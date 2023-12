Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Mijn werkgever eist dat ik een app op mijn privételefoon installeer. Ik maak me zorgen over misbruik van mijn persoonsgegevens door de app-leverancier. Er staat op de site van de app niets over privacy, en de werkgever reageerde verbaasd dat ik hiernaar vroeg. Welke AVG argumenten kan ik gebruiken om mijn zorgen kracht bij te zetten?

Antwoord: We hebben het natuurlijk al vaker gehad over zakelijke apps op de eigen telefoon. In 2018 bijvoorbeeld over een tweefactorauthenticatieapp en in 2019 zelfs een geval waarbij de werknemer ook maar snel een telefoon moest kopen(!) zodat daar een werkapp op gezet kon worden.

De strekking van het antwoord is steeds hetzelfde: de werkgever moet zorgen voor de spullen waarmee het werk wordt uitgevoerd. Als er dus apps nodig zijn voor werkzaken, dan moet de werkgever een apparaat geven waar die app op gebruikt kan worden. Of dat nou gaat om tijdschrijven, authenticatie, e-mail of wat anders is niet relevant.

De enige echte uitzondering is je loonstrookje. Als de werkgever die via een digitale omgeving beschikbaar stelt, dan heb je twee keuzes: of je installeert de app, of je meldt dat je je loonstrookje op papier wilt hebben. Dat laatste is je wettelijk recht, maar er is géén recht om een specifiek digitaal kanaal aan te wijzen zoals een pdf per mail.

Er is nog een soort-van uitzondering: als het normaal is dat een werknemer zelf voor die spullen zorgt, dan heeft de werknemer daar ook nu voor te zorgen. Het clichévoorbeeld is de professioneel kok die eigen messen meeneemt omdat die op zijn handen zijn afgestemd. Dit haakt in op "goed werknemerschap": je moet redelijk en constructief zijn naar je werkgever toe. En als een app geen problemen of risico's geeft (bv. een 2FA authenticator), dan is het best onredelijk om dan 'nee' te zeggen.

Als de werkgever een app aanwijst voor het werk, dan is de werkgever natuurlijk wel aansprakelijk voor wat die app doet. Dat raakt dus aan de AVG maar ook aan andere wetten, zoals in 2021 behandeld. Dit betekent dat hij onder de AVG de benodigde informatie moet verstrekken over wat de app verzamelt en doet op het gebied van persoonsgegevens. Dat mag in eerste instantie op het niveau van "hier is de privacyverklaring van de app-leverancier" maar hij mag niet verwijzen naar de helpdesk en je het zelf laten uitzoeken. (Voor de fijnproevers: het maakt daarbij niet uit of de app-leverancier kwalificeert als verwerker of verwerkingsverantwoordelijke.)

Als de app-leverancier in het geheel niets meldt over privacy, dan zou ik ernstig de wenkbrauwen optrekken. Het is haast ondenkbaar dat een app anno 2024 niets verzamelt, dus hier klopt iets niet. Dus daar drukt de zorgplicht van de werkgever extra zwaar.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.