Privacy in tijden van corona: Europese regels zijn ver weg
Geplaatst op: 23-04-2020, 15:54:59
Vrijwel alle organisaties in Nederland, en daarbuiten uiteraard, kampen in deze tijden met vragen over privacy. Mag u de temperatuur van uw werknemers meten om zo te kunnen beoordelen of ze tot het werk kunnen worden toegelaten? Mag u de reden van een ziekmelding bijhouden? En mag u in geval van de diagnose ‘corona‘ deze delen met collega’s?
Organisaties kijken – terecht – naar de privacytoezichthouders voor toelichting, maar lopen daarbij tegen het probleem aan dat elke nationale toezichthouder zijn eigen lijn trekt en bovendien niet elke toezichthouder even voortvarend adviseert.
Toen de Algemene Verordening Gegevensbescherming (AVG) bijna 2 jaar geleden van toepassing werd, was al duidelijk dat dit bijzonder atypische Europese wetgeving is. Bovenop de verordening stond het alle landen vrij om de privacywetgeving op nationaal niveau aan te vullen.
Europese richtlijn, verordening of wet
Een Europese verordening is een Europese wet die normaal gesproken geldt als een – identiek – geheel in alle lidstaten van de Europese Unie (EU). Dat is het verschil met een Europese richtlijn, die elke lidstaat zelf moet omzetten in nationale wetgeving. Door de verschillende implementaties van een richtlijn, kunnen er grote verschillen ontstaan tussen de regels in de diverse landen.
Aanvullend
De AVG is feitelijk een – vrij unieke – variant tussen een verordening en een richtlijn. De AVG geldt als Europese wet in alle lidstaten van de EU, maar de landen hebben daarnaast nog een grote vrijheid gekregen om zelf aanvullende wetgeving te maken.
Nederland heeft daar net als andere landen gebruik van gemaakt. Bij ons zijn de regels over de omgang met bijzondere persoonsgegevens – zoals medische gegevens – die voorheen in de Wet bescherming persoonsgegevens stonden, bijvoorbeeld weer integraal opgenomen in de Nederlandse Uitvoeringswet AVG. Die geldt naast de AVG. Gevolg is dat alsnog de nationale wetgeving in een land bekeken moet worden om een volledig beeld te krijgen van de regels over privacy.
Nationale focus
In deze tijden, waarin met man en macht geprobeerd wordt om het coronavirus te verslaan, wordt aan alle kanten gekeken naar de mogelijkheden om persoonsgegevens binnen de wettelijke kaders te verwerken. Daarbij komen onvermijdelijk vragen naar boven over de grenzen die er gelden bij het inzetten van persoonlijke data.
Wat daarbij in het oog springt, is de grote nationale focus die hierin te zien in. Hier komt in volle omvang het probleem naar voren, dat samenhangt met het feit dat de Europese landen zo veel ruimte hebben gekregen om aanvullingen te maken op de AVG.
In heel Europa, en uiteraard ook de rest van de wereld, worstelen organisaties met dezelfde vragen, maar de antwoorden erop lijken vaak te moeten komen van de lokale toezichthouders en kunnen dus per land verschillen.
Handvatten AP over corona op de werkvloer
Zo heeft in Nederland de Autoriteit Persoonsgegevens (AP) antwoorden geformuleerd op vragen over corona op de werkvloer. Aanvankelijk meldde de AP slechts dat het een taak van de overheid en de GGD is om verdere verspreiding van het virus te voorkomen en dat u als werkgever zelf geen conclusies mag gaan trekken over de gezondheid van individuele werknemers en dus ook niet mag bijhouden waar medewerkers op vakantie zijn geweest en ook niet hun temperatuur mag vastleggen.
Eigen verantwoordelijkheid werknemers
Recentelijk heeft de AP iets meer richting gegeven. Zij blijft op haar website wel vermelden dat u niet de temperatuur van uw werknemers mag vastleggen. De AP merkt daar nu echter bij op dat u uw werknemers wel mag vragen om zelf hun gezondheid scherp in de gaten te houden.
Werknemers met griepverschijnselen naar huis sturen
U zou uw werknemers dus zelf onder werktijd hun temperatuur kunnen laten controleren. Verder geeft de AP aan dat u uw werknemers naar huis mag sturen als ze verkoudheids- of griepverschijnselen vertonen. Normaal mag dat niet, maar in deze bijzondere omstandigheden wel.
De AP verduidelijkt verder dat u niet naar de aard en oorzaak van iemands ziekte mag vragen als iemand zich ziek meldt. En als een werknemer dat zelf vertelt, mag u het wel aanhoren, maar niet vastleggen. De verdere afhandeling van het informeren van de rest van het bedrijf gebeurt door de GGD, in overleg met de werkgever.
Standpunten in Europa
Op zichzelf zijn dit praktische aanwijzingen. Probleem is wel dat de AP regelmatig met nieuwe meldingen en standpunten komt en dat het dus voor u lastig bij te houden is wat er nu allemaal wel en niet mag. De AP heeft recent zonder verdere aankondiging of toelichting vragen en antwoorden van haar site verwijderd en vervangen door andere vragen en antwoorden.
