Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik werk als vrachtwagenchauffeur en moet sinds deze week een nieuwe app gebruiken om in- en uit te klokken. Deze nieuwe app vraagt me om toegang tot mijn locatiegegevens. Als verklaring geeft de werkgever dat dit is omdat inklokken alleen op het bedrijfsterrein mag gebeuren. Ik heb daar moeite mee, want deze verplichting is nooit eerder gemeld en om toestemming is niet gevraagd. Wat kan ik nu doen?

Antwoord: Om met die toestemming te beginnen: een werkgever mag persoonsgegevens verwerken zonder toestemming. Sterker nog, hij zal wel moeten want werknemers kunnen (bijna) nooit rechtsgeldig toestemming geven onder de AVG vanwege de machtsverhouding tussen hen en de werkgever. De werkgever moet dus een noodzaak binnen de arbeidsovereenkomst vinden, of een gerechtvaardigd belang waarvoor de privacy van de werknemer mag worden gepasseerd (mits met waarborgen).

Cameratoezicht op de werkvloer is een bekend voorbeeld van dat laatste. Bewaken van spullen en mensen is een gerechtvaardigd belang, en met goede maatregelen worden de beelden dan afgeschermd en weggegooid. Dat is dan binnen de AVG.

Hetzelfde zou hier moeten gelden. Waarom moet je inklokken op het bedrijfsterrein? Het simpele antwoord is fraude, mensen klokken dan thuis in en gaan op het gemak naar het werk. De oplossing van de app dat laten checken is dan een voor de hand liggende. Gezien dat probleem denk ik dat deze oplossing wel kan. Een alternatief was geweest dat je alleen op het wifi-netwerk van het bedrijf bij de inuitklokappserver zou kunnen, maar dat is technisch moeilijker te realiseren.

Tegelijk snap ik dat dit mensen overvalt. Hier is de werkgever dus niet helemaal goed gegaan. De AVG eist immers duidelijke voorlichting over het wat en waarom van persoonsgegevens verwerken, en dat had vooraf moeten gebeuren. En bij een organisatie met een OR had deze om instemming moeten zijn gevraagd, want dat is verplicht bij ieder systeem voor personeelsvolgen en verwerken van persoonsgegevens (art. 27 Wet OR).

Bezwaar maken lijkt dus mogelijk omdat dit niet duidelijk is aangegeven. Alleen of het uiteindelijk veel uit gaat maken weet ik niet. Na betere uitleg over de randvoorwaarden en beveiliging kan de werkgever het alsnog invoeren. De vraag is of de OR er een fundamenteel bezwaar in ziet. Gezien de specifieke toepassing zie ik dat niet meteen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.