Tag: vragen

About vragen

Subscribe Feeds

Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

Geplaatst op in Ondernemingsvrijheid, Privacy, 75 reacties

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?
Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

 

Arnoud

Overgrote deel apps overdrijft met toestemming vragen

Geplaatst op in Intellectuele rechten, Privacy, 24 reacties

apps-permission-toestemming-vragenMeer dan 85% van alle apps geven niet eens de meest basale privacyrelevante informatie, zo las ik bij The Register. En een op de drie apps vraagt excessief meer toestemmingen dan ze eigenlijk nodig zouden hebben. Schokkend, maar eigenlijk niet verbazingwekkend. Het onderzoek is van de Global Privacy Enforcement Network (GPEN) waar onder meer de Engelse en Nederlandse privacyautoriteiten deel aan nemen.

Omdat apps best veel kunnen qua privacy, hebben zowel Apple als Google ingebouwde beveiligingen. Je mag als app bepaalde dingen niet doen als die aan de privacy van de gebruiker raken, tenzij je daar toestemming voor hebt gevraagd. Dit gaat dan op de typische techneutenmanier: we mogen iets niet zomaar van Legal, dan vragen we de gebruiker om toestemming en dan kunnen we verder. Een stuk eenvoudiger immers dan je app herbouwen zodat de vraag overbodig is.

Ergerlijk. Maar goed, er komt dus een popup die vraagt “Deze app wil je gps coördinaten” uitlezen en daar kun je ja op zeggen anders mag je de app niet installeren of de update niet gebruiken. Lekker dan. Wie gaat er in die situatie nee zeggen? Ik negeer het ook, hoe vaak ik ook denk “waaróm wil je dat, je bent een zaklamp/spelletje/bankierapp”.

De GPEN pleit zoals toezichthouders wel vaker doen voor meer informatie: mensen uitleggen hoe het werkt, zodat ze daarna met een gerust hart ja of nee kunnen zeggen. Dat gaat ‘m niet worden maar het idee van een gelaagde privacyverklaring is niet verkeerd. Het idee is dat je per permissie kort uitlegt wat en hoe, en wie wil kan doorklikken naar een extra tab.

Maar waarom moeten appbouwers hier het wiel in uitvinden? Laten we de appstores verplichten om dit model te hanteren. Eis dat ze bij een toestemmingsvraag een toelichting laten opnemen. Niet in een privacyverklaring, niet in de app-informatietekst en niet in een “Over ons/Privacy” menu in je app. Nee, gewoon bij de vraag. “Deze app wil je gps coördinaten uitlezen omdat het een navigatie-app is, duh” of “Deze app wil je gps coördinaten uitlezen om lokatiegebonden advertenties te vertonen”.

Natuurlijk is dit lastiger te handhaven dan het technische model dat appstores nu hanteren. Je kunt als beheerder alleen vaststellen of er toestemming is voor functionaliteit, nagaan waaróm die toestemming is verleend (en met welke gedachte bij de gebruiker) is niet echt te programmeren. Maar daar is menselijke controle denk ik een prima alternatief, zeker omdat mensen vrij snel door zullen hebben wanneer toestemming op grond A wordt gevraagd en voor grond B wordt ingezet.

Bij voorkeur zouden mensen dan ook nog eens per toestemmingsvraag ja of nee moeten kunnen zeggen, en als ze nee zeggen dan mag de app best crippled raken maar installatie mag dan niet worden geweigerd. Maar dat lijkt me een brug te ver voor app-ontwikkelaars.

Arnoud