De Autoriteit Persoonsgegevens (AP) heeft sinds het uitbreken van de coronacrisis meerdere keren haar visie bijgesteld over wat wel en niet mag in de strijd tegen corona, zoals haar beleid over zieke werknemers. Onlangs heeft de AP nu ook haar standpunt moeten bijstellen over of temperatuurmetingen toegestaan zijn. Hoewel de AP zich daarbij haast te zeggen dat er weinig is veranderd ten opzichte van wat zij hier eerder over naar buiten had gebracht, kan de nuancering van haar standpunt mogelijk toch wel het verschil betekenen voor organisaties om temperatuurmetingen te kunnen uitvoeren, en dat niet alleen bij werknemers, maar ook bij klanten en andere bezoekers van hun pand. Maar let op, organisaties moeten wel nog steeds ervoor zorgen dat ze de temperatuurmetingen heel nauwkeurig inrichten.
Wat was het standpunt van de AP eerst?
In een bericht van 24 april 2020 riep de AP organisaties nog op om te stoppen met temperatuurmetingen. De AP waarschuwde dat organisaties die zich niet hieraan hielden, in overtreding waren en een hoge boete riskeerden door de lichaamstemperatuur op te meten van hun werknemers en bezoekers van hun panden, zoals vrachtwagenchauffeurs die ladingen kwamen lossen, voordat ze naar binnen mochten. De AP leek er hierbij automatisch vanuit te gaan dat de Algemene Verordening Gegevensbescherming (AVG) altijd van toepassing is op temperatuurmetingen.
Met dit strikte standpunt week de AP evenwel af van andere Europese privacytoezichthouders, zoals de Belgische privacytoezichthouder (Gegevensbeschermingsautoriteit; GBA) en de Franse privacytoezichthouder (CNIL), en dat kwam de AP op de nodige kritiek te staan. Terecht beschouwt de GBA in België bijvoorbeeld de AVG helemaal niet van toepassing op het louter opnemen van de lichaamstemperatuur die niet gepaard gaat met een registratie. Ook de Franse CNIL deelt dit standpunt door aan te geven dat de AVG niet van toepassing is op alleen het controleren van de lichaamstemperatuur met een handmatige thermometer zonder dat hiervan iets wordt bewaard en er geen andere actie wordt ondernomen.
Uit de verschillende adviezen van de Europese privacytoezichthouders die sinds het uitbreken van de coronacrisis zijn verschenen, is al gauw gebleken dat zij niet op één lijn zitten. Sommige toezichthouders zijn liberaler in het toestaan van de verwerking van gezondheidsgegevens (waaronder temperatuurmetingen) dan andere toezichthouders, die strenger in de leer zijn. Deze afwijkingen zijn lastig uit te leggen en leiden tot veel onzekerheid bij organisaties, met name indien zij meerdere vestigingen in de EU hebben. Dit geldt ook eens te meer voor de uitleg of het uitvoeren van temperatuurmetingen überhaupt onder het materiële toepassingsgebied van de AVG valt, omdat de toepasselijkheid van de AVG uniform uitgelegd dient te worden. Lidstaten mogen hier niet van afwijken.
Is er nu daadwerkelijk iets veranderd?
Na de hevige kritiek heeft de AP haar standpunt, zoals gezegd, genuanceerd en meer in lijn gebracht met die van andere EU privacytoezichthouders, zoals de Belgische en de Franse privacytoezichthouders. Dat is terecht, maar het is echter nog maar de vraag of dit daadwerkelijk tot een andere conclusie leidt over de toelaatbaarheid van temperatuurmetingen in de praktijk.
De nuancering van de AP ziet alleen op de toepasselijkheid van de AVG als zodanig en daarmee of de AP bevoegd is om op te treden en de hoge boetes op te leggen waarmee zij organisaties dreigt. De AVG is alleen van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens (zoals lichaamstemperatuur). Daarnaast is de AVG ook van toepassing op persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om in een bestand opgenomen te worden. Het bestandscriterium dient zeer breed te worden opgevat volgens rechtspraak van het Europese Hof van Justitie, waardoor de AVG al snel van toepassing is.
