015 om 08:01:06 uur is aangenomen. Uiteindelijk is de aangetekende e-mail 4 juli 2015 om 08:00:06 uur verwijderd vanwege het verlopen van de ophaaltermijn.
Hieruit concludeert de rechtbank dat de mail op 22 juni is ontvangen, in juridische zin. Immers, de aankondiging van de aangetekende e-mail op 22 juni 2015 is door de mailserver van de provider van [eisers] in de aldaar voor [eisers] aangehouden persoonlijke mailbox ontvangen op het e-mailadres waarmee de eiser gewoonlijk communiceerde.
Met de ontvangst van deze aankondiging door de mailserver van [eisers] kan worden gezegd dat de e-mail het digitale postvak van [eisers] heeft bereikt. De vergelijking kan worden gemaakt met de gang van zaken bij de gewone postbezorging. Als een aangetekende brief geweigerd wordt of bij geen gehoor na achterlating van een afhaalbewijs niet wordt afgehaald bij het postkantoor geldt deze in beginsel toch als ontvangen. Eventuele gevolgen van dit weigeren of niet ophalen komen voor rekening en risico van de ontvanger. In het onderhavige geval komt de omstandigheid dat [eisers] de e-mail blijkbaar niet hebben opgehaald ook voor hun rekening en risico. Bepalend is dat [eisers] over de ontbindingsverklaring hadden kunnen beschikken en hiervan redelijkerwijs kennis hadden kunnen nemen.
Een notificatie dat je een specifiek bericht hebt en hoe je dat in kunt zien, zou dus tellen als de ontvangst van dat bericht.

Maar let op, het bovenstaande geldt tussen civiele partijen (burgers, bedrijven et cetera). Want je hebt ook nog de overheidsdiensten die met een portaal werken. Dat is net weer even anders, want communicatie valt dan onder de Algemene wet bestuursrecht en die zit er anders in: elektronische communicatie van overheid naar burger mag als ontvanger eerder kenbaar heeft gemaakt dat hij langs deze weg voldoende bereikbaar is (art. 2:14 Awb). En daarbij hoeft alleen bewijs van verzending te worden geleverd. Wat bij een portaal in eigen beheer lekker makkelijk is, zie bijvoorbeeld deze zaak uit 2011.

(En terzijde, mijn jeuk over u/jij gebruik in communicatie begint ongezonde vormen aan te nemen.)

Arnoud

Kan Twitter straffeloos Trump van haar dienst weren?

| AE 12438 | Ondernemingsvrijheid, Uitingsvrijheid | 44 reacties

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of… Lees verder

Mag je de claxon van je Tesla een eigen ringtone geven?

| AE 12429 | Ondernemingsvrijheid | 24 reacties

Tesla-auto’s krijgen een update waarmee gebruikers het geluid van de toeter van hun auto kunnen aanpassen, las ik bij Tweakers. Naast het geluid van de claxon als waarschuwingssignaal is het ook mogelijk om geluid af te spelen terwijl er geen bestuurder in zit, zoals bij de “summon” modus waarbij de auto naar je toe komt… Lees verder

Wanneer is een mail aangekomen als deze in een spamfilter blijft hangen?

| AE 12422 | Ondernemingsvrijheid, Regulering | 107 reacties

Een lezer vroeg me: Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken… Lees verder

Werknemers zien werkgevers vaker monitoringsoftware inzetten

| AE 12400 | Ondernemingsvrijheid | 12 reacties

Sinds werknemers vanwege de coronamaatregelen thuiswerken wordt er vaker door werkgevers gebruikgemaakt van monitoringsoftware om het personeel in de gaten te houden. Dat meldde Security.nl onlangs. Een enquête van GetApp onder ruim duizend Nederlandse werknemers en tweehonderd managers uit het mkb laat zien dat 65 procent van de managers claimt “meer vertrouwen in het personeel te… Lees verder

ACM wijst fabrikanten en winkels op informatieplicht bij IoT-apparaten

| AE 12385 | Ondernemingsvrijheid | 11 reacties

Fabrikanten en winkels moeten klanten laten weten hoelang aangeboden Internet of Things-apparaten beveiligingsupdates ontvangen. Dat meldde Security.nl onlangs. Deze eis volgt uit de wet, en de Autoriteit Consument en Markt gaat deze marktpartijen nu expliciet wijzen op hoe dit uitpakt bij zogenaamd ‘slimme’ apparaten. Naast informatie over updates moet je ook te horen krijgen welke… Lees verder

Gaan providers e-mail van Brein aan torrentgebruikers doorsturen?

| AE 12381 | Intellectuele rechten, Ondernemingsvrijheid | 37 reacties

Ziggo en KPN hebben nog geen duidelijk standpunt ingenomen over het plan van Brein om torrentgebruikers te waarschuwen, meldde Tweakers onlangs. Brein wil vanaf 15 december beginnen met het versturen van waarschuwingsberichten van torrentgebruiker, door IP-adressen te monitoren van mensen die BitTorrent of sites als Popcorn Time gebruiken en dan internetproviders te vragen een e-mail… Lees verder

Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

| AE 12371 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en… Lees verder