Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?
Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

 

Arnoud

Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het een kleine zaak is. En daarbij is het vragen naar naam en contactgegevens verplicht voor contactonderzoek. Maar of je ook antwoord moet geven is dus niet duidelijk aldus de belangenorganisatie.

Dat is inderdaad een tikje dubbel van de Rijksoverheid:

Daarnaast worden alle bezoekers gevraagd zich te registreren. Bezoekers laten op vrijwillige basis naam- en contactgegevens achter zodat de GGD contact kan opnemen bij een besmetting die verband houdt met de horecagelegenheid.
Vragen is dus verplicht, maar als ik zeg “dat krijg je niet” dan heb je dus pech als horecagelegenheid. Dat riep bij velen (onder meer in de draad bij Security.nl en in mijn inbox) de vraag op of je dat niet alsnog gewoon kunt afdwingen. Het is toch jouw tent, als jij wil dat alleen bij jou bekende personen binnen zijn en dat je hun mailadres hebt dan is dat toch gewoon jouw ondernemersvrijheid?

Nou ja, niet helemaal. De hoofdregel klopt natuurlijk, maar er kunnen wel degelijk wetten zijn die jou hinderen in die vrijheid. De AVG/GDPR is hier echter echt wel een probleem. Een restaurant dat zegt “geef me naam en adres zodat ik marketing op je kan doen, anders eet je maar ergens anders” loopt tegen artikel 7 AVG aan dat zegt dat toestemming vrijwillig gegeven moet worden, zonder enige dwang.

Dit is precies de discussie van de cookiemuur: kan een ondernemer zeggen, geef me toestemming voor cookies anders geen website voor jou? De AP neigt naar de interpretatie “nee”, maar de rechter heeft zich er nog niet over uitgelaten. Ik zie zelf veel voor het standpunt van de AP, ook bij horeca want tegen de tijd dat ik daar sta om half zeven dan heb ik honger en ga ik echt geen ander restaurant opzoeken.

Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen. En als je dat wil afvangen door een online reservering te eisen met emailvalidatie of bevestigings-06, dan prima maar dan wel (artikel 13 AVG en 11.7 Telecomwet) expliciet erbij zetten dat je me reclamemails gaat sturen én een afmeldoptie op voorhand. Doen of het alleen is voor coronatracing en dán reclame sturen is gewoon tegen de wet.

Arnoud

Moeten mensen bij een horecareservering hun contactgegevens opgeven?

Een lezer vroeg me:

Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt?

Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te reserveren (en dat een gezondheidscheck plaats moet vinden). Althans bij grotere zalen of ruimtes waar 100 man of meer kan zitten. Kleine cafés hoeven dus niet met reservering te werken.

De meeste bedrijven kiezen voor online reserveren, en de bouwers van zulke sites kiezen dan voor de standaard aanpak waarbij mensen naam en contactgegevens opgeven. Dat is immers hoe het altijd ging. Je zou ook per reservering een random getal kunnen genereren dat mensen kunnen noemen; mogelijk doet men dit niet omdat klanten die getallen kwijtraken.

Maar je valt inderdaad onder de AVG als je mensen laat reserveren. Dat het wettelijk verplicht is, maakt dat niet anders. Dat betekent alleen dat je in je privacyverklaring aangeeft dat je het vraagt omdát het wettelijk verplicht is.

Alleen: het ís niet verplicht om contactgegevens te vragen. De noodverordening eist alleen dat plekken op reservering worden uitgegeven, niet dat je weet hoe die personen heten of hoe je ze kunt benaderen. Ja, de minister wil die gegevens daarvoor gebruiken maar dat kan alleen met aparte toestemming.

Als je dus contactgegevens vraagt bij een reservering, dan moet je uitleggen waarom je die nodig hebt. Dus niet “om uw reservering te beheren” maar concreet, wat doe je met die naam en met dat mailadres? Bevestig je het daarmee (en gaat het mailadres dus daarna weg) of kan men daarmee inloggen en annuleren? Stuur je informatie naar het 06-nummer dat je vroeg? Hoe lang bewaar je die gegevens, hoe krijgt men inzage en wanneer gooi je ze weg?

Er mag veel, maar je moet het wel aangeven. Ook direct marketing op die gegevens is toegestaan, maar daar moet je wel een opt-out bij aanbieden (op het reserveringsformulier dus, niet in de privacyverklaring) en je moet in de privacyverklaring uitleggen wat je ermee doet.

Maar let wel: als je zegt dat het wettelijk verplicht is om die gegevens te verstrekken, dan hang je. Dat is niet zo, en dan verwerk je ze onrechtmatig (want je gebruikt de verkeerde grondslag). En dan mag je niet zeggen “oh ja ik bedoelde uitvoering overeenkomst” of “het was stilzwijgende toestemming”.

Waarom werkt niemand eigenlijk met iets anders dan naam en contactgegevens bij reserveren?

Arnoud