De visie van de buren
Nog lastiger wordt het als uw organisatie ook buiten Nederland actief is, omdat lokale toezichthouders weer andere standpunten huldigen. De Engelse toezichthouder stelt dat het verwerken van de gegevens over de temperatuur van werknemers wél is toegestaan. En zelfs de Duitse toezichthouder heeft niet zo’n stellig standpunt ingenomen als de AP.
Verder heeft de European Data Protection Board (EDPB), de instelling waarin alle Europese privacytoezichthouders (dus ook de AP) verenigd zijn, in een statement van 16 maart 2020 expliciet gemeld dat de privacywetgeving niet in de weg staat van het gevecht tegen het coronavirus.
Persoonsgegevens verwerken zonder toestemming
De EDPB stelt dat de AVG 2 mogelijkheden zou bieden aan werkgevers om zonder toestemming van werknemers persoonsgegevens te verwerken in geval van een epidemie. Dat zou volgens de EDPB kunnen als de verwerking van gegevens:
- noodzakelijk is om redenen van algemeen belang in het kader van de volksgezondheid, of
- om vitale belangen te beschermen.
Dit lijkt toch een ruimer standpunt dan dat van de AP. Mag u hier als werkgever dan uit af leiden dat u van uw werknemers wel zelf de temperatuur mag meten? Of dat u meer vragen aan uw werknemers mag stellen over de aard van de ziekte? Het standpunt komt tenslotte van de Europese toezichthouder.
Ruimte voor zulke uitzonderingen
Wat de EDPB in haar statement niet meldt, is dat de AVG op zichzelf mogelijk wel ruimte biedt voor zulke uitzonderingen, maar alleen als daar in nationale wetgeving aandacht aan is besteed, en die verwerkingen zijn goedgekeurd. En dat is in de Nederlandse Uitvoeringswet AVG niet het geval. De AP is in dit opzicht mogelijk te streng.
Terugvallen op goed werkgeverschap
Wellicht zouden we kunnen terugvallen op onze Nederlandse regels over bijvoorbeeld ‘goed werkgeverschap’. U heeft als werkgever de plicht uw werknemers te beschermen en daarbij passen maatregelen die in dit artikel worden genoemd. Dat maakt een organisatie nog niet tot een partij die de privacyregels welbewust met voeten treedt.
Geen garanties
Toegegeven, garanties zijn hierbij niet te geven en er staan potentieel hoge boetes op overtreding van de AVG. Maar uiteindelijk moet een rechter het optreden van een werkgever achteraf toetsen en als daarbij aangetoond wordt dat er alles aan is gedaan om de risico’s tot een minimum te beperken – zoals bijvoorbeeld het apart bewaren van de ‘coronagegevens’ zodat deze niet in de reguliere systemen belanden en over een tijd makkelijk vernietigd kunnen worden – zou het zomaar kunnen dat zo’n optreden wordt goedgekeurd.
Een Europees antwoord op privacyvragen is verder weg dan ooit en dat maakt het voor organisaties ook lastiger dan ooit om aan de regels te voldoen. Dat is ongemakkelijk, zeker met de hoge boetes die staan op overtreding van de AVG.
Zoveel landen, zoveel zinnen
Was deze situatie te voorkomen geweest? Had Europa er niet voor kunnen zorgen dat de antwoorden op de vragen die nu leven op voorhand duidelijk zouden zijn geweest, en in heel Europa uniform beantwoord zouden worden? Waarschijnlijk niet.
Strenger
In Europa denken de diverse landen nu eenmaal verschillend over privacy. Het ene land is (veel) strenger dan het andere. Vanuit dat gezichtspunt bezien is het al een wonder dat de AVG er überhaupt is gekomen en dat men het dus over de uitgangspunten wél eens is geworden. De AVG had ook zomaar een richtlijn kunnen zijn in plaats van een verordening, waarbij er nog veel meer nationale verschillen zouden zijn ontstaan.
Juist op het gebied van de omgang met persoonsgegevens zoals medische gegevens – de gevoelige gegevens dus – viel geen consensus te bereiken over de mogelijkheden van het gebruik ervan.
Eenduidig
Mogelijk komen er na deze crisis aanvullende Europese regels, zodat in een andere en toekomstige context het wiel niet weer net zoals nu door alle landen apart hoeft te worden uitgevonden, en er eenduidige(re) regels zullen zijn.
Tot die tijd is het zaak de verschillende standpunten per land goed te monitoren, en om daar praktisch en met oog voor de praktijk mee om te gaan. Het eenvoudigweg volgen van de melding ”Mag niet van de AP” is daarbij te makkelijk.
Bron: Dit artikel van 20 april 2020 is geschreven door Kim de Bonth, advocaat IT & Privacy bij Holla Advocaten, www.holla.nl, k.debonth@holla.nl