Werknemers digitaal monitoren op de werkvloer: hoe zit het met de privacy?

Slimme camera’s die checken of de pizzabakker de juiste toppings op de pizza heeft gedaan, videosollicitaties die worden beoordeeld aan de hand van software die taalgebruik en gezichtsuitdrukkingen koppelt aan scores en applicaties die e-mails van werknemers scannen, dit zijn slechts enkele voorbeelden van technologieën die persoonsgegevens van werknemers meten. Vervolgens maken werkgevers gebruik van deze persoonsgegevens om kosten te verminderen, hun personeelsbeleid te verbeteren, beslissingen te nemen over het aannemen van personeel, of simpelweg om een beter inzicht te krijgen in de werkprestaties. Welke wetten komen hierbij om de hoek kijken?

Wetten waarmee rekening gehouden moet worden

Het digitaal monitoren van werknemers is een gevoelig onderwerp. Werkgevers willen weten hoe er gewerkt wordt, werknemers willen hun privacy behouden. De kunst is om die belangen goed tegen elkaar af te wegen – en daar komt flink wat regelgeving bij kijken.

 

Privacy is namelijk niet zomaar iets; het is een fundamenteel recht. Dat staat onder meer in artikel 10 van de Grondwet, artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en artikel 7 van het EU-Handvest. Omdat privacy zo’n belangrijk recht is, speelt het zelfs indirect mee in de arbeidsrelatie. Volgens de wet moet een werkgever zich namelijk gedragen als ‘goed werkgever’ – en daar hoort zorgvuldig omgaan met privacy gewoon bij.

Dat betekent niet dat monitoring per definitie verboden is. Soms hoort het simpelweg bij het werk dat iemand doet, en mag je als werkgever duidelijke instructies geven. Monitoring kan dan worden gezien als een praktische werkafspraak, of als een manier om structuur in het bedrijf te houden. Maar – en dat is cruciaal – die monitoring mag nooit zomaar ten koste gaan van de privacy van medewerkers.

 

Er zijn daarnaast regels waar elke werkgever zich aan moet houden. Denk aan de AVG (privacywetgeving), de UAVG (de Nederlandse uitwerking daarvan), de AI Act (specifiek voor systemen die met algoritmes werken) en – bij grotere bedrijven – de WOR, die voorschrijft dat de ondernemingsraad ook mag meepraten.

Digitale monitoringsystemen

Op de werkvloer wordt doorgaans onderscheid gemaakt tussen twee typen monitoringssystemen die persoonsgegevens verwerken: personeelvolgsystemen en algoritmische managementsystemen. Beide maken gebruik van slimme, zelflerende algoritmen – technologie die leert van eerdere situaties om beter te reageren op nieuwe.

 

Personeelvolgsystemen richten zich vooral op het in de gaten houden van aanwezigheid, gedrag en prestaties. Zo kunnen sensoren in bureaustoelen bijvoorbeeld registreren of iemand daadwerkelijk op z’n plek zit. Deze technologie helpt bedrijven om gegevens vast te leggen over waar werknemers zijn, hoe lang ze werken en wat ze precies doen – en kan zelfs automatisch beslissingen ondersteunen op basis van die informatie.

 

Algoritmische managementsystemen gaan nog een stap verder. Zij nemen volledige beslissingen over het werk en de beoordeling van werknemers, zonder menselijke tussenkomst. Denk aan de Uber-app, die precies bepaalt welke ritten chauffeurs krijgen, hoeveel ze verdienen en of ze überhaupt nog welkom zijn op het platform. Een lage klantbeoordeling? Dan loop je kans om buitenspel gezet te worden.

Conclusie

Digitale monitoring op de werkvloer – via personeelvolgsystemen of algoritmisch management – raakt aan het gevoelige onderwerp privacy. Door de inzet van zelflerende algoritmen en het verwerken van zowel gewone als bijzondere persoonsgegevens, geldt een complex samenspel van nationale en Europese regels. Werkgevers moeten zich daarbij gedragen als goed werkgever, met oog voor proportionaliteit, subsidiariteit en transparantie. Cruciaal is dat werknemers vooraf worden geïnformeerd, dat er een duidelijke juridische grondslag is en dat de belangen zorgvuldig worden afgewogen. 

