Door prof. dr. Frank Hendrickx, Gewoon Hoogleraar KU Leuven. Deze bijdrage is een verkorte versie van het artikel “Controletechnieken en telewerk: benchmarking vanuit het recht op privacy” verschenen in het Arbeidsrecht Journaal, een online uitgave van het Instituut voor Arbeidsrecht. De uitgebreide versie kunt u hier lezen.

Telewerk leidt tot heel wat vragen. Nu de ervaringen met telewerk ook tijdens de pandemie toenemen en heel wat mensen zich zonder veel voorbereiding in het telewerk-verhaal storten, komen ook stilaan de juridische vragen scherper in beeld. Een reeks vragen betreft de mate waarin werkgevers hun telewerkend personeel kunnen controleren met elektronische of digitale technieken.

Controlevraagstuk

Tijdens de pandemie wordt (massaal) gebruik maakt van telewerk, al dan niet gedwongen door de omstandigheden. In dit verband is er vernieuwde aandacht voor elektronische of digitale controle van werknemers. Het privacy-perspectief is daarbij prominent aan de orde en niet in het minst de Algemene Verordening Gegevensbescherming (AVG).

Het digitale controlevraagstuk raakt heel wat voorbeelden. Het gaat om software die toelaat om, al dan niet permanent, inloggegevens van werknemers of data over ‘keylogging’ te verschaffen (vb. toetsaanslagen, muisklikken, …), die al dan niet op gezette tijdstippen schermopnames maken, of live views geven van werknemers, of meer klassiek, e-mail of internetgebruik te ‘tracken’. Ook is er de vraag of men van werknemers kan vragen dat men schermopnames maakt, de webcam aanzet, het scherm deelt, of via software de gepresteerde arbeidstijden registreert. Dit alles situeert zich in een context waarin, onder meer wegens telewerk, de dimensies tijd en plaats in de arbeidsrelatie steeds meer worden uitgedaagd.

De sociale partners in de Nationale Arbeidsraad hebben in het verleden een aantal relevante cao’s gesloten die belangrijke principes aangeven voor telewerk en privacy. Er zijn enerzijds de telewerk-cao’s (CAO nr. 85 inzake structureel telewerk en CAO nr. 149 inzake verplicht of aanbevolen coronatelewerk) en anderzijds de privacy-cao’s (CAO nr. 68 inzake camerabewaking[1] en CAO nr. 81 betreffende controle op onlinecommunicatiegegevens)[2].

CAO nr. 149 (corona-telewerk) erkent uitdrukkelijk het controlerecht van de werkgever op telewerk. Ingevolge artikel 9 § 1 CAO nr. 149 heeft de werkgever de mogelijkheid “om op gepaste en proportionele wijze controle uit te oefenen op de resultaten en/of de uitvoering van het werk.” In de commentaar bij artikel 9 valt te lezen dat dit controlerecht van de werkgever slaat op het nagaan “of de in het raam van telewerk uit te voeren werkzaamheden daadwerkelijk en correct werden verricht”. Uiteraard zal in vele gevallen CAO nr. 85 van toepassing zijn.

Toch geeft de privacynormering heel wat beperkingen aan.

Privacynormering

De privacynormering is in het arbeidsrecht steeds prominenter aanwezig. Uiteraard is ook de AVG een essentieel instrument voor de arbeidsverhoudingen. Om die toepassing te verduidelijken, bracht de Europese ‘Working Party (thans de European Data Protection Board, EDPB), een aantal adviezen uit. Zo nam de Working Party Advies 2/2017 aan over gegevensverwerking op het werk. Dit advies hield reeds rekening met de aankomende nieuwe bepalingen van de AVG[3].

Uiteraard functioneert de AVG binnen een ruimer geheel van normen omtrent privacy (op het werk). Zo is er de strafrechtelijke bescherming van het telecommunicatiegeheim (de wet van 13 juni 2005 betreffende de elektronische communicatie[4] en artikelen 259bisen 314bis Strafwetboek. Ook de privacy-cao’s van de Nationale Arbeidsraad (zie hoger) zullen relevant zijn.

Principes AVG

De AVG bevat heel wat bouwstenen en principes. Een aantal daarvan staan in de praktijk heel wat controletechnieken in de weg. We noemen er twee.

Er zal steeds een proportionaliteitstest nodig zijn omwille van het principe van ‘minimale gegevensverwerking’ (artikel 5, 1, c AVG) of ‘data minimalisatie’. Zo merkt de Working Party op dat het belangrijk is “om het risico van thuiswerk en telewerk evenredig en niet buitensporig aan te pakken, los van de optie die wordt aangeboden en de technologie die wordt voorgesteld, zeker wanneer de grens tussen zakelijk en privégebruik vervaagt”[5].

