Controletechnieken en telewerk: benchmarking vanuit het recht op privacy

1.    Inleiding

1. Controletechnieken zijn geen nieuw gegeven voor het arbeidsrecht. Toch krijgen ze steeds meer aandacht. Dat is zeker het geval tijdens de covid-19 pandemie. Niet alleen omwille van controles die te maken hebben met de gezondheid van de (werkende) bevolking. Maar ook omdat men tijdens de pandemie meer (massaal) gebruik maakt van telewerk, al dan niet gedwongen door de omstandigheden. In dit verband is er vernieuwde aandacht voor elektronische of digitale controle van werknemers.

2. De digitalisering van werk komt met allerlei nieuwe technologieën die toelaten om werkzaamheden of werknemers te controleren. In die ontwikkeling zit ook het gebruik vervat van ‘slimme’ systemen, gedreven door artificiële intelligentie (AI). Die worden ook steeds meer op de klassieke werkvloer ingezet. Maar telewerk blijkt een bijzondere werkvorm, waar bij uitstek het vraagstuk van digitalisering en technologische controle aan de orde is. Het privacy-perspectief is daarbij prominent aan de orde. Het grondrecht op privacy past zich aan de nieuwe technologische, maar ook maatschappelijke, context aan. Dat vertaalt zich ook naar juridische invloeden.1 Een belangrijke nieuwe bron in dit verband is de Algemene Verordening Gegevensbescherming (AVG). Maar er is ook het toenemend belang van de ontwikkeling van het recht op privacy zelf, zoals de opkomende relevantie van ‘redelijke privacyverwachtingen’.

3. Deze bijdrage focust op (elektronisch of digitaal) toezicht op telewerk. Het probleemveld toont een heel spectrum aan toepassingen. Het gaat om software die toelaat om, al dan niet permanent, inloggegevens of data over ‘keylogging’ te verschaffen (vb. toetsaanslagen, muisklikken,…), die al dan niet op gezette tijdstippen schermopnames maken, of live views geven van werknemers, of meer klassiek, e-mail of internetgebruik te ‘tracken’. Ook is er de vraag of men van werknemers kan vragen dat men schermopnames maakt, de webcam aanzet, het scherm deelt, of via software de gepresteerde arbeidstijden registreert. Dit alles situeert zich in een context waarin, onder meer wegens telewerk, de dimensies tijd en plaats in de arbeidsrelatie steeds meer worden uitgedaagd.

Voor dergelijke nieuwe vragen en problemen dient te worden nagegaan hoe deze zich verhouden tot de bestaande principes in het arbeidsrecht en het privacyrecht. De bedoeling van deze bijdrage is om aan die juridische beoordeling bij te dragen door na te gaan welke essentiële benchmarks daarbij van belang zijn vanuit het recht op privacy en de principes inzake de bescherming van persoonsgegevens.

2.    Invloed AVG en privacy-normering

4. De arbeidsrelatie wordt sterk beïnvloed door privacy-normering. Die normering wordt op haar beurt steeds meer beïnvloed door het recht inzake de bescherming van persoonsgegevens. Ook in het kader van controletechnieken is de ‘Algemene Verordening Gegevensbescherming’ (afgekort als ‘AVG’ – ook bekend als ‘GDPR’) dan ook uitermate belangrijk.2 Omdat het gaat om een verordening is deze Europese wetgeving rechtstreeks toepasselijk in de Belgische rechtsorde. De verplichtingen uit de verordening traden in werking op 25 mei 2018. In België werd de AVG verder aangevuld met de wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.3

5. De AVG is ook van toepassing in arbeidsverhoudingen.4 Om die toepassing te verduidelijken, werd in het kader van de Europese wetgeving een aantal begeleidende aanbevelingen opgesteld. Zo bracht de Europese ‘Working Party’, de ‘Groep Gegevensbescherming’ die onder de voormalige Europese wetgeving werd ingesteld, een aantal adviezen uit. De Europese Working Party werd met de inwerkingtreding van de AVG op 25 mei 2018 vervangen door de European Data Protection Board (EDPB), het ‘Europees Comité voor Gegevensbescherming’.

Enkele relevante adviezen verdienen bijzondere vermelding. Op 13 september 2001 nam de Working Party Advies 8/2001 aan betreffende de verwerking van persoonsgegevens in de arbeidsrelatie. Op 8 juni 2017 kwam een nieuw advies van de Working Party, met name Advies 2/2017 over gegevensverwerking op het werk. Dit advies hield reeds rekening met de aankomende nieuwe bepalingen van de AVG.5 Een ander relevant document betreft een werkdocument van de Working Party van 29 mei 2002 betreffende communicatie op de arbeidsplaats.6

6. De AVG bevat een hele reeks essentiële principes die nageleefd moeten worden in geval van een verwerking van persoonsgegevens. Hieronder komen een aantal principes aan bod die van belang zijn voor digitale of elektronische controle.

7. Uiteraard functioneert de AVG binnen een ruimer geheel van normen omtrent privacy (op het werk). Zoals bekend, dient men in het kader van elektronisch toezicht in de arbeidsrelatie rekening te houden met de strafrechtelijke bescherming van het telecommunicatiegeheim. Dit vindt bescherming in de wet van 13 juni 2005 betreffende de elektronische communicatie (de ‘Wet Elektronische Communicatie’ of ‘WEC’).7 Ook in het Strafwetboek gaan de bepalingen van artikel 259bis en artikel 314bis uit van een principieel verbod van kennisname van telecommunicatie. Een aantal uitzonderingen liggen vervat in artikel 125, § 1 WEC. In uiteenlopende gevallen kunnen deze bepalingen van toepassing zijn in een telewerk-context, in welk geval degene die controle uitoefent zich binnen de uitzonderingen moet bevinden.