 

Gebruikte bronnen: Rapport op verzoek van SZW: werken op waarde geschat 2020, N. van Boom, Privacy in Perspectief: De Digitale Dans van de Werkgever en de Werknemer in het licht van Monitoring op de Werkvloer, (masterscriptie Universiteit van Utrecht, 2024).

 

 

Privacy onder druk
 

Persoonsgegevens alleen verzamelen met een goede reden

Een goede werkgever houdt ook rekening met het privacyrecht van zijn werknemers. Maar hoe weet je of die privacy wordt geschonden? De eerste stap is vaststellen of er écht sprake is van een inbreuk. Uit dit onderzoek blijkt dat personeelvolgsystemen en algoritmisch management systemen in veel gevallen inderdaad leiden tot digitale monitoring die wél degelijk inbreuk maakt op de privacy van werknemers. De vraag is dan: mag dat? Oftewel – is de inbreuk te rechtvaardigen? Daarvoor bestaan er drie belangrijke voorwaarden. Monitoring moet gebaseerd zijn op een wettelijke grondslag, een doel dienen dat onder artikel 8 lid 2 EVRM valt (zoals veiligheid of het voorkomen van fraude),

én noodzakelijk zijn in een democratische samenleving. Voldoet de monitoring niet aan al deze drie punten? Dan is het simpelweg niet toegestaan.

Wie als werkgever personeel wil monitoren, moet zich houden aan de regels omtrent het verwerken van persoonsgegevens. 

 

Wil je aan de slag met personeelvolgsystemen of algoritmisch management? Dan moet je eerst de basis op orde hebben. Dat betekent dat je de kernprincipes van de AVG moet naleven én dat je een paar belangrijke partijen betrekt voordat je van start gaat. De ondernemingsraad heeft recht op advies en instemming, en ook de Autoriteit Persoonsgegevens moet in sommige gevallen worden geraadpleegd. Zodra de systemen operationeel zijn, moet je bovendien je werknemers informeren en betrekken. 

 

Deze systemen kunnen behoorlijk veel informatie verzamelen – van gewone persoonsgegevens tot bijzondere persoonsgegevens. Verzamel je gewone persoonsgegevens? Dan heb je een geldige verwerkingsgrondslag nodig. In dit geval zijn vooral twee opties relevant: óf de werknemer geeft vrijwillig toestemming, óf jij als werkgever hebt een gerechtvaardigd belang dat zwaarder weegt. Bijzondere persoonsgegevens zoals gegevens over gezondheid en gedrag liggen nóg gevoeliger. Die mag je in principe helemaal niet verwerken, tenzij er een duidelijke uitzondering geldt. Bijvoorbeeld als een werknemer uitdrukkelijk toestemming geeft, of als de gegevens al publiekelijk toegankelijk zijn gemaakt.

 

Persoonsgegevens verzamelen vraagt dus om extra zorgvuldigheid. Het mag alleen als je daar een legitiem doel voor hebt, zoals het beoordelen of verbeteren van prestaties. Vervolgens moet je toetsen of het middel wel in verhouding staat tot het doel. Anders gezegd: is monitoring echt de beste (en minst ingrijpende) manier om dat doel te bereiken? 

Slimme algoritmes of scheve uitkomsten
 

Wat het allemaal nóg ingewikkelder maakt, is dat personeelvolgsystemen en algoritmisch managemnet systemen vaak draaien op zelflerende algoritmen. Die kunnen in theorie objectief oordelen, maar in de praktijk sluipen er makkelijk vooroordelen in. Zo trekken ze soms conclusies die bevooroordeeld of niet transparant zijn.

 

Om die reden ziet de Europese wetgever deze technologie als risicovol. De AI Act – een wet die speciaal is gemaakt voor dit soort systemen – classificeert personeelvolgsystemen en algoritmisch management systemen als ‘hoog risico’. Dat betekent dat er strenge regels gelden. Opvallend is dat de meeste regels vooral gericht zijn op de makers van de software, en minder op de werkgevers die het gebruiken. Voor hen is de belangrijkste verplichting: volg nauwkeurig de gebruikersinstructies. 

We hebben je toestemming nodig om de vertalingen te laden

Om de inhoud van de website te vertalen gebruiken we een externe dienstverlener, die mogelijk gegevens over je activiteiten verzamelt. Lees het privacybeleid van de dienst en accepteer dit, om de vertalingen te bekijken.