Update 24 maart
Om de verspreiding van het corona virus (COVID-19) tegen te gaan, zijn veel mensen op last van de veiligheidsregio’s en hun werkgever met name sinds medio maart thuis gaan werken. Hierdoor is werk en privé steeds meer door elkaar heen gaan lopen. Ook onder deze bijzondere omstandigheden zullen werkgevers zich aan de privacyregels moeten houden, zo benadrukken de privacy toezichthouders. Dit geldt evenzeer wat betreft de werknemers die nog naar hun werk gaan, zoals die werkzaam zijn in de aangemerkte vitale sectoren, maar ook wat betreft de bezoekers en klanten van nog geopende (vitale aangemerkte) instellingen en bedrijven.
We merken dat organisaties veel vragen hebben over de naleving van de privacyregelgeving, vooral ook gezien het feit dat al snel sprake kan zijn van het verwerken van gezondheidsgegevens en het verwerken van gezondheidsgegevens alleen mogelijk is indien een beroep kan worden gedaan op een specifieke wettelijke uitzondering op het algemene verwerkingsverbod. Deze privacyvragen zien wij verder met name ontstaan in samenhang met de ongekende maatregelen, het grote belang bij het indammen en vertragen van de verspreiding van COVID-19 en de verplichte bijdrage daaraan door organisaties, en de inmiddels grote bedrijfseconomische gevolgen. Wij verwachten dat nieuwe privacyvragen zullen blijven opkomen samen met de verdere ontwikkeling van de pandemie en getroffen maatregelen, aangezien de overheid verwacht dat COVID-19 langere tijd onder ons zal blijven verspreiden en de laatste maatregelen nog niet zijn getroffen.
Veel Europese privacy toezichthouders – ook de Autoriteit Persoonsgegevens (AP) – zijn met adviezen gekomen over hoe om te gaan met de persoonsgegevens van werknemers, en in beperkte mate van bezoekers en klanten. Hoewel de AP aanvankelijk alleen met summier advies was gekomen, heeft de AP – nadat daarop kritisch was gereageerd – haar advies nu meer uitgewerkt. Waar de AP normaal gesproken voor het monitoren van de gezondheid van werknemers een strikt beleid hanteert, erkent de toezichthouder nu dat de bestrijding van COVID-19 topprioriteit heeft. Privacyregelgeving mag, aldus de AP, geen belemmering zijn voor het nemen van maatregelen die noodzakelijk zijn voor de bestrijding van de gevolgen van COVID-19.
Daarmee zit de visie van de Nederlandse toezichthouder wat meer in lijn met de uitingen van onder meer de Duitse, Engelse, Deense, Franse, Ierse, en Belgische privacytoezichthouders, die al eerder met uitgebreidere handreikingen waren gekomen. Ook deze adviezen kunnen relevant zijn voor organisaties in Nederland. Uit al deze diverse adviezen blijkt wel dat de privacytoezichthouders nog niet geheel op een lijn zitten. Sommige toezichthouders zijn liberaler in het toestaan van de verwerking van gezondheidsgegevens dan andere strengere toezichthouders.
Ook de European Data Protection Board (EDPB), het orgaan waarin alle Europese privacytoezichthouders zich verenigd hebben, heeft van zich laten horen. Na een betrekkelijk lange radiostilte verscheen op 16 maart 2020 het eerste korte persbericht waarin de EDPB aangaf dat de privacywetgeving ruimte biedt om persoonsgegevens te verwerken tijdens uitzonderlijke omstandigheden zoals die van het coronavirus. Werkgevers mogen in de context van een pandemie en handelend in overeenstemming met nationaal recht, om redenen van algemeen belang op het gebied van de volksgezondheid of om vitale belangen te beschermen, gezondheidsgegevens van hun werknemers verwerken.
Dit eerste persbericht is kort na het verschijnen daarvan opgevolgd door een uitgebreider publiek statement met korte Q&A voor werkgevers op 19 maart 2020. De EDPB bevestigt nogmaals dat het belang om te handelen ten tijde van een noodsituatie zoals het uitbreken van COVID-19, kan legitimeren dat organisaties meer persoonsgegevens verwerken dan onder normale omstandigheden is toegestaan. Werkgevers mogen bijvoorbeeld als er sprake is van een wettelijke verplichting of als de volksgezondheid in het geding is, de temperatuur van werknemers opnemen of monitoren welke werknemers COVID-19 hebben en andere werknemers hierover informeren. De uitbreiding van de verwerking moet echter proportioneel en omkeerbaar zijn, zodat deze na het eindigen van de noodsituatie kunnen worden teruggedraaid.
Ons inziens geven de EDPB en ook de Autoriteit Persoonsgegevens daarmee ruimte aan organisaties om, indien noodzakelijk en proportioneel, de verwerkingsactiviteiten uit te breiden. In lijn met de statement van de EDPB zien wij meer mogelijkheden voor organisaties om gezondheidsgegevens te mogen verwerken op grond van de ruimte die de AVG biedt, ook aan werkgevers (al dan niet via de bedrijfsarts), in samenhang met de landelijke noodverordening, de lokale noodverordeningen van de veiligheidsregio’s en toepasselijke arbeidsrechtelijke verplichtingen. Het hangt echter sterk van de specifieke situatie en toepasselijke wettelijke regelingen af of de verwerking van persoonsgegevens, met name gezondheidsgegevens, ook echt toegestaan is. Zo zal het bijvoorbeeld uitmaken of het gaat om een werknemer in de thuiswerksituatie of om organisaties die actief zijn in een aangemerkte vitale sector. Al naar gelang de omstandigheden zullen organisaties nauwkeurig moeten blijven beoordelen wat toegestaan is en welke privacybeschermende (aanvullende) waarborgen moeten worden getroffen.