8. Ook de privacy-cao’s van de Nationale Arbeidsraad zullen relevant zijn. Zo sloten de sociale partners op 16 juni 1998 de CAO nr. 68 betreffende camerabewaking op de arbeidsplaats.8 Deze cao legt spelregels vast in verband met de invoering en het gebruik van camera’s op de arbeidsplaats. Tevens kwam CAO nr. 81 van 26 april 2002 tot stand betreffende de controle op de elektronische onlinecommunicatiegegevens.9 Die kwam er naar aanleiding van de toenemende problematiek in verband met het gebruik van internet en e-mail op het werk en de heersende onzekerheid ten aanzien van het bestaande wettelijke kader. Hieronder zal worden nagaan in welke mate die cao’s een rol spelen bij controle of toezicht op telewerk.

3.    Redelijke privacyverwachtingen

9. Ook het grondrecht op privacy (artikel 8 EVRM, artikel 22 Gw) evolueert. In het licht daarvan, wordt steeds meer belang gehecht aan de beoordeling van de ‘redelijke privacyverwachtingen’. Op het belang van privacyverwachtingen en de relevantie ervan in de arbeidsrelatie werd al eerder gewezen.10 Sinds een aantal jaren maakt de rechtspraak toenemend gebruik van deze notie, zowel in Europese als nationale hoven en rechtbanken.

10. Een treffende illustratie is de zaak López Ribalda11 (2019) waarin het Europees Hof voor de Rechten van de Mens (EHRM) duidelijk maakte dat cameracontrole moet worden beoordeeld, rekening houdend met de redelijke privacyverwachtingen van werknemers. Daarbij kan onder meer meespelen, aldus het Hof, de situatie dat werknemers hun werk doen op een plaats die toegankelijk is voor het publiek waar er voortdurend contact is met klanten. Dat moet volgens het Hof onderscheiden worden van controles die zouden worden uitgeoefend op meer besloten plaatsen, zoals toiletten of vestiaires, waar volgens het Hof een zeer hoge privacyverwachting geldt. Die privacyverwachtingen zijn volgens het Hof ook nog hoog in een gesloten werkplaats, zoals een kantoor. Men kan zich inbeelden dat dit in geval van een ‘thuiskantoor’ of privé-woning nog hoger is.

11. Ook de Belgische arbeidsrechtspraak maakt steeds meer toepassing van de notie privacyverwachtingen. Een voorbeeld is het arrest van het Arbeidshof te Gent (2014) waar het ging over een werkgever die terugbetaling wilde van de gsm-kosten van een werknemer gemaakt voor het bellen naar ‘astrolijnen’. De appellante in kwestie kon zich volgens het Hof niet beroepen op redelijke privacyverwachtingen ten aanzien van de kennisname door de werkgever van de facturatiegegevens van het gsm-gebruik op basis waarvan hij privégebruik kon nagaan alsook de vraag of dat binnen aanvaardbare limieten bleef.12

Het Hof van Cassatie bevestigde het belang van de redelijke privacyverwachtingen in een arrest van 9 september 2008, waar het ging over de opname van een telefoongesprek door de oproeper zonder toestemming en medeweten van diens gesprekspartner. Het Hof oordeelde: “Bij de beoordeling of het gebruik geoorloofd is, moet de rechter ook het criterium van de redelijke privacyverwachting in zijn oordeel betrekken. Dit criterium heeft onder meer betrekking op de inhoud en de omstandigheden waaronder het gesprek plaatsvond.”13

Het Hof van Cassatie heeft dit standpunt herhaald en verder vorm gegeven in een arrest van 17 november 2015.14 Het Hof oordeelde dat hij die met het oog op de bewijsvoering in een geschil waarbij de deelnemers aan een gesprek betrokken zijn, gebruik maakt van een door hem gemaakte opname van dat gesprek waaraan hij heeft deelgenomen, niet handelt met het door artikel 314bis, § 2, tweede lid, Strafwetboek bedoelde bedrieglijk opzet of oogmerk om te schaden. Het Hof vervolgde: “Bij de beoordeling of het gebruik een inbreuk oplevert op artikel 8 EVRM betrekt de rechter onder meer het criterium van de redelijke privacyverwachting van de deelnemers aan het gesprek of het doel dat met het gebruik van de opname wordt beoogd. Daarbij kunnen onder meer de inhoud van het gesprek, de omstandigheden waaronder het gesprek plaatsvond, de hoedanigheid van de deelnemers aan het gesprek en de hoedanigheid van de bestemmeling van de opname een rol spelen.”15

In een arrest van 11 februari 2020 maakt het Hof van Cassatie16 opnieuw gebruik van de notie redelijke privacyverwachting. Het Hof stelt dat “de gesloten passagiersruimte van een personenvoertuig geen openbare plaats is, onder meer omdat daarin de redelijke privacy-verwachting hoger is dan in een openbare plaats”. Dit impliceert volgens het Hof evenwel nog niet dat die ruimte een private plaats is zoals bedoeld in artikel 90ter, § 1, tweede lid, Wetboek van Strafvordering.

12. De privacyverwachtingen zullen gemoduleerd zijn in het specifieke kader van telewerk, wat in vele gevallen (ook tijdens de pandemie) een situatie van (tele)thuiswerk is. Men zal hierbij dan ook rekening houden met het feit dat werkgeverscontrole zich uitstrekt tot in de private sfeer, de woning van de werknemer. Ook zal de vraag een rol spelen of een telewerker een autonome werknemer is, ten aanzien waarvan vertrouwen, eerder dan controle, een sleutelrol speelt. Indien het bovendien gaat om controle van de eigen apparaten van de werknemer (persoonlijke computer, telefoon, etc.), dan zullen ook de juridische richtsnoeren rond BYOD (‘Bring Your Own Device’) relevant worden, wat wegens de specifieke vermenging van de privé- en professionele sfeer een complexer verhaal is.17

4.    Principes AVG

13. De AVG bevat heel wat bouwstenen. In het bestek van deze bijdrage kunnen die onmogelijk allemaal aan bod komen. Dat neemt niet weg dat een selectie van relevante kernbeginselen naar voor moet gebracht worden. Hierbij ligt de focus op de bepalingen van de artikelen 5 en 6 AVG.

Rechtmatigheid

14. De arbeidsrelatie is een legitieme bron van gegevensverwerking. Dat is van belang in het licht van het principe dat persoonsgegevens rechtmatig moeten worden verwerkt (artikel 5, 1, a) AVG).

15. In principe heeft de AVG voldoende flexibiliteit om de rechtmatigheid van de verwerking van persoonsgegevens in de arbeidsrelatie juridisch te gronden. Advies 2/2017 van de Europese Working Party legt uit dat werkgevers verschillende legitieme of wettelijke gronden kunnen hebben om persoonsgegevens van werknemers te verwerken. Over één grond is men wel terughoudend, met name de toestemming van de werknemer. Volgens de Working Party is het zo dat werknemers zelden in een positie verkeren om vrij hun toestemming te verlenen, te weigeren of in te trekken, gezien hun afhankelijkheid in de arbeidsverhouding. Men is dan ook van oordeel dat werkgevers zich op een andere rechtsgrond dan toestemming moeten beroepen.18

Dat laatste is evenwel niet onmogelijk. Integendeel, de AVG bevat verschillende relevante rechtmatigheidsgronden.

16. Zo is gegevensverwerking ingevolge artikel 6, 1, b AVG toegestaan indien dat ‘noodzakelijk’ is ‘voor de uitvoering van een overeenkomst’. Wat ‘noodzakelijk’ is voor de uitvoering van de overeenkomst is uiteraard een kwestie van interpretatie. Het lijkt te beperkend om te stellen dat dit enkel slaat op specifieke wettelijke verplichtingen van een partij. De noodzakelijkheid om te voldoen aan een wettelijke verplichting is immers nog een andere rechtsgrond voor gegevensverwerking, vervat in artikel 6, 1, c AVG. Dat impliceert ook dat het zowel om rechten als plichten kan gaan binnen de rechtsgrond van artikel 6, 1, b AVG (‘noodzakelijk voor de uitvoering van de overeenkomst’). Niet elke verwerking zal echter zomaar als noodzakelijk voor de uitvoering van de arbeidsovereenkomst kunnen worden bestempeld, zoals verder zal worden geïllustreerd.

17. Een andere relevante rechtsgrond is de noodzakelijkheid van een gegevensverwerking “voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde”, aldus artikel 6, 1, f AVG. Dit is weliswaar niet dienstig “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen”. Daarbij is tevens het ‘recht van bezwaar’ relevant. Ingevolge artikel 21, 1 AVG heeft een betrokkene te allen tijde het recht om, vanwege diens specifieke situatie, bezwaar te maken tegen de verwerking van hem of haar betreffende persoonsgegevens die steunt op artikel 6, lid 1, f) AVG.

18. In de twee genoemde rechtsgronden (artikel 6, 1, b AVG en artikel 6, 1, f AVG) zal een afweging aan de hand van een proportionaliteitstoets nodig zijn. Die proportionaliteitstest zal sowieso een rol spelen gelet op het principe van ‘minimale gegevensverwerking’ (artikel 5, 1, c AVG) of ‘data minimalisatie’, waarover verder meer.

Doelbinding

19. Het principe van doelbinding (‘purpose limitation’) is een essentieel onderdeel van gegevensbescherming. Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (artikel 5, 1, b) AVG). Dat zal relevant zijn voor controletechnieken. Een werkgever die een controle uitvoert, of laat uitvoeren, met het oog op een goede werking van het bedrijfsnetwerk, verzamelt persoonsgegevens voor dit specifieke doeleinde. Men zal deze persoonsgegevens niet zomaar voor een nieuw (tweede) doeleinde kunnen aanwenden, zoals bijvoorbeeld met het oog op controle van de arbeid. Gebruik van persoonsgegevens voor een nieuw doeleinde is niet onmogelijk, maar het moet compatibel blijven met het oorspronkelijke doeleinde van de verzameling van die gegevens.

20. Zoals hoger vermeld, is het van belang om steeds de doeleinden van het gebruik van persoonsgegevens te blijven bewaken. Doelbinding zal ertoe leiden dat bepaalde gegevens niet zomaar voor evaluatieve doeleinden kunnen worden aangewend. De Europese Working Party geeft in Advies 2/2017 een voorbeeld inzake monitoring: werkgevers kunnen gebruik maken van elektronische toegangscontrole, op basis van een gerechtvaardigd belang (artikel 6, 1, f AVG). Evenwel, een voortdurende controle van de frequentie en precieze aankomst- en vertrektijden kan volgens de Working Party niet worden gerechtvaardigd wanneer deze gegevens ook voor een ander doeleinde worden gebruikt, zoals voor de evaluatie van de prestaties van een werknemer.19

Data minimalisatie

21. In de bescherming van persoonsgegevens is het ook wezenlijk om rekening te houden met het principe van minimale gegevensverwerking (‘data minimisation’). Dit principe houdt in dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (artikel 5, 1, c) AVG).

In de praktijk zal men ongetwijfeld met genuanceerde situaties te maken hebben, zoals bijvoorbeeld met de vraag naar tijdelijke- of steekproefcontroles, gebonden aan specifieke doeleinden. Men vindt daarom een goede praktijk om een zogenaamde ‘DPIA’, een gegevensbeschermingseffectbeoordeling (GEB), uit te voeren bij de introductie van een controletechnologie”.20 Toch merkt de Working Party op dat het belangrijk is “om het risico van thuiswerk en telewerk evenredig en niet buitensporig aan te pakken, los van de optie die wordt aangeboden en de technologie die wordt voorgesteld, zeker wanneer de grens tussen zakelijk en privégebruik vervaagt”.21

Casus: verplicht gebruik webcam?

22. Men zou dit kunnen toepassen op een casus. Zou de werkgever bijvoorbeeld kunnen stellen dat het voor iedereen verplicht is om een webcam te gebruiken bij digitale vergaderingen of overleg (via Teams, Skype, etc.)? Het oordeel van de werkgever zou kunnen zijn dat men alleen zo een kwalitatief overleg kan hebben. Maar de AVG zal zowel een rechtvaardigings- als een proportionaliteitsbeoordeling vragen. Het gerechtvaardigd belang zal volgens het advies 2/2017 van de Working Party enkel juridische grondslag geven indien deze maatregel ook strikt noodzakelijk is voor het gerechtvaardigd doeleinde en als de verwerking voldoet aan het evenredigheids- en subsidiariteitsbeginsel.22

Een verplichte webcam zal dus nog juridisch verantwoord kunnen worden vanuit  het gerechtvaardigd belang van kwalitatieve vergaderingen. Maar hoewel het op het eerste gezicht evident lijkt dat een werkgever dit vanuit zijn gezagsrecht kan vragen, geeft de AVG dus toch grenzen aan. Van daaruit zal men voor elke situatie het doorslaggevende belang van een face-to-face vergadering moeten aantonen ten opzichte van een gewone audio-vergadering. Dat volgt ook uit het privacy-by-default principe uit de AVG. Tevens dient opgemerkt te worden dat het doeleinde van vergaderkwaliteit niet zonder meer kan vermengd worden met doeleinden van controle en/of evaluatie van het personeel. Dat volgt dan weer uit het doelbeginsel van de AVG. In de praktijk kan een vermenging snel gebeurd zijn, wat tevens een rem zal zetten op het onbeperkt hanteren van webcamgebruik.

Het is om die reden dat de Franse Gegevensbeschermingsautoriteit (‘CNIL’)23 zich zeer beperkend en terughoudend opstelt tegenover een webcamverplichting in een arbeidscontext. Volgens de ‘CNIL’ kan een verplichting tot gebruik van de webcam enkel verantwoord worden in specifieke gevallen, zoals bijvoorbeeld bij een HR-gesprek, bij het introduceren van een nieuwe medewerker, of bij het contact met klanten.24 Dit komt weliswaar over als een zeer restrictieve opvatting. Ook voor team-vergaderingen, mits voldoende en specifieke verantwoording, lijkt de noodzaak voor webcamgebruik niet steeds uitgesloten.

5.    Cao’s telewerk en privacy

23. De sociale partners in de Nationale Arbeidsraad hebben in het verleden een aantal relevante cao’s gesloten die belangrijke principes aangeven voor telewerk en privacy. Er zijn enerzijds de telewerk-cao’s (CAO nr. 85 inzake structureel telewerk en CAO nr. 149 inzake verplicht of aanbevolen coronatelewerk) en anderzijds de privacy-cao’s (CAO nr. 68 inzake camerabewaking en CAO nr. 81 betreffende controle op online communicatiegegevens).

24. De telewerk-cao’s hebben uiteraard hun relevantie. CAO nr. 149 erkent zeer uitdrukkelijk het controlerecht van de werkgever op telewerk. Ingevolge artikel 9 § 1 CAO nr. 149 heeft de werkgever de mogelijkheid “om op gepaste en proportionele wijze controle uit te oefenen op de resultaten en/of de uitvoering van het werk.” In de commentaar bij artikel 9 valt te lezen dat dit controlerecht van de werkgever slaat op het nagaan “of de in het raam van telewerk uit te voeren werkzaamheden daadwerkelijk en correct werden verricht”. Uiteraard zal in vele gevallen CAO nr. 85 van toepassing zijn.

25. CAO nr. 85 is minder uitgesproken ten aanzien van dit principe, maar verwijst wel naar de controlemogelijkheden van de werkgever en de gevolgen voor de privacybescherming. Artikel 14 van CAO nr. 85 stelt dat de werkgever maatregelen moet nemen, in het bijzonder ten aanzien van de software, zodat de bescherming van de gegevens die door de telewerker voor professionele doeleinden worden gebruikt en verwerkt, gewaarborgd is. Volgens artikel 14 van CAO nr. 85 is CAO nr. 81 (online communicatie) van toepassing in geval van telewerk.

26. Of CAO nr. 81 (online communicatie) dan wel CAO nr. 68 (camerabewaking) van toepassing is, zal afhangen van de gebruikte technologie en het inpassen in de begripsvorming van de cao’s. Indien het gaat om gesprekken tussen telewerkers via programma’s waarbij zowel audio als webcams worden gebruikt, kunnen ook de beide cao’s van toepassing zijn.

27. Toch zijn er ook grenzen aan het toepassingsgebied van de cao’s. CAO nr. 68 betreft camerabewaking op de arbeidsplaats. De vraag is of men in geval van telethuiswerk, dat zich afspeelt in de privé-woning, nog kan spreken van een arbeidsplaats. Een positief antwoord op die vraag vindt steun in de Welzijnswet waarin de notie arbeidsplaats erg ruim is opgevat: “elke plaats waar arbeid wordt verricht, ongeacht of deze zich binnen of buiten een inrichting bevindt en ongeacht of deze zich in een besloten of in een open ruimte bevindt”.25 Dat sluit de private woning niet uit als arbeidsplaats. CAO nr. 68 maakt zelf ook geen onderscheid tussen de arbeidsplaats van de werkgever of een andere plaats waar arbeid wordt verricht. Verder is het zo dat de sociale partners in CAO nr. 85 opmerken dat “de door de werknemer in het kader van het telewerk gekozen plaatsen zullen worden beschouwd als de lokalen die hij gewoonlijk gebruikt bij de uitvoering van zijn arbeidsovereenkomst.”26 Bovendien zijn dienstboden of huispersoneel ook werkzaam in een privé-woning, die voor hen een arbeidsplaats is.27 Uiteraard zal het plaatsen van camera’s in de privé-woning van de werknemer allerminst evident zijn. Toch is de principiële toepasselijkheid van CAO nr. 68 relevant, met name ten aanzien van minder klassiek cameragebruik, zoals door middel van een webcam.

28. Ten aanzien van het webcam-gebruik dient men nog een andere toepassingsvraag te behandelen. CAO nr. 68 betreft namelijk ‘camerabewaking’ (“la surveillance par caméras”). De term duidt op “elk bewakingssysteem met één of meer camera’s dat ertoe strekt om bepaalde plaatsen of activiteiten op de arbeidsplaats te bewaken” (artikel 2, CAO nr. 68). Volgens het woordenboek Van Dale is een systeem “een doelmatig geordend samenhangend geheel van bij elkaar horende dingen en hun onderdelen”.28  Het gebruik van een webcam (camera, software, hardware, verbinding,…) lijkt hierin te passen. Voorts is er de term ‘bewaking’. De termen bewaking of (wellicht wat breder) toezicht lijken daarbij uitwisselbaar (in het Frans surveillance). Toch zal niet elk gebruik van camera’s tot de toepassing van CAO nr. 68 leiden. Volgens de commentaar onder artikel 4 CAO nr. 68 laat deze cao de mogelijkheid voor het gebruik van camera’s voor opleidingsdoeleinden onverlet “aangezien dit geen bewaking betreft”. Ook artikel 5 van CAO nr. 81 lijkt te bevestigen dat de registratie van gegevens in het kader van opleidingsdoeleinden geen geval van ‘toezicht’ betreft (“laat de mogelijkheid onverlet om controles op elektronische online communicatiegegevens uit te voeren voor opleidingsdoeleinden, vermits het hier niet om toezicht gaat”). Op grond hiervan kan men het standpunt vormen dat CAO nr. 68 niet van toepassing is op videocalls, in de mate men niet de bedoeling heeft om werknemers hun arbeidsprestaties te controleren.29 Maar hier zal men dan wel controledoeleinden moeten vermijden of uitsluiten. Er zijn bovendien situaties denkbaar waarbij een webcam, al is het bijvoorbeeld kortstondig en met instemming van het betrokken personeelslid, toch voor controledoeleinden wordt aangewend. Verder doet dit geen afbreuk aan de vereisten van de AVG.

29. Een andere vraag betreft het ‘schermdelen’. In heel wat telewerksituaties (niet alleen bij telethuiswerk) wordt aan werknemers gevraagd om, kortstondig of langdurig, het scherm te delen, ofwel met collega’s ofwel met leidinggevenden. De vraag is of op deze situatie beide cao’s (CAO nr. 68 en CAO nr. 81) van toepassing zijn, met andere woorden of dit ‘camerabewaking’ dan wel controle op ‘online communicatiegegevens’ betreft. Voor de toepassing van CAO nr. 81, valt veel te zeggen. Als men opnieuw uitgaat van het gewone taalgebruik, dan betreft communicatie de “overdracht of uitwisseling van informatie” of het maken van “verbinding”,30 zodat in deze begripsvorming online communicatie betrekking heeft op de online uitwisseling van informatie (dus ook online informatie delen), of het maken van een online verbinding met het oog op informatie-uitwisseling. Die brede invulling is wellicht ook de reden waarom internetgebruik als online communicatie wordt gezien. Hierbij dient aangestipt te worden dat artikel 14 van CAO nr. 85 stelt dat CAO nr. 81 “mutatis mutandis” van toepassing is “in het bijzonder omtrent de beperkingen ten aanzien van het gebruik van IT-apparatuur of -faciliteiten”.

30. De eventuele niet-toepasselijkheid van de privacy-cao’s neemt uiteraard de gegevensbescherming niet weg. Uit de AVG-principes komt al naar voor dat, bijvoorbeeld, het verplichten van schermdelen of webcams zal moeten gemotiveerd worden vanuit een noodzakelijkheidsvereiste (dat is strenger dan ‘nuttig’) en rekening houdend met het principe van data minimalisatie. Het lijkt vanuit management oogpunt enigszins logisch om het scherm van een werknemer of diens gezicht te kunnen zien, maar de hele privacybescherming evolueert nu net naar het beschermen van personen tegen elektronisch toezicht, zeker indien dat langdurig, uitgebreid of systematisch is, of gewoonweg tegen overmatige digitale gegevensverwerking. De Nederlandse Autoriteit Persoonsgegevens beveelt daarom aan om alternatieve controles van het werk te implementeren.31

6.    Buitenlandse richtsnoeren

31. Met de opmars van telewerk en de zoektocht naar ‘benchmarks’ is het nuttig om naar inzichten uit andere rechtssystemen te kijken. Een aantal officiële autoriteiten die instaan voor de toepassing van de AVG hebben zich reeds uitdrukkelijk uitgelaten over technologische controle op telewerk.

