Thuiswerken vanuit privacy perspectief

13/03/20 - Hoewel het nog even wennen is om te “voetzoenen en elleboogstoten” adviseerde Rutte maandagavond om geen handen meer te schudden, om zo verspreiding van COVID-19, oftewel het coronavirus, tegen te gaan. Gisteravond maakte het kabinet bekend dat alle evenementen met meer dan honderd bezoekers zullen worden afgelast en werd opgeroepen tot thuiswerken gedurende de maand maart. Wat zegt de AP over het coronavirus, en waar moet vanuit privacy perspectief rekening mee houden bij thuiswerken?  

Gezondheidsgegevens  

Niet alleen de Autoriteit Persoonsgegevens (AP), maar ook andere Europese toezichthouders benadrukken om geen maatregelen te treffen die inbreuk maken op het recht van privacy van werknemers. De AP heeft op haar website een toelichting gegeven op het controleren van werknemers op corona. Gezondheidsdata gelden als bijzondere persoonsgegevens in de zin van de AVG en mogen in beginsel niet worden verwerkt, tenzij daarvoor een uitzondering aanwezig isDe AP geeft aan dat de werkgever bijna nooit medische gegevens mag registreren. Een werkgever kan, aldus de AP, de arbodienst of bedrijfsarts inschakelen om te controleren op corona. De AP stelt ook dat een werkgever ‘normaal gesproken’ niet op de stoel van een arts mag gaan zitten door conclusies te trekken over de gezondheid van individuele medewerkers. Een werknemer kan natuurlijk altijd zélf aangeven dat hij vermoedt besmet te zijn met corona, of dat hij recentelijk een risicogebied heeft bezocht.

Verwerk geen medische gegevens van werknemers, maar leg het accent op bewustwording op de werkvloer. Als werknemers ziek zijn, kan de arbodienst/bedrijfsarts worden ingeschakeld.  

Waar moet je als werkgever op letten bij thuiswerkende werknemers? 

Het kabinet raadt aan zo veel mogelijk thuis te werken. Ook bij thuiswerken moeten persoonsgegevens zorgvuldig worden verwerkt. Dit houdt onder andere in dat er goede technische en organisatorische maatregelen moeten worden genomen om de persoonsgegevens te beveiligen.  

Er wordt veelal gebruik gemaakt van werklaptops, maar veel organisaties hebben tevens een  ‘bring your own device’  beleid, waarbij medewerkers de mogelijkheid hebben om op eigen apparatuur hun werkzaamheden te verrichten. Het is belangrijk om je als werkgever bewust te zijn van de privacy risicos die kunnen ontstaan wanneer medewerkers thuis aan het werk gaan. Er bestaan namelijk niet alleen risico’s voor de thuiswerkende werknemers, maar ook voor de personen wiens persoonsgegevens tijdens de werkzaamheden worden verwerkt. Een werknemer die vanuit zijn huis werkt, werkt hoogstwaarschijnlijk met persoonsgegevens van klanten en andere collega’s. 

Vanzelfsprekend is het belangrijk dat werknemers zorgvuldig met hun werklaptop omgaan, om zo het risico op ongeoorloofde toegang of verlies van persoonsgegevens te verkleinen. Maak goede afspraken met werknemers over het gebruik van de werklaptop, zodat deze bijvoorbeeld niet onbeheerd wordt achtergelaten en goed worden afgesloten wanneer deze worden opgeborgen. Zorg ervoor dat werknemers op de hoogte zijn van het privacy beleid. Het is van belang dat de geïmplementeerde procedures ook worden nageleefd wanneer werknemers veelal thuis werken. Zo is het in het geval van een potentieel datalek belangrijk dat zij weten op welke wijze zij dit moeten melden en hoe zij hiermee om dienen te gaan.    

Wees ervan bewust dat de data waarmee de medewerker thuis aan de slag gaat, niet altijd dezelfde mate van beveiliging geniet als wanneer er vanuit kantoor gewerkt zou worden. Zo zijn netwerken van organisaties vaak beter beveiligd dan thuisnetwerken. Als werkgever is het daarom belangrijk te garanderen dat ook op afstand de beveiliging voldoende gewaarborgd wordt. Laat werknemers gebruik maken van een VPN-verbinding, tweefactorauthenticatie en zorg dat er duidelijke regels zijn omtrent de beveiliging van persoonsgegevens. Tot slot dienen mogelijk verwerkersovereenkomsten te worden gesloten met in te schakelen derde partijen, zoals leveranciers van Cloudoplossingen. 

Tot slot 

Ook geeft de AP aan dat het vooral belangrijk is om de actuele adviezen te volgen van de regionale GGD en het RIVM. Wij hopen dat alles snel weer terug is naar de normale werksituatie! Heeft u andere privacyrechtelijke vragen? Neem dan contact met ons op! 

Celine Janssen Juridisch adviseur