Veel werkgevers denken eraan om monitoringsoftware in te zetten om werknemers tijdens werktijd te volgen. Dit kan bijvoorbeeld software zijn die computergebruik bijhoudt, GPS-tracking in bedrijfswagens, of apps die productiviteit meten.
Werkgevers mogen werknemers alleen monitoren als ze zich houden aan strikte regels uit de privacywetgeving. Ze moeten aantonen dat monitoring noodzakelijk is voor een gerechtvaardigd bedrijfsbelang.
De grenzen tussen bedrijfsbelangen en werknemersprivacy zijn niet altijd even scherp. Werknemers hebben recht op privacy, zelfs op de werkplek.
Tegelijkertijd willen werkgevers hun bedrijf beschermen. De Algemene Verordening Gegevensbescherming (AVG) stelt voorwaarden waar werkgevers aan moeten voldoen voordat ze monitoringsoftware mogen gebruiken.
Deze regels gaan over de juiste grondslagen voor monitoring en de plicht om werknemers te informeren. Ook kijken ze naar de toegestane vormen van controle en de risico’s die werkgevers moeten afwegen.
Wat is monitoringsoftware op het werk?
Monitoringsoftware op de werkplek bestaat uit digitale tools waarmee werkgevers activiteiten van werknemers volgen. Met deze software registreren ze bijvoorbeeld computergebruik of locatiegegevens.
Definitie en soorten monitoringtools
Monitoringsoftware is een verzamelnaam voor digitale programma’s die werkgevers inzetten om werknemersactiviteiten bij te houden. Ze verzamelen gegevens over hoe werknemers hun tijd besteden tijdens werkuren.
Er zijn verschillende soorten monitoringtools:
Computermonitoring:
-
Volgsoftware die toetsaanslagen registreert
-
Programma’s die schermactiviteit vastleggen
-
Software die e-mail en internetgebruik bijhoudt
-
Tools die in- en uitlogtijden tracken
Locatiemonitoring:
-
GPS-trackers in bedrijfswagens
-
Black box-systemen voor voertuigen
-
Apps die werknemerslocaties volgen
Gezondheids- en activiteitsmonitoring:
-
Smartwatches en andere wearables
-
Apps die fysieke activiteit meten
-
Software die werkpauzes registreert
Toepassingen van monitoringsoftware op de werkvloer
Werkgevers gebruiken monitoringtools voor verschillende doelen op de werkvloer. De meest voorkomende toepassingen zijn productiviteitsmeting en veiligheidscontrole.
Productiviteitsmonitoring laat werkgevers zien hoe werknemers hun tijd besteden. Denk aan tools die actieve werktijd meten of laten zien welke programma’s iemand gebruikt.
Veiligheid en compliance zijn ook belangrijk. Monitoringtools kunnen ongewoon gedrag opsporen dat kan wijzen op diefstal of fraude.
Bij remote werk gebruiken werkgevers deze software om thuiswerkende medewerkers te volgen. Ze registreren werktijden en checken of werknemers daadwerkelijk aan het werk zijn.
Kwaliteitscontrole is vooral relevant in klantenservice. Werkgevers nemen gesprekken op om trainingen te verbeteren en de kwaliteit te waarborgen.
Toepasselijke privacywetgeving en regelgeving
De AVG vormt de basis voor monitoring van werknemers in Nederland. Nationale regels vullen deze Europese wetgeving aan.
De Autoriteit Persoonsgegevens controleert of werkgevers zich aan de regels houden. Ze stellen strenge eisen aan het gebruik van monitoringsoftware.
De AVG en GDPR op de werkvloer
De Algemene Verordening Gegevensbescherming (AVG) legt duidelijke grenzen op aan het monitoren van werknemers. Werkgevers moeten zich houden aan artikel 6 van de AVG, dat een gerechtvaardige grondslag eist voor gegevensverwerking.
Belangrijkste AVG-vereisten:
-
Gerechtvaardigd belang aantonen
-
Proportionaliteit waarborgen
-
Transparantie naar werknemers
-
Minimale gegevensverwerking
Het gerechtvaardigd belang moet zwaarder wegen dan de privacy-inbreuk. Werkgevers moeten uitleggen waarom monitoring nodig is voor de bedrijfsvoering, veiligheid of andere legitieme belangen.
De GDPR geldt direct in de hele EU. Nederland heeft deze regels opgenomen in de nationale privacywetgeving.