32. Uiteraard is er het Europese Working Party Advies 2/2017. Dat stelt bijvoorbeeld dat het verboden is om toetsaanslagen en muisbewegingen te registreren, het schermbeeld op te slaan (op willekeurige of regelmatige tijdstippen), gebruikte applicaties te registreren (met inbegrip van hoe lang ze zijn gebruikt) en te vragen de webcam aan te zetten om zo beeldmateriaal te verzamelen. Volgens de Working Party is de verwerking door dergelijke technologieën onevenredig en heeft de werkgever hoogstwaarschijnlijk geen rechtsgrond voor een gerechtvaardigd belang voor registratie zoals toetsaanslagen en muisbewegingen van een werknemer.32

33. Ook de Franse ‘CNIL’ heeft het thema opgenomen, mede in het kader van het massale verplichte telewerk tijdens de pandemie.33 De CNIL34 stelt dat werkgevers hun personeel kunnen controleren zolang zij dat doen met respect voor de rechten en vrijheden. Dat betekent dat werkgevers altijd moeten verantwoorden waarom een maatregel proportioneel is ten aanzien van het nagestreefde doeleinde. De CNIL is van oordeel dat een werkgever een werknemer niet permanent kan monitoren. Monitoring moet ook geschieden op grond van een duidelijk bepaald doel en moet proportioneel zijn. Werknemers moeten op voorhand worden geïnformeerd. Constant toezicht door middel van video of audio, schermdelen of keyloggers zijn volgens de CNIL niet mogelijk. Wat ook niet kan volgens de CNIL is de verplichting om elke paar minuten op een applicatie te klikken of om regelmatig schermfoto’s te maken.35

34. Volgens de Portugese autoriteit ‘CNPD’ zijn technologische applicaties voor tele-controle met het oog op het evalueren van werknemers niet toegestaan. Voorbeelden zijn: het registeren van websites, het real-time volgen van de computer, het volgen van muis- en toetsenbord, het controleren van documenten waarin men werkt of het registreren van de tijd die men spendeert aan taken.36

35. Uit het bovenstaande blijkt dat heel wat privacy-autoriteiten erg op de rem staan voor wat betreft het gebruik van controletechnieken in het kader van telewerk. Indien men de AVG toepast, zijn er inderdaad heel wat voorwaarden en beperkingen.

7.    Registratie arbeidstijden versus privacy

36. De beperkingen vanuit de privacybescherming en de AVG lijken op gespannen voet te staan met een aantal uitgangspunten in het arbeidsrecht. Het nagaan van arbeidstijden in geval van telewerk is daar een voorbeeld van. In het CCOO-arrest van 14 mei 2019 was het Hof van Justitie van oordeel dat zonder de objectieve en betrouwbare vaststelling van het per dag en per week gewerkte aantal uren, niet kan worden nagegaan of de regels inzake maximale arbeidstijden, inclusief overwerk, en rusttijden wel in acht genomen worden. Volgens het Hof moeten de Europese lidstaten dan ook aan werkgevers de verplichting opleggen om een objectief, betrouwbaar en toegankelijk systeem op te zetten waarmee de dagelijkse arbeidstijd van iedere werknemer wordt geregistreerd.37 Dit arrest wordt wel eens het ‘prikklok-arrest’ genoemd, evenwel ten onrechte. Het Hof geeft zelf niet aan uit welke vorm een tijdsregistratiesysteem moet bestaan.

Toch is de vraag wat dit betekent in het kader van telewerk, vooral nu er beperkingen zijn voor elektronische of digitale registraties in het licht van het recht op privacy en gegevensbescherming, dat zich eerder verzet tegen permanente en systematische controles. Dit valt verder nog te verfijnen in het kader van de vraag of, en in welke mate, (wettelijke bepalingen inzake) arbeidstijden van toepassing zijn in geval van telewerk.38

Een genuanceerde benadering is in deze materie dan ook gepast. Dat impliceert dat een tijdsregistratie in geval van telewerk niet per definitie moet worden uitgesloten, maar dient te beantwoorden aan de beginselen van de AVG.

37. De rechtmatigheid van arbeidstijdenregistratie kan voortvloeien uit een wettelijke verplichting van de werkgever (art. 6, 1, c AVG), zoals gesuggereerd in het hoger vermelde CCOO-arrest. Men dient daarbij wel aan te stippen dat dit arrest ook een beperking impliceert. Het CCOO-arrest wijst vooral op de verplichting van werkgevers om arbeidstijden te registreren, vanuit “het recht van iedere werknemer op een beperking van de maximumarbeidsduur en op dagelijkse en wekelijkse rusttijden”.39 Het gaat in deze zaak dus niet zozeer om de controlerechten van een werkgever, die zou willen nagaan of de werknemer de arbeidstijden en de afspraken naleeft.

Dat beperkter perspectief kan een invloed hebben op de invulling van het doelbinding-principe uit de AVG. Zo stelde de Working Party reeds in Advies 2/2017 dat de voortdurende controle van de frequentie en precieze aankomst- en vertrektijden van werknemers niet kan worden gerechtvaardigd wanneer deze gegevens ook voor een ander doeleinde worden gebruikt, zoals voor de evaluatie van de prestaties van een werknemer.40 Het impliceert dat men een onderscheid zou moeten maken tussen de wettelijke verplichting tot arbeidstijdenregistratie versus registratie met het oog op controle van de arbeid.

38. Het blijft evenwel een afweging. Ook de rechten van de werkgever dienen te worden erkend. Er zijn niet alleen het gezagsrecht of het recht op nakoming van contractuele afspraken. Zoals reeds vermeld, erkent CAO nr. 149 het recht van de werkgever om na te gaan of het telewerk niet alleen “correct” maar ook “daadwerkelijk” wordt verricht (zie commentaar bij artikel 9 CAO nr. 149). Het zal echter steeds om een ‘noodzakelijke’ en ‘proportionele’ toepassing moeten gaan. Dat vloeit zowel voort uit de eisen van de ‘noodzakelijkheid voor de uitvoering van de arbeidsovereenkomst’ (art. 6, 1, b AVG) of de overwegingen vanuit een ‘gerechtvaardigd belang’ van de werkgever (art. 6, 1, f AVG). Een en ander wordt nog versterkt door het principe van ‘data minimalisatie’. Dat vergt een afweging van alternatieven of minder verregaande oplossingen.

