Corona en de AVG
En dan heeft u ook vast, net als ik, vastgesteld dat hier onduidelijkheid over bestaat. Want er wordt flink geschermd met de privacy, met name de AVG. Zo lijkt de AVG eerder een virus dan een medicijn tegen hoe als werkgever te handelen bij Corona.
Onze Nederlandse privacy-waakhond heeft hier onlangs ‘guidance’ over gegeven. Zoals wel vaker, trekt de waakhond een conservatieve lijn:
“Als werkgever heeft u bijna nooit het recht om zelf medische gegevens van uw werknemers te registreren. Wel kunt u de arbodienst of bedrijfsarts inschakelen om te controleren op corona. (…)
Gezondheidsgegevens zijn bijzondere persoonsgegevens en zijn daarom extra beschermd. Als werkgever mag u normaal gesproken niet op de stoel van een arts gaan zitten door conclusies te trekken over de gezondheid van individuele medewerkers. Bijvoorbeeld door bij te houden waar medewerkers op vakantie zijn geweest. Of door hun temperatuur vast te leggen.”
Ook zet de waakhond de route van toestemming dicht:
“Mag ik op basis van toestemming van mijn zieke werknemer vastleggen wat hij/zij mankeert?
Nee. Toestemming is bijna nooit een geldige grondslag om dit soort gevoelige informatie over uw werknemer te registreren. Juist omdat u de werkgever bent, kan uw werknemer zich namelijk verplicht voelen om in te stemmen.”
Helemaal niks
Kortom, als het aan de Autoriteit Persoonsgegevens (AP) ligt, mag je als werkgever eigenlijk helemaal niks. Je mag niet eens vragen naar waar iemand met vakantie is geweest. In mijn optiek volstrekt onterecht en vooral ook onwerkbaar. Zeker als we op een ‘lock down’ lijken af te stevenen wegens het Corona virus. Ik hoor en lees argumenten over “nood breekt wet”, maar daar ben ik geen voorstander van. Maar er gloort wellicht hoop aan de horizon.
De European Data Protection Board (waar alle EU toezichthouders in zijn verenigd) heeft 16 maart jl. een verklaring uitgegeven. En daarin staat volgens mij meteen heel ’n heel duidelijke opening te lezen:
“Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic.”
De AVG is dus géén virus, denk ik dan. En de EDPB vervolgt met nog een interessante overweging:
“Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.”
Algemeen belang
Kortom, de EDPB ziet wel degelijk ruimte voor werkgevers. Er wordt verwezen naar de artikelen 6 en 9 van de AVG, dus naar redenen van algemeen belang op het gebied van de volksgezondheid of om vitale belangen te beschermen. Of om te voldoen aan een andere wettelijke verplichting.
Maar nu komt het probleem: de wetgever heeft deze ruimte in de uitvoeringswet bij de AVG (de UAVG) beperkt. Zo kan een beroep op vitaal belang alleen ‘indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven’. Die deur zit dus dicht.
Verder mag een werkgever onder de UAVG alleen medische gegevens verwerken als dit noodzakelijk is voor ‘een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene’. Maar dit gaat ook niet helpen bij corona.
De enige grondslag is dus eigenlijk toestemming. Maar hier komt dus – weer – het probleem om de hoek kijken dat de AP een heel strikte visie heeft op toestemming in de verhouding werknemer – werkgever.
Strikte leer
Namelijk dat deze nooit vrijelijk gegeven zou kunnen worden gezien de hiërarchische verhouding. Ik heb al vaker gezegd dat de AP hiermee een verwerking dus volledig blokkeert, als er geen andere optie is. En zelfs bij corona - een wereldwijde pandemie die z’n weerga niet kent - houdt de toezichthouder vast aan deze strikte leer. Ik hoop echt dat een rechter (bij voorkeur de hoogste Europese rechter) hier nog een keer een duidelijk licht over kan laten schijnen.
Maar nu komt mijn - wellicht opmerkelijke - stelling: de uitspraak van het Europees Hof van Justitie inzake het vergeetrecht bij Google, biedt hier mogelijk soelaas. “Opmerkelijk” omdat ik me altijd kritisch heb uitgelaten over deze uitspraak. Maar elk nadeel heeft zijn voordeel, zei Nederlands beste voetballer altijd. Ik zal dit uitleggen.
Mijn probleem met de Google-uitspraak is dat er een belangenafweging op basis van de grondslag ‘gerechtvaardigd belang’ is geïntroduceerd bij de verwerking van bijzondere gegevens, terwijl de wet die opening als zodanig niet biedt. Daarin staat een ‘verbod, tenzij’ constructie.
In de Google-uitspraak ging het om de afweging tussen het recht op toegang tot informatie en de vrijheid van meningsuiting, versus het recht op de bescherming van de persoonlijke levenssfeer. Maar volgens mij kan je deze lijn doortrekken naar Corona. De EDPB wijst bijvoorbeeld nadrukkelijk op het belang en de noodzaak tot verwerking door werkgevers ‘for reasons of public interest in the area of public health’. Misschien geen keihard grondrecht, maar wel een fundamenteel recht als je het mij vraagt.
Geval tot geval
Waar ik dus voor pleit is om dit fundamentele recht tegenover die van de privacy van de werknemer te zetten en – net als in de Google uitspraak – een belangenafweging van geval tot geval te maken.
Is dat makkelijk? Nee, dat geef ik meteen toe. Maar het leidt naar mijn stellige overtuiging tot een rechtvaardiger constructie, en aldus een medicijn, dan het huidige virus zoals door de toezichthouder zelf gecreëerd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee