Covid-19 op de werkvloer
Naar aanleiding van de uitbraak van COVID-19 ontving de Gegevensbeschermingsautoriteit recent een aantal terugkerende vragen betreffende de preventieve maatregelen die door bedrijven en werkgevers worden genomen ter voorkoming van de verdere verspreiding van het virus en de voorwaarden waaronder persoonsgegevens - en in het bijzonder gezondheidsgegevens - in dit verband mogen worden verwerkt.
Overeenkomstig artikel 20, 2° van de wet van 3 juli 1978 rust op de werkgever de verplichting “als een goed huisvader te zorgen dat de arbeid wordt verricht in behoorlijke omstandigheden met betrekking tot de veiligheid en de gezondheid van de werknemer”. In uitvoering van deze bepaling treffen vele werkgevers dan ook preventiemaatregelen. De vraag rijst evenwel hoe deze verplichting zich verhoudt tot het recht van de werknemer op bescherming van zijn privéleven en persoonsgegevens.
Het komt de werkgever uiteraard toe een aantal preventiemaatregelen te treffen inzake werkorganisatie (flexibele werkuren, telewerk, uitstel personeelsfeesten, …) evenals sensibilisering inzake sociale afstand en hygiëne op de werkvloer (zie website FOD Werkgelegenheid, Arbeid en Sociaal Overleg). Van zodra te nemen preventiemaatregelen echter gepaard zouden gaan met een verwerking van persoonsgegevens, moeten ook de bepalingen van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) gerespecteerd worden.
Volksgezondheid is voor ons van het allergrootste belang en preventie en recht op bescherming van persoonsgegevens zijn niet tegenstrijdig. We bevelen wel aan om de instructies van de bevoegde overheden - onder meer de FOD Volksgezondheid - na te leven zodat alle genomen maatregelen evenredig zijn. Zo wordt zowel een goede levenshygiëne als een goede “gegevenshygiëne” verzekerd! In antwoord op de recent gestelde vragen brengt de Gegevensbeschermingsautoriteit hieronder enkele algemene principes inzake gegevensbescherming in herinnering en beantwoordt zij een aantal veelgestelde vragen.
*Tekst gepubliceerd op 13/03/2020 en laatst bijgewerkt op 02/04/2020. Deze tekst kan geüpdatet worden naarmate de situatie evolueert. Volg de aanbevelingen van de bevoegde overheden, in het bijzonder de FOD Volksgezondheid.
Ook in het kader van het nemen van preventieve gezondheidsmaatregelen geldt als algemeen principe dat elke verwerking van persoonsgegevens dient te voldoen aan de voorwaarden van artikel 6.1 AVG en gesteund moet zijn op één van de in dit artikel vermelde rechtmatigheidsgronden.
In dit verband dient er in het bijzonder op te worden gewezen dat in deze fase en op basis van de laatste informatie gepubliceerd door de FOD Volksgezondheid met betrekking tot COVID-19 geen reden bestaat voor een ruimere of systematische toepassing van de rechtmatigheidsgrond vervat in artikel 6.1, d) AVG (“noodzaak van de verwerking voor de bescherming van de vitale belangen van de betrokkene of andere natuurlijke personen”) in het kader van het nemen van preventiemaatregelen door bedrijven en werkgevers.
Dit geldt des te meer voor de verwerking van gezondheidsgegevens, waarvoor artikel 9 AVG in principe een verwerkingsverbod voorschrijft. Er dient op te worden gewezen dat bedrijven en werkgevers zich voor de verwerking van deze categorie van persoonsgegevens uitsluitend kunnen beroepen op artikel 9.2, i) AVG indien zij handelen in uitvoering van uitdrukkelijke richtlijnen opgelegd door de bevoegde overheden. Verder dient de beoordeling van de risico’s voor de gezondheid bovendien niet te worden uitgevoerd door de bedrijven en werkgevers maar door de arbeidsgeneesheer, die bevoegd is voor de opsporing van besmettingen en voor het informeren van de werkgever en de personen die in contact kwamen met de besmette persoon. Deze informatie wordt door de bedrijfsarts verstrekt op basis van de artikel 6.1, c) en 9.2, b) AVG (verwerking ter uitvoering van een arbeidsrechtelijke verplichting).
Bij het verwerken van persoonsgegevens in het kader de tenuitvoerlegging van “COVID-19”- preventiemaatregelen dienen naast de voormelde AVG-bepalingen bovendien de algemene beginselen inzake gegevensverwerking te worden gerespecteerd.
In het bijzonder dienen maatregelen die een verwerking van persoonsgegevens inhouden het proportionaliteitsbeginsel en het beginsel van minimale gegevensverwerking in acht te nemen (artikel 5.1, c) en e) AVG).
