Mag de werkgever de productiviteit van thuiswerkende werknemers monitoren?

1 juni 2021

Binnen onze organisatie zet de bestuurder personeelvolgsystemen in om de productiviteit van de thuiswerkende werknemers te monitoren. Onze achterban is hier niet zo blij mee. Kunnen we hier als ondernemingsraad (OR) stappen tegen ondernemen?

Werkgevers mogen deze zogenaamde personeelvolgsystemen niet zomaar inzetten. Daarvoor gelden niet alleen strikte wettelijke voorschriften; uw OR moet instemmen met het voornemen van de bestuurder om zulke ingrijpende middelen in te zetten.

Monitoren en persoonsgegevens

Uw OR heeft instemmingsrecht bij regelingen voor voorzieningen die gericht zijn op – of geschikt zijn voor – waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen. Dit is vastgelegd in artikel 27, lid 1l van de Wet op de ondernemingsraden (WOR).

Bovendien verwerkt een werkgever persoonsgegevens van werknemers als hij zulke systemen optuigt en gebruikt. Ook daarvoor moet uw bestuurder een instemmingsaanvraag indienen bij uw OR (artikel 27, lid 1k WOR). 

Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens (AP) onderstreept de rol van ondernemingsraden bij de bewaking en bescherming bewaken van de privacy van werknemers. De AP heeft daarom de handreiking ‘Het OR-privacyboekje’ gepubliceerd en aangeboden aan de Sociaal-Economische Raad.

Rechtmatig, behoorlijk en transparant 

Ontvangt uw OR een instemmingsaanvraag voor de invoering van een personeelvolgsysteem, bekijk deze plannen dan kritisch. Zo’n systeem heeft immers ingrijpende gevolgen voor uw achterban.

Allereerst is het van belang dat de verwerking van de gegevens rechtmatig, behoorlijk en transparant is voor de betrokkenen. Anders gezegd: heeft uw bestuurder een goede reden om deze gegevens te verzamelen? 

Doel vastleggen

Het doel dat uw bestuurder heeft, moet hij schriftelijk vastleggen én helder communiceren aan de werknemers. Hij mag ook niet meer gegevens verwerken dan strikt noodzakelijk is voor het beoogde doel. Stel uw bestuurder daarom de volgende vragen:

  • Maakt hij voldoende gebruik van de mogelijkheden om persoonsgegevens te anonimiseren?
  • Moet hij de gegevens op individueel niveau verzamelen of kan hij volstaan met gegevens op het afdelings- of organisatieniveau?
  • Moet hij van alle werknemers gegevens vastleggen of volstaat het verzamelen van informatie over werknemers in bepaalde functies of op bepaalde plaatsen?
  • Is het voortdurend vastleggen van gegevens écht nodig of volstaat een steekproef?

DPIA

Uw bestuurder moet er ook voor zorgen dat de verwerkte persoonsgegevens goed beveiligd en beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en opzettelijk verlies, vernietiging of beschadiging. Om het noodzakelijke niveau van beveiliging te bepalen, moet uw bestuurder vooraf de privacyrisico’s van de gegevensverwerking in kaart brengen.

Dit zogenoemde data protection impact assessment (DPIA) (tool) is wettelijk verplicht volgens de AVG als de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. Dit is bij een personeelvolgsysteem het geval. Om te achterhalen of uw bestuurder de risico’s voldoende in beeld heeft (en houdt), kunt u de volgende vragen stellen:

  • Wat doet de werkgever om de risico’s tijdig in beeld te krijgen?
  • Beoordeelt hij de risico’s periodiek opnieuw?
  • Is er een procedure vastgesteld om te testen of de beveiligingsmaatregelen (nog steeds) effectief zijn?

Rol functionaris gegevensbescherming (FG)

Uw bestuurder is ook verplicht om de functionaris gegevensbescherming (FG) (V&A) tijdig te betrekken bij zijn plannen. De FG houdt toezicht op de toepassing en naleving van de AVG en voorziet uw bestuurder advies en inzicht. 

De inzichten en het advies van de FG zijn natuurlijk niet alleen waardevol voor uw bestuurder, maar ook voor uw OR! Ga dus in gesprek met de FG en doe navraag over de risico’s, de opties om deze risico’s te minimaliseren en de alternatieven om het beoogde doel te realiseren. Benut eventueel uw initiatiefrecht (artikel 23, lid 3 WOR).