Werkgevers moeten altijd een belangenafweging maken tussen hun bedrijfsbelang en de privacy van werknemers. Werknemers houden hun privacyrechten op de werkvloer.
Werkgevers mogen dus niet zomaar e-mail, internetgebruik of werkactiviteiten controleren zonder duidelijke reden.
Belangrijke bepalingen in nationale wetgeving
Nederlandse wetgeving vult de AVG aan met regels voor werknemersmonitoring. De Uitvoeringswet AVG geeft meer details over de Europese bepalingen.
Kerneisen voor werkgevers:
-
ICT- en internetreglement opstellen
-
Werknemers vooraf informeren over monitoring
-
Doel en omvang van controle vastleggen
-
Proportionaliteitsbeginsel toepassen
In het ICT- en internetreglement moet duidelijk staan wat wel en niet mag worden gecontroleerd. Werkgevers moeten deze regels schriftelijk vastleggen en delen met hun werknemers.
Verboden vormen van controle:
-
Permanent monitoren zonder reden
-
Tracking van privé-activiteiten
-
Ongerechtvaardigde camerabewaking
-
Verborgen monitoring zonder melding
Ook tijdens werktijd hebben werknemers recht op privacy. Controle mag alleen als er een noodzakelijk en gerechtvaardigd belang is.
Rolverdeling: Autoriteit Persoonsgegevens, FG en toezichthouders
De Autoriteit Persoonsgegevens (AP) houdt toezicht op privacyregels op de werkvloer. Ze kunnen sancties opleggen bij overtredingen.
Taken van de AP:
-
Toezicht op AVG-naleving
-
Onderzoek naar klachten werknemers
-
Boetes uitdelen bij overtredingen
-
Voorlichting over privacyregels
De AP stelt dat werkgevers alleen mogen monitoren als er een grondslag is in de privacywet. Ze beoordelen of de monitoring proportioneel en noodzakelijk is.
Een Functionaris Gegevensbescherming (FG) adviseert bedrijven intern over privacykwesties. Grote organisaties moeten verplicht een FG aanstellen die let op juiste gegevensverwerking.
Werknemers kunnen bij de AP klagen als ze vinden dat hun privacy wordt geschonden. De AP onderzoekt deze meldingen en grijpt in bij onrechtmatige monitoring.
Rechten en plichten van werkgevers en werknemers
Werknemers hebben recht op privacy op het werk. Werkgevers mogen onder voorwaarden monitoren, maar moeten zorgvuldig omgaan met de balans tussen bedrijfsbelangen en privacyrechten.
Rechten op privacy op het werk
Werknemers houden hun recht op privacy tijdens werktijd. Dit geldt op de werkvloer én daarbuiten.
Belangrijkste privacyrechten:
-
Bescherming tegen onbeperkte controle
-
Recht op vertrouwelijke communicatie
-
Mogelijkheid tot privégebruik van internet tijdens werk
-
Informatie over welke monitoring plaatsvindt
Werkgevers mogen privégebruik van internet niet helemaal verbieden. Werknemers moeten privézaken kunnen regelen op het werk.
E-mails die duidelijk privé zijn, mogen werkgevers niet lezen. Dat valt onder het recht op vertrouwelijke communicatie.
Beperkingen van privacyrechten:
-
Monitoring mag bij legitiem bedrijfsbelang
-
Controle moet noodzakelijk en proportioneel zijn
-
Werknemers moeten vooraf geïnformeerd worden
Plichten van de werkgever bij monitoring
Werkgevers hebben strikte verplichtingen als ze werknemers willen monitoren. Die verplichtingen komen voort uit de Algemene Verordening Gegevensbescherming (AVG).
Essentiële voorwaarden voor monitoring:
| Vereiste | Beschrijving |
|---|---|
| Grondslag | Legitiem belang dat zwaarder weegt dan privacy |
| Noodzaak | Geen minder ingrijpende alternatieven beschikbaar |
| Proportionaliteit | Monitoring past bij het doel |
Een Data Protection Impact Assessment (DPIA) is verplicht als er grootschalige monitoring plaatsvindt. Denk aan systemen zoals e-mailcontrole, GPS-trackers, of uitgebreid cameratoezicht.
Heeft de organisatie een ondernemingsraad? Dan moet die vooraf instemmen met het gebruik van monitoringsystemen.