Zoals bij elke gegevensverwerking mag immers slechts de minimaal noodzakelijke hoeveelheid gegevens worden verwerkt om het vooropgestelde doel te bereiken.
Verder dienen bedrijven transparant te zijn betreffende de genomen maatregelen en hun werknemers en bezoekers afdoende te informeren betreffende de verwerkingsdoeleinden en de bewaartermijn van de in dit kader verzamelde persoonsgegevens (artikel 5.1, a) AVG).
Tot slot moeten ook de nodige beveiligingsmaatregelen in acht worden genomen ter bescherming van de te verwerken persoonsgegevens (artikel 32 AVG).
Vragen
Neen, dit mag niet. De lichaamstemperatuur van een persoon is een gezondheidsgegeven. De verwerking van gezondheidsgegevens is krachtens artikel 9.1 AVG verboden tenzij een wet hierop een uitzondering maakt. Bij gebrek aan een dergelijke wettelijke uitzondering (bijvoorbeeld een CAO) mag een verwerkingsverantwoordelijke niet de lichaamstemperatuur meten van de werknemers door middel van geavanceerde elektronische meettoestellen zoals koortsscanners en hittecamera’s. Zie ook onze aparte FAQ over dit topic.
Neen, dit mag niet. De AVG is van toepassing op de registratie van persoonsgegevens in de vragenlijst.
Een organisatie kan bezoekers of werknemers nooit verplichten tot het invullen van een dergelijke vragenlijst. Deze vragen peilen naar de gezondheidssituatie van de bezoeker of werknemer, waardoor u gezondheidsgegevens zou verwerken.
De verwerking van gezondheidsgegevens is krachtens artikel 9.1 AVG verboden tenzij een wet hierop een uitzondering maakt of de betrokkene vrije toestemming verleent. In de relatie tussen werknemer en werkgever is de toestemming van de werknemer zelden vrij omdat een werknemer grote druk kan ondervinden om toe te stemmen.
Het invullen van de vragenlijst is bijgevolg uitsluitend mogelijk indien de werknemer of de bezoeker in alle vrijheid kan weigeren om de vragenlijst in te vullen zonder nadelig gevolgen te ondervinden (bijv. geen toegang krijgen tot de werkplaats). Bijgevolg kan u een bezoeker of werknemer niet verplichten om deze vragenlijst in te vullen.
Neen, dit mag niet. Een werkgever kan niet louter vanuit zijn patronaal gezag een dergelijke test verplicht opleggen aan het personeel. Dit raakt immers aan de fysieke integriteit van de werknemers. Zonder wettelijke basis mag een werknemer niet worden gedwongen om zich te laten testen. De Autoriteit benadrukt echter dat het soms van groot belang kan zijn dat een personeelslid zich laat testen, zoals bijvoorbeeld in de medische sector.
Situatie 1: de armband ondersteunt op anonieme wijze enkel het houden van een veilige afstand (zgn. “social distancing”)
Ja, dit mag.
Wanneer de armband louter een signaal uitstuurt in geval een tweede armband zich binnen een vooraf bepaalde perimeter bevindt, ziet de Autoriteit geen probleem: de twee armbanden meten dan enkel de afstand, en als die te klein wordt (< 1.5 m) gaat er een alarm af om de betrokkenen te verwittigen. Er is geen enkele link mogelijk met een identificeerbaar persoon. Dit is toegelaten.
Situatie 2: de armband ondersteunt niet alleen het houden van een veilige afstand (zgn. “social distancing”), maar slaat ook locatiegegevens op.
Neen, dit mag niet.
In dit geval is de AVG van toepassing, omdat (locatie)gegevens van identificeerbare personen worden gebruikt.
Aangezien hier sprake is van een opslag van informatie of het verkrijgen van toegang tot opgeslagen informatie in de eindapparatuur (hier: de armband) van de werknemer, zijn artikel 5 (3) van de e-privacyrichtlijn en artikel 129 van de Belgische wet van 13 juni 2005 betreffende de elektronische communicatie van toepassing. Dit betekent dat de toestemming van de werknemer noodzakelijk is om dit systeem uit te rollen.
Deze toestemming moet vrij zijn zoals voorgeschreven door artikel 7.4 van de AVG. In de relatie tussen werknemer en werkgever is de toestemming van de werknemer zelden vrij omdat een werknemer druk kan ondervinden om toe te stemmen. Het dragen van de armband is dus niet mogelijk omdat de werknemer dit niet in alle vrijheid kan weigeren zonder enig nadelig gevolg te ondervinden (bijv. geen toegang krijgen tot de werkplaats).
Neen, dit mag meestal niet.
De camera die de bezoeker van de winkel filmt voert een verwerking van persoonsgegevens uit, zelfs wanneer de camerabeelden uitsluitend lokaal en heel kortstondig worden bewaard (real-time detectie).
