Een werkgever wil zijn werknemers gezonder laten leven en deelt daarom wearables (zoals een stappenteller) uit om samen bewuster te worden van de bewegingspatronen. Deze gegevens mag hij echter niet verwerken op grond van de nieuwe Europese privacywet: de Algemene verordening gegevensbescherming (AVG). De gegevens die de wearable verzamelt, geven inzicht in de hartslagstatistiek, het aantal gezette stappen en dus het bewegingspatroon van de werknemer. Deze gegevens geven de werkgever zo een inzage in de gezondheidstoestand van de werknemer en worden als gezondheidsgegevens beschermd door artikel 9 van de nieuwe Europese privacywet.

Werkgever mag gegevens uit de wearable niet verwerken

Een werkgever kan alleen via een beperkt aantal uitzonderingen en onder strikte voorwaarden gezondheidsgegevens van zijn werknemers verwerken. De verwerking van de gegevens uit de wearable valt niet onder één van deze uitzonderingen en is dus niet toegestaan. Ook met toestemming van de werknemers mag de werkgever de gezondheidsgegevens uit de wearable niet verwerken. Het is namelijk wettelijk vereist dat deze toestemming door de werknemer vrijelijk moet worden gegeven.

Risico op hoge boete als werkgever de gegevens toch verwerkt

Er wordt aangenomen dat deze vrije toestemming niet bestaat in de relatie tussen een werkgever en werknemer. De werknemer is dusdanig afhankelijk van zijn werkgever dat hij zich onder druk gezet kan voelen om de toestemming te geven. Hierdoor is hij niet volledig vrij in zijn keuze. De werkgever kan zich dan ook niet beroepen op deze uitzondering. Verwerkt de werkgever de gegevens toch, dan loopt hij het risico dat de Autoriteit Persoonsgegevens hem een hoge boete oplegt.

Petra Greuter is advocaat bij Lexence Advaten, e-mail: p.greuter@lexence.com