Extra eisen bij heimelijke controle:
- Alleen toegestaan bij verdenking van ernstige overtredingen
- Aanvullende voorwaarden uit privacywetgeving gelden
- Raadpleging vooraf bij hoge privacyrisico’s
Transparantie en informeren van werknemers
Werkgevers moeten hun werknemers volledig informeren over monitoring. Transparantie is echt een basisvoorwaarde volgens de privacywet.
Informatieverplichtingen:
- Welke controle mogelijk is
- Waarom en wanneer monitoring gebeurt
- Welke gegevens verzameld worden
- Hoe lang gegevens bewaard blijven
Werkgevers leggen deze informatie vast in interne richtlijnen, zoals gedragsregels of monitoringprotocollen.
Werknemers hebben het recht te weten wat wel en niet mag op het werk. Duidelijke regels voorkomen misverstanden en gedoe over wat toegestaan is.
Communicatiemethoden:
- Personeelshandboeken
- Interne protocollen
- Werkplekrichtlijnen
- Individuele info bij aanstelling
De informatie moet begrijpelijk en makkelijk toegankelijk zijn. Werkgevers mogen niet zomaar nieuwe monitoring invoeren zonder hun mensen hierover te informeren.
Grondslagen en gerechtvaardigd belang voor monitoring
Werkgevers moeten een juridische basis hebben voordat ze werknemers mogen monitoren. Gerechtvaardigd belang is meestal de belangrijkste grondslag, maar dat vraagt om een zorgvuldige afweging tussen bedrijfsbelangen en privacy.
Juridische grondslagen: arbeidsovereenkomst en wettelijke verplichtingen
De AVG vereist dat werkgevers een geldige grondslag hebben voor het verzamelen van persoonsgegevens. Bij werknemersmonitoring zijn er eigenlijk drie belangrijke grondslagen.
De arbeidsovereenkomst vormt vaak de basis voor monitoring. Bijvoorbeeld als toezicht nodig is om het contract uit te voeren.
Voorbeelden zijn:
- Tijdregistratie voor loonberekening
- Toegangscontrole tot werkplekken
- Kwaliteitscontrole van werkprestaties
Wettelijke verplichtingen kunnen monitoring soms ook rechtvaardigen. Werkgevers moeten soms voldoen aan:
- Arbo-wetgeving voor veiligheid
- Financiële toezichtswetten
- Sectorspecifieke regels
Toestemming van werknemers lijkt logisch, maar dat ligt lastig. Door de machtsverhouding durven werknemers vaak geen nee te zeggen. De privacyautoriteit raadt toestemming daarom af als grondslag voor monitoring.
Gerechtvaardigd belang en belangenafweging
Gerechtvaardigd belang is de meest gebruikte grondslag voor werknemersmonitoring. Werkgevers moeten daarvoor een drieledige toets uitvoeren.
Stap 1: Legitiem belang aantonen
Werkgevers moeten een concreet bedrijfsbelang hebben.
| Belang | Voorbeelden |
|---|---|
| Veiligheid | Cameratoezicht, toegangscontrole |
| Bedrijfsmiddelen | Internetgebruik, e-mailmonitoring |
| Productiviteit | Werktijdregistratie, prestatiecontrole |
Stap 2: Noodzakelijkheid bewijzen
Het doel moet niet op een minder ingrijpende manier haalbaar zijn. Werkgevers moeten laten zien dat alternatieven echt niet werken.
Stap 3: Belangenafweging maken
Het bedrijfsbelang moet zwaarder wegen dan de privacy-inbreuk. Factoren die meespelen zijn:
- Ernst van het bedrijfsrisico
- Gevoeligheid van verzamelde gegevens
- Impact op werknemers
- Beschikbare alternatieven
Monitoring moet proportioneel zijn. Uitgebreide controle bij kleine risico’s is gewoon niet toegestaan.
Toegestane en verboden vormen van monitoring
Werkgevers mogen bepaalde vormen van monitoring gebruiken, maar alleen als ze zich aan strikte regels houden. Camera’s, e-mailcontrole en monitoring bij thuiswerken hebben allemaal hun eigen spelregels.
Cameratoezicht en restricties
Cameratoezicht op de werkplek mag voor specifieke doelen. Werkgevers mogen camera’s inzetten om diefstal te voorkomen of veiligheid te waarborgen.