Een ander belangrijk principe in de AVG betreft doelbinding (‘purpose limitation’). Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (artikel 5, 1, b) AVG). Het is volgens de Europese Working Party (Advies 2/2017) helemaal niet zo evident om elektronische toegangscontrole of tijdsregistratie te hanteren voor doeleinden van evaluatie van de prestaties van een werknemer[6].

Redelijke privacy-verwachtingen

Ook het grondrecht op privacy (artikel 8 EVRM, artikel 22 Gw) evolueert. In het licht daarvan, wordt steeds meer belang gehecht aan de beoordeling van de ‘redelijke privacy-verwachtingen’. Op het belang van privacy-verwachtingen en de relevantie ervan in de arbeidsrelatie werd al eerder gewezen[7]. Sinds een aantal jaren maakt de rechtspraak toenemend gebruik van deze notie.

Een treffende illustratie is de zaak López Ribalda[8](2019) waarin het Europees Hof voor de Rechten van de Mens (EHRM) duidelijk maakte dat cameracontrole moet worden beoordeeld, rekening houdend met de redelijke privacy-verwachtingen van werknemers. De beslotenheid dan wel de toegankelijkheid van de arbeidsplaatsen, speelt mee.

Men kan zich de hoge privacy-verwachtingen zeer goed inbeelden van een werknemer die zich in een situatie van telewerk bevindt, in een ‘thuiskantoor’ of privéwoning.

Het Hof van Cassatie bevestigde het belang van de redelijke privacy-verwachtingen in een arrest van 9 september 2008, waar het ging over de beoordeling van een opname van een telefoongesprek zonder toestemming of medeweten van de gesprekspartner[9]. Inmiddels hernam het Hof van Cassatie die benadering in een arrest van 17 november 2015[10]. Ook in een arrest van 11 februari 2020 maakt het Hof van Cassatie[11] er opnieuw gebruik van om te wijzen op de privacy-verwachtingen van een “gesloten passagiersruimte van een personenvoertuig”.

Verplicht gebruik webcam?

Als men de privacy-principes toepast op de vraag of een werkgever het voor elk personeelslid kan verplichten om de webcam te gebruiken bij digitale vergaderingen of overleg (via Teams, Skype, etc.), komt men tot juridische beperkingen. De maatregel moet strikt noodzakelijk zijn voor het gerechtvaardigd doeleinde van de werkgever en de verwerking moet voldoen aan het evenredigheids- en subsidiariteitsbeginsel[12]. Hoewel het op het eerste gezicht evident lijkt dat een werkgever de vraag kan stellen vanuit zijn gezagsrecht, geeft de AVG dus grenzen aan. Van daaruit zal men voor elke situatie het doorslaggevende belang van een face-to-facevergadering moeten aantonen ten opzichte van een gewone audio-vergadering. Tevens moet worden opgemerkt dat het doeleinde van vergaderkwaliteit niet zonder meer kan vermengd worden met doeleinden van controle en/of evaluatie van het personeel. Dat volgt dan weer uit het doelbeginsel van de AVG. In de praktijk kan een vermenging snel gebeurd zijn, wat tevens een rem zal zetten op het onbeperkt hanteren van webcamgebruik.

Het is om die reden dat de Franse Gegevensbeschermingsautoriteit (‘CNIL’)[13]zich zeer beperkend en terughoudend opstelt tegenover een webcamverplichting in een arbeidscontext. Volgens de ‘CNIL’ kan een verplichting tot gebruik van de webcam enkel verantwoord worden in specifieke gevallen, zoals bijvoorbeeld bij een HR-gesprek, bij het introduceren van een nieuwe medewerker, of bij het contact met klanten[14]. Dit komt weliswaar over als een zeer restrictieve opvatting. Ook voor teamvergaderingen, mits voldoende en specifieke verantwoording, lijkt de noodzaak voor webcamgebruik niet steeds uitgesloten.

Buitenlandse richtsnoeren

Gelet op de privacynormering, hebben een aantal officiële autoriteiten die instaan voor de toepassing van de AVG zich reeds uitdrukkelijk uitgelaten over technologische controle op telewerk.

