Mag een werkgever locatiegegevens en urenstaten van een werknemer controleren? (bron: ICTRecht)

Aan het werk op de woonboulevard?
Wat was er aan de hand? De werknemer werkte als servicetechnicus. Als servicetechnicus was hij verantwoordelijk voor het onderhouden, storingsvrij houden en aanpassen van sprinklerinstallaties. Wekelijks moest de werknemer het aantal gewerkte uren invullen op een urenoverzicht. De uren worden bijgehouden in de ‘Nemo-app’. De servicetechnicus moet op start drukken als hij begint met werken bij de klant. Bij voltooiing dient de klant een handtekening te zetten. De app registreert dan de gewerkte tijd. Daarnaast zit er in elke bedrijfsbus een zogeheten black box met een GPS-tracker. Hiermee kan de locatie van de werknemer worden bijgehouden. Ingeval van een storing bij een opdrachtgever kan de afdeling planning de locatiegegevens gebruiken om de dichtstbijzijnde servicetechnicus naar de storing te sturen.

De werkgever ontdekte dat er een verschil was tussen de werktijden van de Nemo-app en de gegevens afkomstig van de GPS-tracker uit de bedrijfsbus. Zo was de werknemer onder werktijd te vinden op plaatsen waar geen klanten zijn gevestigd. Bijvoorbeeld op de woonboulevard.

Informeren: werknemer wist van de black box
Als je als werkgever de locatiegegevens registreert van de bedrijfsbus van een werknemer, dan verzamel je persoonsgegevens. En wanneer je persoonsgegevens verzamelt, moet je hierover volgens artikel 13 van de AVG informeren. Hoe je aan deze wettelijke verplichting voldoet is vormvrij. Dit kun je bijvoorbeeld doen via een interne privacyverklaring. Maar ook via een personeelshandboek, arbeidsvoorwaardenreglement of intern privacybeleid. In dit geval maakte de werkgever gebruik van een privacybeleid, waar de werknemer van op de hoogte is gesteld. Het protocol volgsystemen waarin het gebruik van de black box is geregeld maakt weer onderdeel uit van het privacyebeleid. Daarnaast heeft de werknemer bij ingebruikname van de bedrijfsbus, de autoregeling ondertekend.

In artikel 6.4 van deze autoregeling staat: “6.4 GPS-systemen"

In veel gevallen is de bedrijfsauto voorzien van een GPS-systeem (blackbox). Teneinde een evenwichtig beleid te voeren met betrekking tot het gebruik van de GPS-systemen, waarbij zowel een verantwoord gebruik van de GPS-systemen wordt nagestreefd, alsmede de privacy van personeelslid wordt beschermd heeft werkgever een protocol met betrekking tot het gebruik van GPS-systemen opgesteld. Ieder personeelslid is gehouden zich te gedragen conform dit protocol. Dit protocol maakt onlosmakelijk onderdeel uit van deze autoregeling en wordt bij bestelling van de bedrijfsauto aan personeelslid ter hand gesteld. Het protocol is tevens na te lezen op het intranet.”

Het Hof overwoog dat de werknemer bekend moet worden verondersteld met het bestaan van de inhoud van het protocol volgsystemen. De overweging van het Hof laat zien dat het belangrijk is om werknemers op de hoogte te stellen van de persoonsgegevens die van hen worden verwerkt.

Of het Hof het gebruik van de locatiegegevens als onrechtmatig had bestempeld als de werkgever de werknemer niet had geïnformeerd is lastig te zeggen. Maar dat het invloed kan hebben op de rechtmatigheid, dat staat als een paal boven water. Het verwerken van persoonsgegevens mag niet uit de lucht komen vallen. Zorg er daarom als werkgever voor dat je op de juiste wijze de werknemers informeert.

Proportionaliteit
Een andere belangrijke overweging van het Hof ziet op de gefaseerde uitvoering van het onderzoek naar de locatiegegevens afkomstig van de black box en de urenstaat. In eerste instantie heeft de werkgever alleen de locatiegegevens en de urenstaat van week 9 onderzocht, in verband met de onregelmatigheden die waren aangetroffen in een werkbon van dezelfde week. Toen uit dat onderzoek bleek dat de uren op de urenstaat niet overeenkwamen met de locatiegegevens van de black box, heeft Trigion het onderzoek uitgebreid naar de periode vanaf 1 januari 2019. Pas toen ook uit dat onderzoek bleek dat de werknemer stelselmatig meer uren schreef dan hij werkte, is de werkgever, om er zeker van te zijn dat het ging om bestendig gedrag, in haar onderzoek teruggegaan tot april 2017.

De overwegingen van het Hof laten zien dat waarde kan worden gehecht aan proportionaliteit. Oftewel, gaat de inbreuk op de privacy van de werknemer niet verder dan noodzakelijk en kan het niet een onsje minder. In dit geval wilde de werkgever uitsluiten dat het ging om incidenten. Een gefaseerde uitvoering van het onderzoek zorgt ervoor dat rekening is gehouden met proportionaliteit. Controle locatiegegevens in combinatie met urenstaten in lijn met AVG.

Het Hof oordeelt uiteindelijk dat de inbreuk op privacy niet zodanig is geschonden dat dit onrechtmatig is geweest. Wat in de uitspraak niet naar voren komt, is of de werkgever een Data Protection Impact Assessment (DPIA) heeft (laten) uitvoeren, en welke grondslag is gebruikt voor de gegevensverwerking.

Een DPIA is onder ander verplicht bij grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te monitoren. Een DPIA is ook verplicht bij een grootschalige verwerkingen en/of stelselmatige monitoring van locatiegegevens. Een DPIA was hier op zijn plaats geweest. Een DPIA is een uitstekend middel om de risico’s van een gegevensverwerking in kaart te brengen, en maatregelen aan te dragen om de risico’s zoveel mogelijk weg te nemen. In een DPIA kan bijvoorbeeld worden bekeken welke grondslag voor de gegevensverwerking in aanmerking komt. Komt de grondslag gerechtvaardigd belang in beeld? Dan kan in de DPIA een gedegen afweging plaatsvinden. Maar denk bijvoorbeeld ook aan onderwerpen als bewaartermijnen en beveiligingsmaatregelen die in een DPIA kunnen worden belicht.

Onrechtmatig bewijs weegt mee
Het Hof overwoog ook nog dat onrechtmatig verkregen bewijs ‘in beginsel’ meeweegt in de ontslagzaak. Het algemene maatschappelijk belang dat de waarheid aan het licht komt, weegt in principe zwaarder dan het belang van uitsluiting van bewijs. Slechts indien sprake is van bijkomende omstandigheden, kan bewijs worden uitgesloten. Hoewel dit staande rechtspraak is van de Hoge Raad, is het goed om deze overweging ook in deze zaak terug te zien. Het gevaar ligt op de loer dat werkgevers de afweging gaan maken om een onrechtmatige inbreuk op de privacy van werknemers te maken, omdat dit ertoe kan bijdragen dat een werkgever een ontslag bij de rechter rond kan krijgen. Een boete van de Autoriteit Persoonsgegevens of een bijkomende immateriële schadevergoeding voor de werknemer wegens een inbreuk op de privacy zal dit mogelijke gevaar recht moeten trekken (bron: ICTRecht).