Camera’s mogen niet gericht zijn op plekken waar werknemers privacy verwachten. Dus geen camera’s in:
- Toiletten
- Kleedkamers
- Pauzeruimtes
- Privékantoren
Heimelijke camera’s zijn verboden, behalve bij een concreet vermoeden van diefstal of fraude. Zelfs dan moet de werkgever eerst andere oplossingen proberen.
Werknemers moeten van tevoren weten waar camera’s hangen. Werkgevers moeten dit duidelijk maken met borden of stickers.
Alleen bevoegde mensen mogen de opnames bekijken. Beelden moeten binnen een redelijke tijd verwijderd worden, meestal binnen vier weken.
Bij grootschalig cameratoezicht voert de werkgever een DPIA uit. Zo’n onderzoek brengt privacyrisico’s en beschermmaatregelen in kaart.
Het controleren van e-mail en digitaal gedrag
E-mailcontrole mag, maar er zijn strikte grenzen. Werkgevers mogen alleen zakelijke e-mails controleren die via bedrijfssystemen lopen.
Privé-e-mails zijn verboden terrein. Werkgevers mogen geen berichten lezen die duidelijk persoonlijk zijn. Dit geldt ook voor privéberichten via sociale media tijdens werktijd.
Internetgebruik controleren mag alleen voor zakelijke doeleinden. Werkgevers kunnen bijvoorbeeld kijken naar:
- Welke websites werknemers bezoeken
- Hoeveel tijd ze besteden aan niet-werkgerelateerde sites
- Downloads en uploads
Toetsaanslagen registreren is echt een vergaande vorm van monitoring. Dat mag alleen als er een concreet vermoeden van misbruik is, en er moeten stevige waarborgen zijn.
Werknemers hebben recht op vertrouwelijke communicatie. Privégesprekken en berichten blijven beschermd, ook op het werk.
Software die alles vastlegt wat werknemers doen? Daar is een gegronde reden voor nodig. Alleen algemene productiviteitscontrole is meestal niet voldoende.
Monitoring bij thuiswerken en hybride werken
Thuiswerken vraagt om extra privacybescherming. De woning van werknemers valt onder strengere privacyregels dan het kantoor.
Werkgevers mogen niet continu meekijken met thuiswerkende werknemers. Permanente camera- of schermmonitoring is thuis echt verboden.
Wat mag dan wel bij thuiswerken? Bijvoorbeeld:
- Tijdregistratie via apps of systemen
- Resultaatgerichte monitoring van geleverd werk
- Inlog- en uitlogtijden van bedrijfssystemen
GPS-tracking van werknemers thuis is streng verboden. Dat geldt ook voor locatietracking via bedrijfstelefoons buiten werktijd.
Video-calls voor vergaderingen zijn toegestaan. Maar werkgevers mogen niet eisen dat de camera altijd aan staat tijdens het werk.
Hybride werkvormen vragen om duidelijke afspraken. Werkgevers moeten verschillende regels maken voor kantoor- en thuiswerkdagen.
De OR-instemming is verplicht bij nieuwe monitoringsystemen voor thuiswerkers. Dit geldt ook als bestaande controlemethodes worden aangepast.
Verwerkingsverplichtingen en risicobeheersing
Werkgevers moeten een DPIA uitvoeren bij grootschalige monitoring van werknemers. Ze zijn ook verplicht om persoonsgegevens goed te beveiligen en niet langer te bewaren dan nodig.
Wanneer is een Data Protection Impact Assessment (DPIA) verplicht?
Een DPIA is verplicht bij grootschalige verwerkingen en stelselmatige monitoring van werknemers. Dit geldt voor verschillende monitoringssystemen.
Voorbeelden van DPIA-plichtige monitoring:
- Controle van e-mail en internetgebruik
- GPS-trackers in bedrijfswagens
- Cameratoezicht tegen diefstal en fraude
- Volgsoftware die alle computeractiviteiten registreert
De werkgever brengt bij een DPIA alle privacyrisico’s in kaart. Daarna neemt hij maatregelen om deze risico’s te verkleinen.
Heeft het bedrijf een functionaris gegevensbescherming? Dan moet deze persoon advies geven over de DPIA.
Bij hoge risico’s die niet weggenomen kunnen worden, is voorafgaande raadpleging bij de Autoriteit Persoonsgegevens verplicht. De werkgever mag dan pas starten na goedkeuring.
