NL EN
  • Home»
  • Weblog »
  • Wearables van de baas: dat bepaal ik zelf wel!
  • GEPLAATST OP: 24 maart 2016
  • GEPLAATST DOOR: Rosalie Heijna
  • GEPLAATST IN: Privacy
  • GOOGLE+: Rosalie Heijna

Wearables van de baas: dat bepaal ik zelf wel!

Begin deze maand plaatste de Autoriteit Persoonsgegevens (hierna: “AP”) een artikel op hun website met als kop: “Verwerking van persoonsgegevens wearables door werkgevers mag niet”. Dit bericht werd gepost naar aanleiding van een tweetal bedrijven die werknemers een wearable hadden aangeboden waarmee de werkgever inzicht kon krijgen in de gezondheid van de werknemers. Wearables zijn technische apparaten die op het lichaam gedragen worden, zoals een smartwatch of een fitness armband, die informatie uitlezen en analyseren over de gezondheid van de drager ervan. Volgens de AP is het op deze wijze verwerken van persoonsgegevens door de werkgever niet toegestaan, ook niet als de werknemer hier toestemming voor geeft.

Colliers, één van de onderzochte bedrijven, startte een jaar geleden een experiment, waarbij werknemers werden gevraagd op basis van wearable technologie en ‘self-tracking’ gedurende één jaar hun levensritme, productiviteit en well-being in kaart te laten brengen. Deelname was optioneel (zo’n 75% van de werknemers deed mee) en werknemers konden op ieder moment stoppen, hetgeen een aantal deelnemers ook heeft gedaan. Werknemers konden daarnaast zelf kiezen welke data er werd verzameld en welke data werd gebruikt voor het totaaloverzicht voor de werkgever. De data van een werknemer werd niet gebruikt voor individuele (functionerings-)gesprekken met de werkgever. De AP is echter van mening dat, ook onder deze omstandigheden, de vrijwillige deelname (lees: toestemming) van de werknemers niet rechtsgeldig is en dat deze gegevensverwerking in strijd is met de Wet bescherming persoonsgegevens (“Wbp”).

Voor het rechtmatig verwerken van persoonsgegevens is (onder andere) een wettelijke grondslag vereist. Deze mogelijke grondslagen staan limitatief opgesomd in artikel 8 van de Wbp. De verwerking van persoonsgegevens door middel van wearables is gebaseerd op de ondubbelzinnige toestemming van de betrokkene (artikel 8 sub a Wbp). Die toestemming wordt in de Wbp gedefinieerd als: “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt” (artikel 1 lid 1 sub i Wbp).

Het bestanddeel “vrije” van de toestemming wordt de Memorie van Toelichting als volgt toegelicht: “Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan”. Een voorbeeld dat de Memorie van Toelichting daarbij geeft is een sollicitant die toestemming geeft tot verwerking van zijn persoonsgegevens. De sollicitant handelt in dat geval onder druk van de wens om aangenomen te worden.

De AP hanteert het uitgangspunt dat, omdat tussen werknemer en werkgever een (financieel) afhankelijke relatie bestaat, in een arbeidsverhouding nooit sprake kan zijn van een vrije toestemming van de werknemer. Als gevolg daarvan kan een werknemer nooit rechtsgeldig toestemming verlenen voor een verwerking van zijn persoonsgegevens door zijn werkgever.

Wij vragen ons af of deze absolute uitsluiting van (ondubbelzinnige) toestemming in een arbeidsrelatie van de AP niet wat te ver doorschiet. Uiteraard is het wenselijk dat werknemers worden beschermd tegen het verlenen van toestemming onder druk van hun werkgever, te meer als de verwerking waarvoor toestemming wordt verleend kan leiden tot nadelige gevolgen voor de werknemer. Echter, wanneer de verwerking zelf en het onthouden/intrekken van toestemming voor de verwerking niet leidt of kan leiden tot nadelige gevolgen voor de werknemer, zien wij geen reden waarom er niet gesproken kan worden van een vrije toestemming van de werknemer.

En wij zijn niet de enige. Al in 2001 heeft de Artikel 29-werkgroep, het onafhankelijk advies- en overlegorgaan van de Europese privacy toezichthouders, zich uitgelaten over de toestemming van een werknemer. Zij stelde toen “that where consent is required from a worker, and there is a real or potential relevant prejudice that arises from not consenting, the consent is not valid in terms of satisfying either Article 7 or Article 8 as it is not freely given. If it is not possible for the worker to refuse it is not consent. Consent must at all times be freely given. Thus a worker must be able to withdraw consent without prejudice.” Ook in 2011 zag dezelfde werkgroep nog steeds de mogelijkheid voor een rechtsgeldige toestemming in een arbeidsrelatie: “Although there may be a strong presumption that consent is weak in such contexts [arbeidsrelatie], this does not completely exclude its use, provided there are sufficient guarantees that consent is really free.  

Ook meer recentelijk in de nieuwe Privacy Verordening, de Algemene Verordening Gegevensbescherming (“AVG”), die naar verwachting in mei dit jaar wordt aangenomen, is van een absolute uitsluiting van toestemming in een arbeidsrelatie afgestapt.

De oorspronkelijke versie van de AVG uit 2012 bevatte nog de volgende overweging: “Toestemming kan geen rechtsgrondslag voor verwerking zijn wanneer er sprake is van een duidelijke onevenwichtigheid tussen de betrokkene en de voor de verwerking verantwoordelijke. Dit is met name het geval wanneer de betrokkene zich in een situatie van afhankelijkheid jegens de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn persoonsgegevens worden verwerkt door zijn werkgever.”. De aangepaste versie van 15 december 2015 lijkt echter een nuancering op dit standpunt te zijn openomen, waarbij er voor de beoordeling van de toestemming moet worden gekeken naar het specifieke geval: “In order to safeguard that consent has been freely-given, consent should not provide a valid legal ground for the processing of personal data in a specific case, where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and this makes it unlikely that consent was given freely in all the circumstances of that specific situation.”  

Wat ons betreft moet de lijn die door de Artikel 29-werkgroepis ingezet worden aangehouden voor de vraag of toestemming vrij kan worden gegeven in een arbeidsrelatie. Antwoord: ja dat kan, onder de voorwaarde dat de verwerking zelf en het onthouden/intrekken van toestemming voor de verwerking niet leidt of kan leiden tot nadelige gevolgen voor de werknemer.

Met dank aan Jules van Engelen

BRON: autoriteitpersoonsgegevens.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.