Privacy & corona

Privacy in tijden van Corona Wie de website van onze Autoriteit Persoonsgegevens  (‘AP’) raadpleegt om duidelijkheid krijgen over welke persoonsgegevens in deze tijden van de corona-uitbraak een werkgever mag verwerken om de werkplek veilig te houden, komt daarmee niet veel verder. De AP meldt dat het een taak van de overheid en de GGD is om verdere verspreiding van het virus te voorkomen. Werknemers kunnen, aldus de AP, wel naar de bedrijfsarts of arbodienst en die kan contact opnemen met de regionale GGD wanneer de arts vermoedt dat een werknemer het virus onder de leden heeft. Onder omstandigheden heeft een behandelend arts overigens zelf een meldplicht, op grond van de Wet publieke gezondheid. De AP meldt verder dat werkgevers zelf geen conclusies mogen gaan trekken over de gezondheid van individuele werknemers en dus niet bijhouden waar medewerkers op vakantie zijn geweest en ook niet hun temperatuur vastleggen. Op zich is dit allemaal waar. Het is ook allemaal logisch. Gezondheidsgegevens zijn bijzondere persoonsgegevens en daarvoor geldt dat verwerking ervan verboden is, tenzij er een wettelijke doorbrekingsgrond is. Maar het herhalen van dit uitgangspunt voegt niet veel toe als het gaat om het regelen van de praktische gang van zaken binnen een organisatie. Uiteraard moeten we niet willen dat het roepen van “virus!” voldoende is om alle privacywaarborgen overboord te zetten. Integendeel, het handhaven van deze regels juist in deze tijden onderscheidt ons van meer autoritaire regimes waar vragen over privacy niet gesteld zullen (mogen) worden in tijden van crisis. Het zou echter behulpzaam zijn wanneer de AP in zou gaan op de praktische problemen waar organisaties met werknemers mee worstelen. Zo wordt er bij een aantal bedrijven bijvoorbeeld aan de poort de temperatuur van werknemers gemeten. Als voorzorgsmaatregel lijkt dat niet zo gek, noch erg invasief. Stel dat dit gebeurt door een door de werkgever ingeschakelde derde, die de werknemers niet kan identificeren. En stel dat de meting vervolgens niet wordt vastgelegd, maar dat slechts mondeling wordt gemeld dat een werknemer niet tot de werkplek kan toegelaten. Is dat dan een verwerking van persoonsgegevens? Is daar niet een vastlegging voor nodig? En is, in het verlengde daarvan, het vastleggen dat een werknemer geoorloofd afwezig is wel een verwerking van een gezondheidsgegeven dat onder het verbod valt? Betoogd kan worden dat dit niet het geval is. Natuurlijk valt er best iets op deze redenering af te dingen. Zo wordt wel vastgelegd dat de werknemer afwezig is, en zou dat als de verwerking gezien kunnen worden. Maar het zou de AP sieren wanneer zij hier in ieder geval een standpunt over zou innemen. De wens om te temperaturen wordt ingegeven door zeer valide overwegingen. De AP zegt ook niet dat het niet mag; de AP meldt alleen dat de temperatuur van werknemers niet mag worden vastgelegd. Maar over de vraag of meten altijd kwalificeert als vastleggen laat zij zich niet uit en dat is jammer, want dat zou de praktijk verder helpen. De European Data Protection Board (‘EDPB’, ‘Board’), het orgaan waarin alle Europese privacy toezichthouders verenigd zijn, heeft zich op 16 maart 2020 in een persbericht veel explicieter dan de AP uitgelaten over de mogelijkheid om persoonsgegevens te verwerken in het gevecht tegen het coronavirus. Dit orgaan stelt onomwonden dat de Algemene Verordening Gegevensbescherming niet in de weg staat aan het gevecht tegen het virus. De Board verwijst vervolgens expliciet naar een tweetal artikelen uit de AVG en stelt dat deze grondslagen bieden om werkgevers in staat te stellen om, zonder dat het nodig is daarvoor toestemming van een werknemer te verkrijgen, persoonsgegevens in de context van epidemieën te verwerken. Daarvan zou sprake zijn indien de verwerking noodzakelijk is om redenen van algemeen belang in het kader van de volksgezondheid of om vitale belangen te beschermen. Dit statement lijkt iets meer handvaten te bieden. De Board spreekt zich in ieder geval meer uit dan de AP. Toch zou ook hier nog wat meer duidelijkheid gewenst zijn. In de eerste plaats is het probleem dat de AVG op twee plaatsen spreekt over de bescherming van vitale belangen: daar waar het gaat om de verwerking van gewone persoonsgegevens, alsmede als het gaat om bijzondere persoonsgegevens. Bij de verwerking van bijzondere persoonsgegevens in het kader van de bescherming van vitale belangen stelt de AVG een aanvullende eis: dat mag alleen als degene van wie de gegevens worden verwerkt fysiek of juridisch niet in staat is zijn toestemming te geven. Op zich zijn werknemers wel in staat om al dan niet toestemming te geven. De Board kan dus met de verwijzing naar de bescherming van vitale belangen alleen het oog hebben op de verwerking van reguliere persoonsgegevens, want daar geldt die aanvullende eis niet. Daar zou dus onder kunnen vallen het bijhouden van de recente vakantiebestemmingen van een werknemer. De verwerking dus waarvan de AP expliciet zegt dat die niet zou zijn toegestaan. Daar waar de European Data Protection Board verwijst naar “redenen van algemeen belang in het kader van de volksgezondheid” gaat het wel om de verwerking van gezondheidsgegevens. Wat de Board echter onvermeld laat is dat de AVG als aanvullende eis stelt dat een specifieke Europese dan wel nationale wet dit regelt, inclusief passende waarborgen zoals het beroepsgeheim. Wetgeving die werkgevers in Nederland op dit gebied mogelijkheden biedt is mij echter niet bekend. Het verwerken door werkgevers van gezondheidsgegevens op grond van het algemeen belang lijkt, puur kijkend naar de tekst van de AVG, dus niet mogelijk. Dat lijkt echter niet de boodschap van de EDPB te zijn; de Board lijkt juist het signaal af te willen geven dat dit wél kan. Kortom: duidelijkheid is dus op korte termijn gewenst. Van onze toezichthouders mag verwacht worden dat ze proactief en uitgebreid stelling nemen op dit gebied. Als er geen juridische mogelijkheden zijn kunnen ze niet anders dan oproepen tot aanvullende wetgeving, maar dan moeten wel eerst alle mogelijkheden verkend en uitgesloten zijn. En wanneer ze mening zijn dat de AVG mogelijkheden biedt, dienen ze dat uit te werken. Dat gebeurt wat mij betreft nu nog te weinig, hoewel het bericht van de EDPB geval wel een eerste stap in de goede richting is. Heeft u vragen over het onderwerp privacy in relatie tot het coronavirus? Neem dan contact op met onze specialisten van de sectie IE, IT & Privacy: https://www.holla.nl/expertise/ie/. Zij helpen u graag verder.