null

Het coronavirus: verwerking van persoonsgegevens

In deze onzekere tijden van het coronavirus dat zich in een rap tempo over de wereld verspreid, willen organisaties de bedrijfscontinuïteit en – nog wel belangrijker – haar werknemers, klanten en andere bezoekers beschermen. Dit wordt gedaan door maatregelen te nemen, zoals zo veel mogelijk thuiswerken. Niet ieder beroep leent zich echter voor thuiswerken. Nu het risico op het virus nog steeds toeneemt, willen werkgevers werknemers toegang tot de werkplaats kunnen ontzeggen wanneer iemand een verhoogd risico vormt op of reeds verschijnselen vertoont van het virus. Welke persoonsgegevens mogen werkgevers specifiek in dit kader van werknemers verwerken om het coronavirus tegen te gaan?

Typen verwerkingen

Bij deze verwerkingen moet bijvoorbeeld gedacht worden aan een vragenlijst op basis waarvan een werkgever wil inschatten of de werknemer reeds besmet is geraakt met het virus. Zo wordt dan bijvoorbeeld gevraagd of, en zo ja waar, iemand op reis is geweest. Bovendien kan gevraagd worden of iemand verschijnselen vertoont (Hoest u? Heeft u verhoging?). Een vergaande maatregel vormt het opmeten van de temperatuur van werknemers bij binnenkomst.

Veiligheid en gezondheid vs. de bescherming van persoonsgegevens

De werkgever heeft de verplichting zorg te dragen voor een veilige werkomgeving voor personeel en andere aanwezigen. Dit houdt in dat de werkgever alles dient te doen en na te laten om de veiligheid en gezondheid van het personeel zoveel mogelijk te waarborgen (Art. 3 arbeidsomstandighedenwet / art. 7:658 BW). De zorg van een werkgever om te voorkomen dat werknemers bloot worden gesteld aan een besmettelijke ziekte valt hier in beginsel onder.

In de nakoming van deze verplichting dient de werkgever wel rekening te houden met andere relevante wet- en regelgeving, waaronder de Algemeen Verordening Gegevensbescherming (“AVG”) en daaraan verwante regelgeving.

Europese toezichthouders

Op 16 maart publiceerde het Europees Comité voor de gegevensbescherming  (Data Protection Board, “EDPB”) een mededeling over het coronavirus en de verwerking van persoonsgegevens in dit kader. De EDPB stelt dat de AVG wettelijke grondslagen bevat op basis waarvan werkgevers en volksgezondheidsinstanties in de context van een epidemie persoonsgegevens kunnen verwerken, zonder de toestemming van de betrokkene. Specifiek verwijst de EDPB naar artikelen 6 en 9 AVG. Hier laat de EDPB duidelijk ruimte om persoonsgegevens te verwerken om het coronavirus te bestrijden.

 “The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.”

Wat betreft ‘normale’ persoonsgegevens, kan een werkgever zijn grondslag vinden het gerechtvaardigd belang. Voor het verwerken van deze persoonsgegevens voorzie ik geen juridische bezwaren. De crux zit hier echter wel in de strikte opvatting van de Nederlandse toezichthouder.

De Autoriteit Persoonsgegevens over gegevens omtrent het coronavirus

De EDPB ziet duidelijk ruimte voor het verwerken van persoonsgegevens door werkgevers in het kader van het bestrijden van het coronavirus. De Autoriteit Persoonsgegevens (“AP”) is hier onderdeel van, maar kiest om een strikte opvatting te hanteren

Eerder oordeelde de AP al dat indien sprake is van een werkgever – werknemer relatie, nagenoeg nooit sprake kan zijn van toestemming als rechtmatige grondslag. Gezien de hiërarchische verhouding tussen deze partijen gaat de AP er vanuit dat toestemming nooit vrijelijk kan worden gegeven. Dit sluit deze grondslag uit voor het verwerken van persoonsgegevens in het kader van de bestrijding van het coronavirus.

Op de vraag ‘Mag ik mijn werknemers controleren op corona’ antwoordt de AP dat je als werkgever bijna nooit het recht hebt om zelf medische gegevens van werknemers te registreren. De AP heeft hier een terecht punt, gezondheidsgegevens van werknemer mogen doorgaans alleen door de bedrijfs- of Arboarts worden verwerkt. Desalniettemin is hier sprake van een uitzonderingssituatie nu van een epidemie wordt gesproken. De AP gaat bovendien verder door de kwalificatie van bijzondere persoonsgegevens te verbreden; ook het bijhouden van waar werknemers recentelijk zijn geweest kwalificeert volgens de AP in het kader van het coronavirus als een bijzonder persoonsgegeven. De AP gaat er hier vanuit dat bij het verwerken van deze persoonsgegevens een conclusie wordt verbonden aan de individuele gezondheid van werknemers. Bijvoorbeeld als zij in Noord-Italië op vakantie zijn geweest. Dit maakt het volgens de AP een bijzonder persoonsgegeven.

Dit gaat mijns inziens te ver. De bestrijding van het virus en met name de ‘flatten the curve’ tactiek, valt of staat met het beperken van risico’s op verspreiding. Wanneer een werknemer in Italië is geweest wordt geen kwalificatie gegeven over de gezondheid van die persoon, die persoon kan namelijk kerngezond zijn. Wel kan een verhoogd risico worden vastgesteld op het meedragen van het coronavirus. Op zichzelf zegt het land (nog) niks over de gezondheid van de werknemer. Of de werkgever arbeidsrechtelijk gezien de werknemer in dit geval mag verplichten thuis te werken of de toegang mag ontzeggen tot de werkplaats is weer een andere vraag.

