'Houd rekening met privacy tijdens social distancing op kantoor'

03 november 2020 Consultancy.nl

Veel werkgevers zijn momenteel druk bezig met het perfectioneren van hun beleid en maatregelen voor social distancing op kantoor. Een aspect dat doorgaans wordt ondergesneeuwd in de aanpak, is privacy, zegt Friso Spinhoven, privacy-expert bij Hot ITem.

Het coronaproof maken van kantoorpanden draait in de regel om twee maatregelen. Allereerst ervoor zorgen dat iedereen de vereiste anderhalve meter afstand van elkaar houdt. Dit wordt onder meer gerealiseerd door werkplekken verder uit elkaar te zetten en mensen te helpen met bijvoorbeeld looproutes of belijning, om zo afstand te kunnen houden. Dit kan ook inhouden dat gezorgd moet worden dat er niet te veel mensen in een ruimte tegelijk aanwezig zijn, door reserveringssystemen te gebruiken bijvoorbeeld.

De tweede maatregel die door sommige organisaties wordt toegepast, is het meten van de lichaamstemperatuur van mensen die een pand betreden. Voor beide maatregelen geldt volgens Spinhoven dat het belangrijk is om de privacy-impact niet uit het oog te verliezen. Want, “waar je met data werkt, werk je al snel met persoonsgegevens”.

Hou rekening met privacy tijdens social distancing op kantoor

Reserveringssystemen

Neem als voorbeeld het reserveren van een werkplek/vergaderruimte, wat bij de meeste organisaties momenteel verplicht is. Mensen wordt gevraagd om hun persoonsgegevens achter te laten in het reserveringssysteem en dus komt de AVG om de hoek kijken. “Kies de oplossing die de minste privacy-impact heeft op de aanwezigen, en zorg dat de oplossing in verhouding staat tot de inbreuk op privacy (proportionaliteit)”, raadt Spinhoven aan.

In het geval dat organisaties geen andere keuze hebben dan het gebruiken van een applicatie die een “waarschijnlijk hoog privacyrisico met zich meebrengt”, bijvoorbeeld als dit wordt opgelegd door een moederbedrijf in het buitenland, dan is het volgens Spinhoven verplicht om een DPIA uit te voeren. Spinhoven: “Hiermee krijg je inzicht in wat het omhelst, wat de impact is, en hoe je eventuele privacyrisico’s kunt beheersen.”

“Een van de vereisten van de AVG is dat organisaties voor iedere verwerking van persoonsgegevens een duidelijk, specifiek en vooraf gesteld doel hebben. Het scherp krijgen van het doel draagt er tevens aan bij dat de medewerkers inzien wat het nut en de noodzaak van de maatregelen zijn, zodat zij begrip opbrengen voor de genomen maatregelen. Goede communicatie is daar belangrijk bij”, legt Spinhoven uit.

Om draagvlak te creëren, luidt het advies te zorgen voor een goede onderbouwing van de noodzaak van de maatregelen, en deze vast te leggen. Ook is het nodig om tijdig de OR te betrekken. “Voor maatregelen waarbij sprake is van de verwerking van persoonsgegevens van medewerkers, is instemming van de OR vereist”, zegt Spinhoven.

Meten van lichaamstemperatuur

In het geval van het meten van de lichaamstemperatuur, is het belang van privacy voor velen nog groter, want het gaat over eigen gezondheid. Spinhoven legt uit: “Als een organisatie vaststelt dat een medewerker een te hoge temperatuur heeft, en dus mogelijk besmet is, dan moet hier heel zorgvuldig mee worden omgegaan.” 

Friso Spinhoven, Privacy-expert bij Hot ITem

Centraal hierin voor privacy is hoe de meting tot stand komt. “Een handmatige meting valt niet onder de AVG zolang het resultaat ervan niet geautomatiseerd verwerkt wordt of in een bestand terechtkomt.” In het geval de data wel wordt weggeschreven voor mogelijk toekomstig gebruik, dan gelden de AVG en alle daarmee gepaarde richtlijnen wel.

Wanneer een warmtecamera gebruikt wordt, ligt de situatie wat complexer. Hoewel er in privacylandschap (waaronder ook de Autoriteit Persoonsgegevens) wordt bediscussieerd of een meting zonder vastlegging (bijvoorbeeld: iemand die geen verhoging heeft) ook is uitgezonderd van de AVG, is het voor organisaties veiliger om aan te nemen dat de AVG van toepassing is.

Spinhoven zegt hierover: “In de eerste plaats omdat metingen door middel van een warmtecamera volledig buiten het medeweten van medewerkers om kunnen plaatsvinden. Ten tweede, omdat een camera iedereen binnen zijn blikveld registreert, waardoor er potentieel veel meer metingen plaatsvinden dan wellicht nodig zijn. En tot slot, omdat mensen bij metingen met een camera minder effectief bezwaar kunnen aantekenen, want de meting heeft dan waarschijnlijk al plaatsgevonden.”

In elk geval, zodra een medewerker verhoging blijkt te hebben, dan is er sowieso een geautomatiseerde verwerking, en is dus de AVG van toepassing.

Zoals met iedere vorm van persoonlijke data, moeten medewerkers erop kunnen vertrouwen dat hun gegevens alleen worden gebruikt voor de desbetreffende doeleinden; het minimaliseren van het besmettingsrisico. “Hiervoor is het nodig dat je zegt wat je doet – het transparantievereiste uit de AVG – en dat je doet wat je zegt, en je je daarover kunt verantwoorden”, sluit Spinhoven af.

More on: Hot ITem Conclusion
Netherlands
Company profile
Hot ITem Conclusion is a Netherlands partner of Consultancy.org