39. Een bijkomende bedenking dient te worden gemaakt omtrent de redelijke privacyverwachtingen. Eerder merkten we op dat telewerk geen one-size-fits-all verhaal is.41 Sommige telewerkers zullen meer aan vaste uren gebonden zijn dan andere. Ook dit kan een invloed hebben op de beoordeling van de rechtmatigheid en evenredigheid van tijdsregistratie.

40. De slotsom is dus wellicht dat tijdsregistratie van telewerk mogelijk blijft om te voldoen aan wettelijke verplichtingen zoals die worden gezien door het Hof van Justitie in het CCOO-arrest. Dat kan tevens inhouden dat men nagaat of de arbeidstijden door de beide partijen worden gerespecteerd, steeds gedacht weliswaar vanuit het doeleinde van de wettelijke verplichtingen (zoals het bewaken van grenzen gelet op het welzijn van de werknemer). De AVG, met data minimalisering en een doelbeginsel, zal belemmeren dat men deze tijdsregistratiegegevens ook gebruikt voor evaluatiedoeleinden.

Tevens zal het vanuit de AVG-principes niet mogelijk zijn om langdurige of ingrijpende elektronische of digitale controle van arbeidstijd te implementeren. Men zal daarvoor dus eerder moeten denken aan zeer beperkte controles die wellicht uitgaan van een bijzondere noodzaak, zoals een vermoeden van misbruik. In ieder geval zal men een privacy-by-default houding moeten aannemen en steeds het effect op de privacy van het personeel moeten beoordelen bij de implementatie van een registratie- of controlebeleid.

8.    ‘Slimme’ controle en AI

41. Tot slot dient een benchmark-onderzoek van telewerk-controle te worden aangevuld met de inzichten omtrent het gebruik van artificiële intelligentie (AI). Intelligente technologie is in opmars, waarbij algoritmes, ‘people analytics’ en profiling steeds meer aan belang winnen, ook in de wereld van het werk. De controletechnieken worden zogenaamd ‘slimmer’ met artificiële intelligentie. In een aantal gevallen betreft het misschien eerder een vorm van ‘simplisme’, omdat men bijvoorbeeld werknemers evalueert louter aan de hand van beschikbare digitale gegevens, zoals het aantal toetsaanslagen of muisklikken. Maar het kan ook tot complexe situaties aanleiding geven, zoals het bijhouden van gezichtsuitdrukkingen en emoties.42 Dit kan leiden tot vormen van verwerking en besluitvorming die specifieke aandacht verdienen in het licht van de AVG.

42. Zo bepaalt artikel 22 AVG dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Ingevolge artikel 15, lid 1, onder h), van de AVG, heeft een betrokkene ook recht op informatie over het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en op betekenisvolle informatie over de logica, de betekenis en de verwachte gevolgen van een dergelijke gegevensverwerking.

43. Wellicht zal men bij telewerk nog in heel wat gevallen beogen dat digitale gegevens van het personeel leiden tot een door een mens (bijvoorbeeld een leidinggevende) uitgevoerde evaluatie. Toch zijn de bepalingen inzake profilering en geautomatiseerde besluitvorming relevant, gelet op de gestage opmars van allerlei software en apps in opmars, die evaluaties geheel of ten dele automatiseren.

9.    Besluit

44. Het is duidelijk dat controle op telewerk met nog heel wat juridische grijze zones gepaard gaat. Deze bijdrage heeft tot doel benchmarks op te lijsten die relevant zijn bij de beoordeling van het gebruik van controletechnieken. Controles op werk of werknemers leiden doorgaans tot een verwerking van persoonsgegevens. De AVG (Algemene Verordening Gegevensverwerking) levert dan ook een belangrijke set aan principes en spelregels op om de juridische geoorloofdheid van die controles te beoordelen.

45. In het kader van de AVG blijken heel wat controletechnieken niet zo evident. Heel wat software- of andere toepassingen om werknemers en hun werkzaamheden online te volgen of te ‘tracken’ zijn nauwelijks of niet in te passen in de principes rond rechtmatigheid, evenredigheid, doelmatigheid of data minimalisatie. Niet alles is onmogelijk. Wellicht is ook niet alles een kwestie van ‘controle’. Maar een zorgvuldige afweging is steeds van groot belang vooraleer men één of andere techniek implementeert.

46. In het licht van de technologische evolutie, wordt privacy stilaan een vast onderdeel van het arbeidsrecht. De toekomst zal dan ook vragen dat men steeds meer met zowel de AVG als het grondrecht op privacy rekening houdt. Daarbij komt ook een beoordeling van de redelijke privacyverwachtingen. In dit verband moet ook verder nagedacht worden over de constellatie van telewerk. Een steeds groter wordende groep werknemers bevindt zich in een situatie van tijd- en plaatsonafhankelijk werken. Bovendien zorgt het ‘digitaal’ werk als thuiswerk voor een toenemende vermenging van werk en privé-leven. Deze factoren maken de afwegingen van controle- en privacyrechten complexer. In dat opzicht is een zorgvuldige afweging en een behoedzaam gebruik van de principes inzake gegevens- en privacybescherming des te belangrijker.

47. In dat geheel heeft ook transparantie een belangrijke plaats. Vanuit het arbeidsrecht vergt het implementeren van telewerk goede afspraken. Transparantie is ook een voorwaarde vanuit de AVG en het recht op privacy. Een goede telewerk-policy zal dan ook met privacy-condities rekening houden.

