De positie van het privacyrecht en corona
20 maart 2020‘’Nood breekt wet!’’ Een spreekwoord dat nu meer dan ooit van toepassing is. Maar als het aan de Autoriteit Persoonsgegevens (AP) ligt gaat deze vlieger niet op. Onlangs heeft de AP aangegeven strikt vast te houden aan de bepalingen van de Algemene Verordening Gegevensbescherming (AVG). Voor werkgevers kan dit lastige situaties opleveren; kunt u een zieke werknemer vragen of hij besmet is met corona? En mag u dat eventueel registreren?
Update: 31 maart
De Autoriteit Persoonsgegevens heeft op haar website een pagina toegevoegd met alle informatie omtrent het coronavirus op één plek. Op deze pagina geeft de AP onder andere een extra toelichting over corona en de privacyregels op de werkvloer en is te lezen dat de AP strikt vasthoudt aan de ‘normale’ regels op het gebied van privacy. Er wordt expliciet gemeld dat u ook in deze crisistijd geen vragen mag stellen over de gezondheid van uw werknemer en indien zij dit zelf vertellen, mag u deze gegevens niet registeren. De AP acht het wel toelaatbaar dat u, wanneer een werknemer symptomen van het virus vertoont, werknemers naar huis stuurt.
Gezondheidsgegevens en het strikte regime van bijzondere persoonsgegevens
De AVG is duidelijk: gezondheidsgegevens van werknemers zijn bijzondere gegevens en worden extra beschermd. De werkgever mag alleen in uitzonderlijke gevallen medische gegevens van werknemers registreren. Hij mag in relatie tot de gezondheid van werknemers alleen registreren wat strikt noodzakelijk is: bijvoorbeeld informatie om te beoordelen of het loon moet worden doorbetaald, hoe lang de werknemer verwacht thuis te blijven en of hij in staat is vanuit huis te werken. De vraag of iemand besmet is met corona wordt door de AP niet als strikt noodzakelijke informatie gekwalificeerd. De verwerking en vastlegging van deze informatie is exclusief voorbehouden aan de bedrijfsarts. Maar de werkgever staat niet compleet met lege handen.
Mogelijkheden werkgever
De AVG is alleen van toepassing op verwerking van persoonsgegevens (gegevens die direct of indirect herleidbaar te zijn tot een persoon). De werkgever mag niet vragen naar de gezondheidstoestand van een werknemer. Vertelt een werknemer dit uit zichzelf dan mag de werkgever dit niet registeren. Normaal gesproken moet de bedrijfsarts worden ingeschakeld om dieper op een ziekte in te kunnen gaan.
Maar nu ligt alles echt even anders. Voor een werkgever is het nu goed verdedigbaar om bij ziekte aan de werknemer te vragen naar eventuele symptomen van corona en als er sprake is van symptomen of een diagnose om dit te registreren. Ook vragen om vast te stellen of de werknemer mogelijk blootgesteld is aan het virus (gezondheid van gezinsleden, verblijf in het buitenland of Zuid-Nederland e.d.) mogen worden gesteld. De werkgever heeft namelijk ook naar zijn andere werknemers toe de verplichting maatregelen te treffen om de gezondheid van alle werknemers te beschermen. Daar horen in deze uitzonderlijke tijden ook maatregelen bij om de kans op infectie weg te nemen of te verkleinen. Alleen als de werkgever weet dat een werknemer mogelijk geïnfecteerd is of op andere wijze een risico vormt, kunnen tijdig maatregelen worden getroffen.
Indien u hiertoe besluit zult u in gedachten moeten houden wat het doel, de proportionaliteit (niet meer gegevens dan nodig) en de duur is van de verwerking. Gebruik deze gegevens alleen om de kans op infectie van uw werknemers te verkleinen en bewaar deze gegevens niet langer dan noodzakelijk. Ook mogen deze gegevens niet voor andere doeleinden worden gebruikt. Leg deze werkwijze ook intern vast en communiceer dit met uw werknemers.
Dus wat mag tijdelijk wel?
- Als een werknemer (mogelijk) besmet is met corona, kunt u daar vragen over stellen en dit registreren.
- U kunt werknemers vragen stellen over een mogelijke blootstelling aan het virus. Op basis daarvan kunt u voorzorgsmaatregelen treffen zoals de verplichting tot thuiswerken.
- In samenspraak met de bedrijfsarts kunt u extra spreekuren of controles instellen.
- Tot slot kunt u medewerkers voorlichten over de symptomen en de voorzorgsmaatregelen.
Tot slot
Ook ten tijde van corona-perikelen heeft de Nederlandse toezichthouder privacy hoog in het vaandel staan. Het blijft het de vraag of de AP tot handhaving overgaat als een werkgever niet volledig normconform te werk gaat tijdens de pandemie. De Engelse toezichthouder heeft zich hier in elk geval reeds expliciet over uitgelaten:
“We understand that resources, whether they are finances or people, might be diverted away from usual compliance or information governance work. We won’t penalise organisations that we know need to prioritise other areas or adapt their usual approach during this extraordinary period.’’
Als u zich aan de tips opgenomen in dit artikel houdt verwachten wij dat deze tijdelijke handelwijze de toets ter kritiek zal doorstaan. Onze ICT-recht specialisten staan klaar om u nu en straks bij te staan.
Veelgestelde vragen
De 10 beste tips bij het opstellen van IT-contract
Een goed IT-contract is van groot belang. Maar hoe stel je een goed contract op en hoe controleer je of een aangeboden contract aan de eisen voldoet? Hier vind je 10 tips voor het opstellen en controleren van IT-contracten van onze experts in Groningen, Zwolle en Leeuwarden.