Dit laatste vormt waarschijnlijk ook de reden dat de AP haar nuancering meteen ook weer afzwakt. Net als de Belgische en Franse privacytoezichthouders laat de AP nu weten dat de AVG niet van toepassing is wanneer alleen de lichaamstemperatuur wordt opgemeten en met dat gegeven verder niets gebeurt, dus ook nergens wordt geregistreerd. De AP voegt daar meteen aan toe dat de AVG meestal toch wel van toepassing zal zijn. Organisaties meten immers niet voor niets en gebruiken de meting om iemand toegang te geven of te weigeren. Hierbij zal vaak een registratie aan te pas komen, of andere (geautomatiseerde) verwerking plaatsvinden, waardoor de AVG volledig van toepassing is.
In haar reactie op de vraag of werkgevers de temperatuur van hun werknemers mogen opnemen antwoordt de AP daarom nog steeds – zonder enige nuancering – dat dit niet mag. Ook niet met hun uitdrukkelijke toestemming, doordat er bij werknemers geen sprake is van gelijkwaardigheid met hun werkgevers. Datzelfde geldt bijvoorbeeld ook voor sollicitanten die langs komen.
Als antwoord op de vraag of organisaties dan wel hun klanten mogen temperaturen, noemt de AP de nuancering ook niet en daar lijkt de AP zelfs er vanuit te gaan dat de AVG steeds van toepassing zal zijn (wat een beetje gek is indien de meting niet geregistreerd wordt, en evenmin enig ander gegeven wordt vastgelegd, zoals waarom er geen toegang is verleend). Volgens de AP kan bij temperatuurmetingen van klanten mogelijk nog wel een beroep worden gedaan op de grondslag (of liever uitzondering op het verbod van het verwerken van gezondheidsgegevens) uitdrukkelijke toestemming, maar waarschuwt zij daarbij dat er dan wel een echt vrije keuze moet zijn voor de klanten om de temperatuurmeting te weigeren en dat wanneer er een aanbod is van andere marktpartijen bijvoorbeeld nog niet betekent dat er een vrije keuze is.
Verder benadrukt de AP dat er nog steeds sprake kan zijn van een ontoelaatbare privacyinbreuk, ook wanneer de AVG niet van toepassing is. De privacyinbreuk van temperatuurmetingen kan namelijk groot zijn, zoals bij toegangsweigering bij de deur op een voor anderen zichtbare wijze, en daardoor een onrechtmatige inbreuk vormen op de het grondrecht op bescherming van de persoonlijke levenssfeer.
De nuancering van de AP lijkt organisaties daarmee slechts beperkte manoeuvreerruimte over te laten om temperatuurmetingen uit te voeren. Van een draai van de AP lijkt daarom ook niet echt sprake te zijn. Desondanks biedt de nieuwe visie van de AP organisaties toch meer mogelijkheden om temperatuurmetingen uit te voeren, vooral wanneer elke vorm van registratie wordt voorkomen (waaronder het koppelen van de ziekmelding of afwezigheid aan de temperatuurmeting). Dit kan alsdan worden toegepast op zowel werknemers, als klanten en andere bezoekers van het pand.
Wat moeten organisaties nu doen?
Hoewel de AP haar standpunt over temperatuurmetingen thans meer in lijn heeft gebracht met die van andere Europese privacytoezichthouders, zullen organisaties nog steeds nauwkeurig moeten blijven beoordelen wat toegestaan is en welke waarborgen er moeten worden getroffen. Voordat organisaties beginnen met temperatuurmetingen is het daarom verstandig om in ieder geval:
- De nut en noodzaak van het uitvoeren van temperatuurmetingen voldoende te onderbouwen;
- De maatregelen in kaart te brengen om ervoor te zorgen dat de temperatuurmetingen dusdanig nauwkeurig worden ingericht dat elke registratie en privacyinbreuk wordt voorkomen;
- De verschillende adviezen van Europese privacytoezichthouders te checken en op basis hiervan een zo uniform mogelijk beleid op te stellen;
- Werknemers, en – indien van toepassing – de ondernemingsraad, en ook de FG te betrekken bij de wenselijkheid en inrichting van de temperatuurmetingen;
- Betrokkenen van tevoren goed te informeren over de temperatuurmetingen en de consequenties daarvan.
Voor meer informatie neem contact op met Özer Zivali of Elisabeth Thole.