Uiteraard is er het Europese Working Party Advies 2/2017. Dat stelt bijvoorbeeld dat het verboden is om toetsaanslagen en muisbewegingen te registreren, het schermbeeld op te slaan (op willekeurige of regelmatige tijdstippen), of gebruikte applicaties te registreren (met inbegrip van hoe lang ze zijn gebruikt) en te vragen de webcam aan te zetten om zo beeldmateriaal te verzamelen[15].

Volgens de Franse CNIL[16] is toezicht op telewerk door middel van video of audio, het schermdelen of via keyloggers, helemaal niet mogelijk. Wat ook niet kan volgens de CNIL is de verplichting om elke paar minuten op een applicatie te klikken of om regelmatig schermfoto’s te maken[17]. De Portugese autoriteit ‘CNPD’ soms tevens een aantal verboden technologische applicaties op: het registeren van websites, het real-time volgen van de computer, het volgen van muis- en toetsenbord, het controleren van documenten waarin men werkt of het registreren van de tijd die men spendeert aan taken[18].

Conclusies

Kortom, uit het bovenstaande blijkt dat heel wat privacy-autoriteiten erg op de rem staan voor wat betreft het gebruik van controletechnieken in het kader van telewerk. Indien men de AVG toepast, zijn er inderdaad heel wat voorwaarden en beperkingen.

Het blijft evenwel een afweging. Ook de rechten van de werkgever moeten worden erkend. Er zijn niet alleen het gezagsrecht of het recht op nakoming van contractuele afspraken. Zoals reeds vermeld, erkent CAO nr. 149 het recht van de werkgever om na te gaan of het telewerk niet alleen “correct” maar ook “daadwerkelijk” wordt verricht (zie commentaar bij artikel 9 CAO nr. 149). Het zal echter steeds om een ‘noodzakelijke’ en ‘proportionele’ toepassing moeten gaan. Er dient ook een openheid te zijn om de arbeidstijden op één of andere manier te registreren, althans indien het gehanteerde systeem de toets kan doorstaan.

Een bijkomende bedenking dient te worden gemaakt omtrent de redelijke privacy-verwachtingen. Eerder merkten we op dat telewerk geen one-size-fits-all verhaal is.[19]Men zit met controle op telewerk nog vaak in een grijze zone. Terughoudendheid, maar ook overleg en transparantie over gebruikte technieken, lijken essentieel om dit tot een goed einde te brengen.

prof. dr. Frank Hendrickx, Gewoon Hoogleraar KU Leuven

[1]Algemeen verbindend verklaard bij KB 20 september 1998, BS 2 oktober 1998.

[2] Algemeen verbindend verklaard bij KB 12 juni 2002, BS 29 juni 2002.

[3] Het advies is beschikbaar in de verschillende talen van de Europese Unie: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169 .

[4]BS20 juni 2005; deze wet heft de bepalingen op die voorheen golden in verband met de bescherming van telecommunicatie en die voortvloeiden uit de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, zie wet 21 maart 1991, BS 27 maart 1991, 6155; art. 155 wet 13 juni 2005 betreffende de elektronische communicatie.

[5] Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 19.

[6] Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 22.

[7] F. Hendrickx, Privacy en arbeidsrecht, die Keure, Brugge 1999, p. 51-53.

[8] López Ribalda e.a. v. Spanje 17 oktober 2019 (Grote Kamer), nrs. 1874/13 en 8567/13.

[9] Cass. (tweede kamer) 9 september 2008, nr. P.08.0276.N, ECLI:BE:CASS:2008:ARR.20080909.2 (juportal.be).

[10] Cass. (tweede kamer) 17 november 2015, P.15.0880.N/1, ECLI:BE:CASS:2015:ARR.20151117.2 (juportal.be).

[11] Cass. (tweede kamer) 11 februari 2020, P.19.1028.N, ECLI:BE:CASS:2020:ARR.20200211.2N.1 (juportal.be).

[12] Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 27.

[13] CNIL: « Commission Nationale de l'Informatique et des Libertés ».

[14] https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail

[15] Advies 2/2017 van Groep Gegevensbescherming artikel 29 over gegevensverwerking op het werk, 19.

[16] https://www.cnil.fr/fr/teletravail-les-regles-et-les-bonnes-pratiques-suivre.

[17] https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail.

[18] Advies CNPD (Portugal) van 17 april 2020, Orientações sobre o controlo à distância em regime de teletrabalho, https://www.cnpd.pt/media/zkhkxlpx/orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf

[19] F. Hendrickx, “Waarom telewerk organiseren zo moeilijk is: leren omgaan met de autonome arbeidsrelatie”, Arbeidsrecht Journaal 2020 (www.arbeidsrechtjournaal.be).