Andere toezichthouders?[1]

Meerdere toezichthouders hebben inmiddels een advies uitgebracht over de verwerking van persoonsgegevens door de werkgever, ten einde bestemming van het coronavirus tegen te gaan.

België
De Belgische toezichthouder is net als de AP vrij strikt in haar uitleg. Zij stelt dat “op basis van de laatste informatie gepubliceerd door de FOD Volksgezondheid met betrekking tot COVID-19 geen reden bestaat voor een ruimere of systematische toepassing van de rechtmatigheidsgrond vervat in artikel 6 lid 1 sub d AVG (“noodzaak van de verwerking voor de bescherming van de vitale belangen van de betrokkene of andere natuurlijke personen”) in het kader van het nemen van preventiemaatregelen door bedrijven en werkgevers”. Voorts is het systematisch controleren van lichaamstemperatuur volgens de Belgische toezichthouder niet proportioneel. Ook kan de werkgever volgens de Belgische toezichthouder, haar werknemers niet verplichten tot het invullen van een vragenlijst, ook indien dit alleen de vraag naar recente reizen betreft.

Denemarken
De Deense toezichthouder daarentegen stelt dat – mits niet in strijd met arbeidsrechtelijke of publiekrechtelijke regels – een werkgever informatie kan vastleggen die niet specifiek als gezondheidsgegevens worden beschouwd. Als voorbeeld geeft de Deense toezichthouder ‘dat een werknemer is teruggekeerd uit een risicogebied. Dit betekent dat dit persoonsgegeven niet per definitie wordt beschouwd als een gezondheidsgegeven, zoals de Belgische en Nederlandse toezichthouders dat wel doen.

Duitsland
In Duitsland wordt verondersteld dat de zorgplicht in de Arbeitsschutzgesetz (Arbowet), voldoende grondslag biedt om werknemers te beschermen tegen het coronavirus. Zo is het op basis hiervan toegestaan informatie te verwerken met wie de zieke werknemer contact heeft gehad. Bovendien kan de werkgever vragen of de werknemer in een risicogebied is verbleven. Een negatieve bevestiging zou voldoende moeten zijn hierin.

Verenigd Koninkrijk
De Engelse toezichthouder stelt dat het redelijk is om aan werknemers te vragen of ze een specifiek land hebben bezocht of dat zij symptomen van het coronavirus ervaren. Een analyse op basis van welke grondslag dit mag en of deze gegevens kwalificeren als bijzondere persoonsgegevens, blijft achterwege.

Zweden
De Zweedse toezichthouder stelt dat de informatie dat een werknemer in een risicogebied is geweest, op zichzelf niet kwalificeert als een gegeven over de gezondheid van die persoon. Deze persoonsgegevens mogen dus verwerkt worden op grond van een van de grondslagen in artikel 6 AVG.

Bijzondere persoonsgegevens

Wanneer een persoonsgegeven kwalificeert als een ‘bijzonder’ persoonsgegeven, mag het niet worden verwerkt tenzij een van de uitzonderingsgronden in artikel 9 AVG van toepassing is. Indien wij een strikte lezing van de AP volgen, lijkt geen van de uitzonderingsgronden benoemd door de EDPB van toepassing te zijn op de verwerking van gezondheidsgegevens van werknemers in het kader van het coronavirus in Nederland.

Met betrekking tot het algemeen belang op het gebied van volksgezondheid (artikel 9 lid 2 sub i AVG), delen wij de conclusie dat deze niet van toepassing is. Deze is namelijk slechts van toepassing indien gebaseerd op grond van Unierecht of het lidstatelijke recht, waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene. Een dergelijke specifieke wettelijke bepaling is niet  – althans nog niet aangetoond - aanwezig. De eerder benoemde arbeidsomstandighedenwet is in dit kader in ieder geval niet specifiek genoeg. In dit kader kan de parallel getrokken worden met alcohol en drugstesten, waar in veel gevallen ook een specifieke wettelijke bepaling ontbreekt. Ik verwijs naar de analyse van mijn collega’s in dit kader. 

Met betrekking tot het vitale belang (artikel 9 lid 2 sub c AVG) zien wij wel mogelijkheden. Deze grond is een uitzonderingsgrond indien de werknemer fysiek of juridisch niet in staat is zijn/haar toestemming te geven. In dit kader kan deze grondslag wel uitkomst bieden, te meer gezien de uitleg van de AVG in overweging 46 waarin bijvoorbeeld het monitoren van een epidemie wordt benoemd als vitaal belang.

De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.”

Nu de werknemer volgens de AP geen rechtsgeldige toestemming kan geven, en indien er daadwerkelijk sprake is van een vitaal belang van een betrokkene, zou de werkgever kunnen beargumenteren dat deze uitzonderingsgrond van toepassing is.

Conclusie

Als werkgever mag je van de Nederlandse toezichthouder slechts beperkt tot geen gegevens vastleggen die een eventueel risico van een werknemer aantonen op besmetting met het coronavirus. Hier heerst geen consensus over onder de verschillende Europese toezichthouders. Het advies luidt praktisch en zorgvuldig om te springen met het registreren van persoonsgegevens over werknemers. Zorg dat niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk. Bewaar de persoonsgegevens niet langer op dan noodzakelijk, zorg dat werknemers duidelijk worden geïnformeerd over de verwerking en baseer de verwerking van persoonsgegevens op de juiste rechtmatige grondslag. Wij helpen u graag verder bij het maken van deze afweging.

[1] De benodigde vertalingen zijn vrije vertalingen, een voorbehoud wordt daarom gemaakt op eventuele vertaalfouten.