Door: Marieke Putters
Je kunt er haast niet om heen. Had de Autoriteit Persoonsgegevens (AP) het al druk na de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018, nu rent de AP helemaal de benen onder haar lijf vandaan. De drukte wordt veroorzaakt door de op hoog tempo doorgevoerde en op handen zijnde corona maatregelen. Daarbij gaat het niet alleen om de corona maatregelen zelf, zoals het invoeren van een ware corona-app, maar ook om de reacties van de burgers en het bedrijfsleven op deze corona maatregelen. Dit zet zowel de AP op scherp, als de Privacy Officer (PO) en de Functionaris Gegevensbescherming (FG). De maatregelen roepen namelijk heel wat vragen op:
Spelen deze vragen binnen jouw organisatie? Ik zal de Autoriteit Persoonsgegevens, Privacy Officer en Functionaris Gegevensbescherming een klein beetje meehelpen en in dit artikel al wat licht in de corona duisternis scheppen.
Feeling hot?
Mag de werkgever nu wel of niet mijn temperatuur meten door middel van een voorhoofdthermometer? Op de vraag of temperaturen van de medewerker als toegangscontrole is toegestaan, heeft de AP uiteindelijk bevestigend geantwoord. Hieraan zijn echter wel een aantal voorwaarden verbonden. Zo geldt de AVG niet als enkel de temperatuur wordt afgelezen, maar het ligt anders als de temperatuur wordt geregistreerd of in een geautomatiseerd systeem terechtkomt. Iemands temperatuur is een medisch gegeven en is daarmee een bijzonder persoonsgegeven. Het is meestal verboden bijzondere persoonsgegevens te verwerken, tenzij de wet een uitzondering maakt. De enige uitzondering waaraan zou kunnen worden gedacht, is dat de persoon uitdrukkelijke toestemming geeft om zijn of haar temperatuur te registreren. Echter, let op: toestemming moet in vrijheid worden gegeven. Een arbeidsrelatie is geen gelijkwaardige situatie. Werknemers kunnen dus niet in vrijheid hun toestemming geven om hun temperatuur te registreren. Een werkgever mag, zelfs wanneer de werknemer of de OR uitdrukkelijke toestemming geeft, de temperatuur daarom niet registreren. Verder wijst de AP erop dat niet alleen naar de AVG moet worden gekeken voor het toestaan van het (enkel) opmeten van de temperatuur, maar ook naar de bredere context van privacy als grondrecht en naar het arbeidsrecht.
Check, check, dubbel check
Wanneer de werknemer voor zijn of haar werk een bezoek brengt aan een andere organisatie mag die desbetreffende organisatie eveneens de temperatuur van zijn bezoeker niet registreren. Dit geldt ook wanneer deze bezoeker toestemming wil geven. Net als eerder beschreven, geldt ook in deze situatie dat geen sprake is van gelijkwaardigheid. In de horeca en contactberoepen mogen klanten door middel van een gezondheidscheck of checkgesprek naar hun gezondheid worden gevraagd, maar mogen de antwoorden ook hier niet worden geregistreerd. Ook bij een online reservering mag niet worden gevraagd of de klant klachten heeft. Wel kan de klant worden geïnformeerd over het toegangsbeleid en kan worden gevraagd de aanbevelingen van het RIVM op te volgen, zoals het verzoek om thuis te blijven bij klachten.
Privacy en thuiswerken in coronatijd
Hoe zit het met de vragen die bij de thuiswerkers leven? Van de ene op de andere dag zat het overgrote deel van werkend Nederland ineens thuis. Hoe blijven we met elkaar in contact? De (gratis) videobel-apps schoten als paddenstoelen uit de grond. Hoeveel verschillende soorten heb je al voorbij zien komen? Waarschijnlijk waren ze er al, maar hoe veilig zijn al die apps? Geen tijd om dit uitgebreid te onderzoeken, want er moet worden doorgewerkt. Gelukkig heeft de AP dit voor ons uitgezocht en een keuzehulp voor videobel-apps ter beschikking gesteld. Hierbij is gekeken naar welke gegevens de app verzamelt, wat de app ermee doet en of de communicatie is beveiligd. Voor je organisatie kan het raadzaam zijn om voor een betaalde versie te kiezen indien die meer (privacy)opties biedt. Daarnaast kan je nagaan of het mogelijk is een verwerkersovereenkomst met de videobel-app af te sluiten.
Privacy kennis up-to-date
Zo snel als de corona ontwikkelingen gaan, zo snel rijzen de privacy gerelateerde vragen met betrekking tot de coronamaatregelen. Een ieder heeft gezien dat de wereld er in één klap heel anders uit kan zien. Bij het vaststellen van de focusgebieden van de AP voor 2020-2023 had de AP nooit deze ontwikkelingen kunnen vermoeden. Dit vergt, zoals voor velen, een sterk beroep op het aanpassingsvermogen. Daarnaast lopen de andere ontwikkelingen op het gebied van privacy(toezicht) gewoon door. Is er vanuit jouw organisatie behoefte aan:
Het Nederlands Compliance Instituut organiseert op 7 en 8 oktober 2020 de Opleiding Privacy Officer. Graag spreek ik je dan, met nieuwsgierigheid uitkijkend naar de ontwikkelingen tegen die tijd.