  1. F. HENDRICKX, “Privacy 4.0 at work: regulating employment, technology and automation”, Comp. Lab. Law & Policy Journal 2020, Vol. 41, (1), 147-172.
  2. In het Engels: ‘General Data Protection Regulation’ (GDPR); Verord. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, Pb.L. 4 mei 2016, afl. 119.
  3. BS 5 september 2018.
  4. Cf. I. VERHELST, W. VAN LOON & S. CONIX, “Gegevensbescherming in de HR-praktijk: een stand van zaken na één jaar GDPR”, Or. 2019, 152-178; S. RAETS, “Alles wat werkgevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, Or. 2016, afl. 7, 208-225; C. VANDE VORST, “Algemene verordening gegevensbescherming: vijf nieuwigheden van dichterbij bekeken”, Cah.jur. 2016, afl. 4, 75-85; V. VERBRUGGEN, “Mise en oeuvre du Règlement général sur la protection des données: coup de projecteur sur certaines nouvelles obligations à charge des responsables de traitement et des sous-traitants”, Ors. 2017, afl. 5, 2-22; Y. VAN DER SYPE, “Werkgevers, wees gewaarschuwd. Enkele nieuwe uitdagingen voor het rechtmatig verwerken van werknemersgegevens”, Arbeid.J. 2017, 23-29.
  5. Het advies is beschikbaar in de verschillende talen van de Europese Unie: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169 .
  6. Working document on the surveillance of electronic communications in the workplace, Eur. Parl. Doc. 5401/01/EN/final, WP 55 (2002), http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp55_en.pdf  
  7. BS 20 juni 2005; deze wet heft de bepalingen op die voorheen golden in verband met de bescherming van telecommunicatie en die voortvloeiden uit de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, zie wet 21 maart 1991, BS 27 maart 1991, 6155; art. 155 wet 13 juni 2005 betreffende de elektronische communicatie.
  8. Algemeen verbindend verklaard bij KB 20 september 1998, BS 2 oktober 1998.
  9. Algemeen verbindend verklaard bij KB 12 juni 2002, BS 29 juni 2002.
  10. F. HENDRICKX, Privacy en arbeidsrecht, Brugge, die Keure, 1999, 51-53.
  11. López Ribalda e.a. v. Spanje 17 oktober 2019 (Grote Kamer), nrs. 1874/13 en 8567/13.
  12. Arbh. Gent (tweede kamer) 12 mei 2014, Rol. nr. 2013/AG/269, ECLI:BE:AHGNT:2014:ARR.20140512.1 (juportal.be).
  13. Cass. (tweede kamer) 9 september 2008, nr. P.08.0276.N, ECLI:BE:CASS:2008:ARR.20080909.2 (juportal.be).
  14. Cass. (tweede kamer) 17 november 2015, P.15.0880.N/1, ECLI:BE:CASS:2015:ARR.20151117.2 (juportal.be).
  15. Ibid.
  16. Cass. (tweede kamer) 11 februari 2020, P.19.1028.N, ECLI:BE:CASS:2020:ARR.20200211.2N.1 (juportal.be).
  17. L. PEETERS, “Bring your own device”, Or. 2015, afl. 10, 254-266; Zie ook: https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/byod;
  18. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 4.
  19. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 22.
  20. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 4-5.
  21. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 19.
  22. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 27.
  23. CNIL: « Commission Nationale de l’Informatique et des Libertés ».
  24. https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail
  25. Artikel 3, §1, 15° Welzijnswet 4 augustus 1996.
  26. Commentaar bij artikel 6, CAO nr. 85 betreffende het telewerk.
  27. Cf. S. BRUURS, “Het welzijn van dienstboden en huispersoneel: thuis op de werkvloer”, Arbeidsrecht Journaal 2020, nr. 22 (www.arbeidsrechtjournaal.be).
  28. https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/SYSTEEM#.YZ-5HtDMJnI
  29. A. WITTERS, J. DEVOS, A. STABEL & L. DANIELS, Werk & Thuis, Antwerpen, Intersentia, 2021, 106.
  30. https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/communicatie#.YZ_WINDMJnI
  31. https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel#news
  32. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 19.
  33. https://travail-emploi.gouv.fr/le-ministere-en-action/coronavirus-covid-19/questions-reponses-par-theme/article/teletravail-en-periode-de-covid-19.
  34. https://www.cnil.fr/fr/teletravail-les-regles-et-les-bonnes-pratiques-suivre.
  35. https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail.
  36. Advies CNPD (Portugal) van 17 april 2020, Orientações sobre o controlo à distância em regime de teletrabalho, https://www.cnpd.pt/media/zkhkxlpx/orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf
  37. HvJ 14 mei 2019, nr. C-55/18, Federación de Servicios de Comisiones Obreras (CCOO)/Deutsche Bank SAE, ECLI identifier: ECLI:EU:C:2019:402.
  38. Zie hierover: F. HENDRICKX & S. TAES, “Telewerk tijdens en na de pandemie: kwalificatie van een uitdagende arbeidsrelatie”, Arbeidsrecht Journaal 2020, 18-21.
  39. Cf. overweging 30, 42 en 50 van het CCOO-arrest.
  40. Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 22.
  41. F. HENDRICKX, “Waarom telewerk organiseren zo moeilijk is: leren omgaan met de autonome arbeidsrelatie”, Arbeidsrecht Journaal 2020 (www.arbeidsrechtjournaal.be).
  42. Cf. J. KLOOSTRA, “Ondergeschikt aan het algoritme”, TRA (NL) 2020, afl. 71, 14.
Tags: No tags

Comments are closed.