Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Zojuist is mijn collega erachter gekomen, dat er in zijn auto van de zaak een track- en tracesysteem zit. Dit blijkt te gelden voor alle soortgelijke auto's. Het gaat om leaseauto's waar wij bijtelling voor betalen. Is dit juridisch toegestaan?
Antwoord: Het klinkt nogal dubieus, en zoals het hier geschetst wordt denk ik niet dat het door de beugel kan.
Gegevens over iemands locatie worden gezien als persoonsgegevens, en vallen dus onder de Wbp (en straks de AVG/GDPR). Hiermee omgaan moet dus aan een aantal strenge eisen voldoen:
1. Toestemming of duidelijke legitieme reden
2. Duidelijke informatie over het hoe en wat
3. Wijzen op rechten en deze ook daadwerkelijk laten uitoefenen
4. Documentatie in verwerkingsregister
Een werkgever kan een legitieme reden hebben om te willen weten waar zijn personeel dan wel hun auto's zich bevinden. Denk aan een koeriersbedrijf dat realtime tracking wil aanbieden, of een beveiligingsbedrijf dat mee wil kijken om in te kunnen grijpen als er iets misgaat.
Wanneer die reden er is, dan moet het bedrijf nog wel afwegen of dit zwaarder mag tellen dan de privacy van het personeel. Is het echt nodig realtime te tracken bij zo'n beveiliger? Of kun je ook werken met een systeem dat op verzoek de locatie geeft, zodat je het verzoek kunt doen als het contact wegvalt? En is er een pauzeknop (omdat je niet hoeft te weten waar iemand dan is)?
Hier springt er natuurlijk uit dat het personeel dit zelf moest ontdekken. Dat kan volstrekt niet door de beugel. De werkgever heeft een actieve informatieplicht en moet dus uitleggen hoe dit werkt. En als het bedrijf een OR heeft, dan heeft deze instemmingsrecht over deze verwerking van persoonsgegevens.
Personeel heeft vervolgens ook rechten, zoals inzage in wát er van hen wordt vastgelegd en wat daarmee gebeurt. Op verzoek moet het bedrijf dus de logs verstrekken van de ritten en per log aangeven wie dat heeft gekregen en wat deze daarmee doet.
Verouderde logs moeten worden vernietigd. Wanneer iets verouderd is, ligt in principe bij het bedrijf maar er moet wel op papier staan welke termijn is gekozen en waarom het niet korter kon. En dit moet dan (samen met onder meer de beveiligingseisen) terug te vinden zijn in het verwerkingsregister dat het bedrijf centraal opgezet heeft.
Ik gok zomaar dat het bedrijf nog niet helemaal GDPR compliant is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.