Beveiliging van persoonsgegevens en bewaartermijnen
Werkgevers moeten monitoringgegevens goed beveiligen tegen onbevoegde toegang. Ze mogen gegevens niet langer bewaren dan nodig is voor het doel.
Beveiligingsmaatregelen zijn onder andere:
- Toegangsbeperking tot monitoringgegevens
- Versleuteling van gevoelige informatie
- Regelmatige back-ups en updates
- Logging van wie toegang heeft gehad
De bewaartermijn hangt af van het doel van de monitoring. Voor controle op productiviteit zijn kortere termijnen normaal dan bij onderzoek naar fraude.
Gegevens moeten relevant en proportioneel blijven. Werkgevers mogen niet meer verzamelen dan nodig is.
Bij beëindiging van de arbeidsrelatie worden monitoringgegevens meestal binnen een paar maanden gewist, tenzij er juridische redenen zijn om ze langer te bewaren.
Frequently Asked Questions
Werkgevers moeten zich aan strikte regels houden als ze werknemers willen monitoren. De AVG stelt duidelijke eisen aan het gebruik van monitoringsoftware en geeft werknemers specifieke rechten.
Wat zijn de wettelijke eisen voor het gebruik van monitoringssoftware door werkgevers?
Werkgevers moeten een geldige grondslag hebben voor monitoring. Vaak kiezen ze voor het ‘gerechtvaardigd belang’.
De monitoring moet echt noodzakelijk zijn. Je kunt het doel niet op een minder ingrijpende manier bereiken? Dan pas mag het.
Voert een werkgever grootschalige monitoring uit? Dan moet hij een DPIA uitvoeren.
Heeft de organisatie een ondernemingsraad? Dan is voorafgaande instemming verplicht.
Hoe kan een werknemer zijn privacyrechten beschermen tegen monitoring op de werkplek?
Werknemers hebben recht op informatie over monitoring. Ze mogen weten wat er gecontroleerd wordt en waarom.
Het recht op vertrouwelijke communicatie blijft gewoon gelden. Werkgevers mogen geen privé-e-mails lezen die duidelijk persoonlijk zijn.
Werknemers kunnen bezwaar maken bij onrechtmatige monitoring. Ze hebben altijd inzagerecht in hun eigen gegevens.
Welke gegevens mag een werkgever verzamelen via monitoringssoftware volgens de GDPR?
Werkgevers mogen alleen gegevens verzamelen die echt nodig zijn voor het doel. Overtollige gegevens verzamelen? Dat mag dus niet.
Ze kunnen computeractiviteiten zoals in- en uitloggen registreren. Ook e-mail- en internetgebruik valt hieronder.
GPS-trackers in bedrijfswagens zijn toegestaan voor zakelijke ritten. Werkgevers mogen privéritten niet systematisch volgen.
Gezondheidsgegevens via wearables vereisen extra bescherming. Dat zijn namelijk bijzondere persoonsgegevens.
Wat zijn de gevolgen voor werkgevers die de privacyregels omtrent monitoringssoftware overtreden?
De Autoriteit Persoonsgegevens kan boetes uitdelen. Die boetes kunnen oplopen tot 4% van de jaaromzet.
Werknemers kunnen schadevergoeding eisen bij onrechtmatige monitoring. Immateriële schade telt ook mee.
De AP kan een dwangbevel opleggen en monitoring stilleggen. Vooral bij ernstige overtredingen gebeurt dat.
Hoe moet een werkgever medewerkers informeren over het gebruik van monitoringssoftware?
Werkgevers moeten duidelijke richtlijnen maken. Denk aan gedragsregels of protocollen.
De informatie moet concreet zijn. Werknemers willen weten wat wel en niet mag.
Ook de reden voor monitoring moet helder zijn. Het doel en de manier van controleren moeten duidelijk worden uitgelegd.
Welke stappen moeten genomen worden voordat een werkgever monitoringssoftware introduceert?
Voer eerst een DPIA uit als je grootschalige monitoring overweegt. Zo krijg je inzicht in de privacyrisico’s.
De ondernemingsraad moet instemmen als dat verplicht is. Dit geldt alleen voor organisaties met een OR.
Informeer werknemers vooraf met duidelijke richtlijnen. Ze verdienen het om te weten wat hen te wachten staat.
Zie je hoge risico’s? Dan moet je de AP vooraf raadplegen. Zo voorkom je gedoe achteraf.