1. Een IT-contract, maar met wie?
Controleer of de juiste partij in de overeenkomst is opgenomen. Dit lijkt voor de hand te liggen maar toch gaat dit vaak fout. Zeker als de andere partij een groep van meerdere rechtspersonen is, liggen fouten op de loer. Heeft u de juiste entiteit opgenomen? Controleer dan ook wie er bevoegd is namens deze partij overeenkomsten aan te gaan. Deze informatie vindt u in het handelsregister van de Kamer van Koophandel.
2. Hoe krijg ik exact de door mij gewenste software?
Eén van de belangrijkste onderwerpen van de overeenkomst is de dienst of het product dat wordt geleverd. Omschrijf daarom goed wat partijen hiervan mogen verwachten. Hoe uitgebreider, hoe beter. Bent u afnemer? Neem dan ook op welke verwachtingen (bijvoorbeeld gebruikservaringen) u heeft bij de verschillende onderdelen. Als er in de uitvoering discussie ontstaat is vaak juist deze beschrijving van cruciaal belang.
3. Hoe krijg ik de diensten op tijd geleverd?
Software is nooit af en wordt altijd doorontwikkeld. Een leverancier neemt in de overeenkomst vaak een stappenplan op van nieuwe features. Een zogeheten ‘roadmap’. Maak hier concrete afspraken over: welke functies moet de software hebben, wanneer komen deze beschikbaar en wat doen we als de roadmap niet gerealiseerd wordt? Zo voorkom je dat een roadmap enkel bij beloftes blijft.
4. Voldoe aan uw verplichting uit de AVG
Worden er persoonsgegevens verwerkt? Bij veel IT-contracten is sprake van verwerking van persoonsgegevens. In dat geval is het van belang te bepalen wie verwerker is en wie verwerkingsverantwoordelijke. Let op, het kan ook zo zijn dat er sprake is van twee verwerkingsverantwoordelijken.
5. Hoe verkrijg ik het auteursrecht op de software?
Op software (de broncode) komt altijd automatisch een auteursrecht te rusten. Schrijft een extern bedrijf de software voor u, dan verkrijgt zij in beginsel het auteursrecht. De auteursrechthebbende bepaalt wie de software mag gebruiken en wie niet. Zorg er dus voor dat u als opdrachtgever de auteursrechten krijgt. Lukt dat niet, kom dan in ieder geval een exclusief gebruiksrecht overeen En leg dit vast in de overeenkomst.
6. Escrow, waarom is het noodzakelijk?
Als u diensten afneemt, bijvoorbeeld SaaS (Software as a Service) dan is het verstandig af te spreken hoe je ervoor zorgt dat de dienst beschikbaar blijft als de leverancier failliet gaat of anderszins niet meer kan leveren. Dit kan door middel van een escrow regeling. Je spreekt dan bijvoorbeeld af dat jij de broncode ontvangt als de leverancier failliet gaat. Zolang geen van beide partijen failliet is wordt de broncode door een derde partij bewaard en kan de afnemer er niet bij. Met de - na faillissement vrijgegeven - broncode kunt u zelf de software beheren en aanpassen. Zo kunt u de beschikbaarheid van de software voor langere tijd veiligstellen.
7. Hoeveel downtime is toegestaan?
Downtime (de tijd dat een netwerk of een SaaS-product niet beschikbaar is) kan grote gevolgen hebben. Uw bedrijf kan erdoor stil komen te liggen. Controleer daarom goed wat u beloofd wordt. 99% uptime kan veel lijken, maar is dit 99% van alle uren in het jaar? Dan betekent dit dat een downtime van 87 uur geoorloofd is. Dit zijn twee volle werkweken per jaar. Let hier dus goed op en spreek af wat voor u aanvaardbaar is.
8. Wat als ik of mijn contractspartner niet betaal(t)?
Als de afnemer/gebruiker van de software de vergoeding voor de licentie niet betaalt kan u denken dat het gebruik van- of de toegang tot de software tijdelijk kan worden beëindigd. Maar als daar in de overeenkomst niets over is afgesproken, is dat niet zonder meer het geval. Leg dus vast wat de te volgen stappen zijn in het geval van wanbetaling.
9. Wanneer kan ik de overeenkomst opzeggen?
Bij het aangaan van een overeenkomst wordt meestal niet nagedacht over het einde van de overeenkomst. Wie kan er ontbinden, en onder welke voorwaarden? Leg dit goed vast en bepaal ook een redelijke opzegtermijn zodat u genoeg tijd heeft om over te stappen naar een nieuwe aanbieder, ook wanneer de wederpartij opzegt.
10. Hoe bepaal ik een exitstrategie?
Het is van groot belang om bij het begin van de samenwerking een goede exitstrategie te bepalen. Als de overeenkomst eindigt, wat gebeurt er dan bijvoorbeeld met de opgeslagen data? En hoe lang biedt de IT-leverancier de IT-dienst nog aan? Dit is van belang omdat de ander tijd nodig heeft om over te stappen. Zorg dat je alle vragen die je bij een exit hebt al in de overeenkomst beantwoordt. Dan kom je niet voor verrassingen te staan.
Een IT-contract is altijd maatwerk. Met deze 10 tips komt u al een heel eind. Maar wilt u zeker weten of een contract voor u passend en toekomstbestending is, laat u dan adviseren. Wij staan u graag met onze kennis en ervaring terzijde.
Gerelateerde actualiteiten
Op de hoogte blijven?
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Bestand downloaden?
Download het bestand.