Nu thuiswerken voor veel organisaties de norm is, krijgen we regelmatig de vraag: hoe mag je als werkgever toezicht houden op thuiswerkende medewerkers? Mag je bijvoorbeeld software inzetten om schermactiviteit te volgen of bijhouden wanneer iemand online is?
Antwoord van de AVG-expert:
Ja, in sommige gevallen mag het — maar alleen onder strikte voorwaarden. De AVG stelt duidelijke eisen, en de Autoriteit Persoonsgegevens (AP) benadrukt dat je als werkgever zeer terughoudend moet zijn met controle op afstand.
Wat mag je als werkgever wel?
Volgens de AP mag je medewerkers controleren als:
- Er een legitiem doel is. Denk aan het beschermen van bedrijfsinformatie, controleren op misbruik van systemen, of naleving van werktijden als dat essentieel is voor de organisatie.
- De controle noodzakelijk is. Je moet kunnen aantonen dat het toezicht nodig is om je doel te bereiken. Toezicht “uit nieuwsgierigheid” is dus absoluut niet toegestaan.
- De controle proportioneel is. Dat betekent: niet verder gaan dan nodig. Een incidentele controle is bijvoorbeeld vaak wel toegestaan, maar permanente monitoring is dat niet.
- Er geen lichter alternatief is. Kun je het doel ook bereiken zonder inbreuk op de privacy? Dan moet je voor die lichtere optie kiezen.
- Je werknemers goed geïnformeerd zijn. Werknemers moeten vooraf weten dat er controle plaatsvindt, en wat er precies wordt gemeten.
Wat mag niet?
Je mag geen heimelijke controle uitvoeren.
Software installeren zonder dat medewerkers het weten, of ze zonder reden volgen via hun webcam of toetsenbordactiviteit, is een zware inbreuk op de privacy en in principe verboden.
Je mag geen permanente monitoring toepassen als dit niet strikt noodzakelijk is. Bijvoorbeeld: voortdurend screenshots maken van iemands werkplek, of elke muisbeweging meten.
Verzamelde gegevens mogen alleen gebruikt worden voor het vooraf bepaalde doel en moeten goed beveiligd worden.
Zo doe je het goed
Als je besluit toezicht in te zetten, moet je:
- Dit opnemen in je verwerkingsregister.
- Mogelijk een verwerkersovereenkomst sluiten met de softwareleverancier.
- Bij intensievere vormen van toezicht een Data Protection Impact Assessment (DPIA) uitvoeren.
- Je personeel goed en op tijd informeren.
Zorg er ook voor dat je beleid rondom thuiswerken en controle op orde is, en dat dit helder en eerlijk is richting je medewerkers.
Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Klantvragen beantwoordt hij vragen van onze klanten over privacy en de AVG./ –
Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