Artikel 5 van de AVG schrijft voor dat een verwerking van persoonsgegevens steeds proportioneel moet zijn: toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor het nagestreefde doeleinde.
De winkel zal moeten aantonen dat deze detectie via camerabeelden de enig efficiënte maatregel was en dat minder privacy-intrusieve oplossingen (zoals visuele controle door winkelbediende) ontoereikend waren. Behoudens uitzonderlijke omstandigheden is de Autoriteit van mening dat deze manier van detectie in het merendeel van de situaties disproportioneel is.
Neen, dit mag meestal niet.
De camera die de werknemers filmt voert een verwerking van persoonsgegevens uit, zelfs wanneer de camerabeelden uitsluitend lokaal en heel kortstondig worden bewaard (real-time detectie).
Artikel 5 van de AVG schrijft voor dat een verwerking van persoonsgegevens steeds proportioneel moet zijn: toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor het nagestreefde doeleinde. Ook de collectieve arbeidsovereenkomst nr. 68 inzake camerabewaking op de werkplaats herhaalt dit principe.
De werkgever zal moeten aantonen dat de detectie via camerabeelden de enig efficiënte maatregel was en dat minder privacy-intrusieve oplossingen (zoals visuele controle door toezichthoudend personeel) ontoereikend waren. Behoudens uitzonderlijke omstandigheden is de Autoriteit van mening dat deze manier van detectie in het merendeel van de situaties disproportioneel is.
Indien de werkgever kan aantonen dat de verwerking proportioneel is, moet deze de bepalingen van de collectieve arbeidsovereenkomst nr. 68 inzake camerabewaking op de werkplaats naleven.
Op grond van het vertrouwelijkheidsbeginsel (artikel 5.1, f) AVG) en het beginsel van de minimale gegevensverwerking (artikel 5.1, c) AVG) mag een werkgever de namen van betrokken personen niet zomaar binnen het bedrijf bekendmaken. Ook proportionaliteit is een belangrijk na te leven uitgangspunt bij het verwerken van (al dan niet medische) persoonsgegevens. Met het oog op bijvoorbeeld de preventie van verdere verspreiding mag de werkgever uiteraard wel andere werknemers op de hoogte brengen van een besmetting, zonder vermelding van de identiteit van de betrokken perso(o)n(en).
Het is inderdaad in de meeste gevallen niet nodig (of zelfs wenselijk) om een naam te vermelden, omdat dit ook een stigmatiserend effect zou kunnen hebben.
De naam van de besmette persoon mag wel gecommuniceerd worden aan de arbeidsgeneesheer of de bevoegde overheidsdiensten.
Neen. Werknemers zijn wel verplicht door de Arbeidsovereenkomstenwet en de Welzijnswet om zorg te dragen voor de veiligheid en gezondheid van andere werknemers en derden. Daarbij hebben werknemers ook de verplichting om zich te onthouden van al wat schade kan berokkenen aan andere werknemers en derden. Deze verplichtingen zorgen er niet voor dat de werkgever van zijn werknemers kan eisen dat ze hem in geval van een Covid-19-besmetting rechtstreeks informeren.
Een werknemer die een Covid-19-besmetting heeft opgelopen kan dit vrijwillig aan zijn werkgever melden. Dit machtigt de werkgever echter niet om deze informatie te verwerken. Deze informatie is een persoonsgegeven in het licht van de AVG en mag in principe niet verwerkt worden. Zo mag de werkgever de identiteit van de besmette werknemer niet meedelen aan de medewerknemers. De werkgever mag daarentegen wel op grond van de vrijwillige mededeling de medewerknemers op de hoogte stellen van een besmetting met het oog de preventie van een verdere verspreiding van het virus, maar hier mag de identiteit van de betrokken werknemer niet bekendgemaakt worden.
Wanneer de werkzaamheden van de werknemers intensieve menselijke contacten inhouden kan een werkgever wel aan de werknemers vragen om Covid-19-besmettingen vertrouwelijk te melden aan de arbeidsgeneesheer.
Wanneer een werknemer een klein verlet aanvraagt om zich te laten vaccineren mag u als werkgever alleen de informatie opvragen die strikt noodzakelijk is om de reden (vaccinatie tegen Covid-19) en het tijdstip te controleren. De werkgever mag daarom vragen om de bevestiging van vaccinatie-afspraak te tonen.
De werkgever mag echter geen kopie nemen van deze bevestiging en mag evenmin registreren welke werknemers zich op welk ogenblik lieten vaccineren. Het volstaat om, na de controle van de bevestiging van de afspraak, de afwezigheid te boeken als klein verlet.
Meer informatie kan u vinden in het advies 25/2021 van het Kenniscentrum.