[UPDATE] Corona in Europa: wat zeggen de verschillende Europese privacytoezichthouders?

29-05-2020

Hester de Vries

Een groot aantal Europese privacy toezichthouders heeft zich inmiddels uitgelaten over de verwerking van persoonsgegevens in verband met het coronavirus. Naast onder andere de Nederlandse Autoriteit Persoonsgegevens (die tot drie keer toe haar advies heeft aangepast), het Franse Commission Nationale Informatique & Libertés (CNIL) en de Ierse Data Protection Commission (DPC) heeft nu ook de European Data Protection Board (EDPB) – het Europese samenwerkingsverband waarin alle nationale toezichthouders vertegenwoordigd zijn – een statement op haar website geplaatst.

Hieronder een vergelijkend overzicht van de belangrijkste onderwerpen waarover het EDPB en de verschillende Europese privacytoezichthouders hebben geadviseerd:

1. Op basis van welke grondslag mag ik als organisatie persoonsgegevens verwerken?

  • EDPB: Dit kan – afhankelijk van de omstandigheden – op basis van toestemming, of als dit noodzakelijk is voor het algemeen belang of de vitale belangen van een individu.
  • Nederland: Geen advies gegeven op dit punt. Duidelijk is het in ieder geval dat een organisatie zich niet kan beroepen op de grondslag toestemming voor wat betreft werknemers, bezoekers of leveranciers.
  • Ierland: Op werkgevers rust een wettelijke verplichting bepaalde gegevens te verwerken. De ‘vitale belangen’ grondslag geldt alleen in noodgevallen, waar toestemming onmogelijk is.
  • Duitsland: Verwerking op grond van een wettelijke verplichting of wanneer sprake is van een gerechtvaardigd belang zijn beide denkbaar. Voor publieke instanties kan verwerking gelegitimeerd zijn op grond van vervulling van een taak van algemeen belang.
  • België: De grondslag ‘vitale belangen’ moet restrictief worden uitgelegd. Bedrijfsartsen verwerken op grond van een wettelijke plicht.

2. Is er een wettelijke uitzonderingsgrond van toepassing om gezondheidsgegevens verwerken?

  • EDPB: Dit kan – afhankelijk van de omstandigheden – op basis van toestemming, of als dit noodzakelijk is voor het algemeen belang of de vitale belangen van een individu.
  • Nederland: Een werkgever mag geen gezondheidsgegevens verwerken van werknemers, zelf niet tijdens de coronacrisis. Enkel de arbodienst of bedrijfsarts mag dit. Het enkele meten en aflezen van de temperatuur van een werknemer, bezoeker of leverancier valt echter niet onder de AVG. Deze informatie mag dan niet vervolgens worden opgeslagen (digitaal of analoog) of gebruikt door automatische systemen.
  • Verenigd Koninkrijk: Er wordt geen specifieke grond aangewezen, maar wel dat het verwerken van bepaalde gegevens mogelijk is.
  • Ierland: Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • Duitsland: Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • België: Dit kan nodig zijn vanuit algemeen belang of arbeidsrechtelijke verplichtingen.
  • Italië: Er is een noodwet aangenomen die hulpdiensten de bevoegdheid geeft gezondheidsgegevens te verwerken.

3. Mag een werknemer verplicht worden om bepaalde informatie te geven aan de werkgever?

  • Nederland: Dit is een arbeidsrechtelijk vraagstuk en kan niet door de Autoriteit Persoonsgegevens worden vastgesteld.
  • Verenigd Koninkrijk: Dit mag in principe, maar moet worden beperkt tot het strikt noodzakelijke. Bijvoorbeeld of een risicogebied bezocht is en of de werknemer symptomen van het coronavirus vertoont.
  • Ierland: Dit mag, indien de noodzaak te onderbouwen is. Vragen naar symptomen en recente reizen is eerder toegestaan dan het inrichten van een volledige enquête.
  • Frankrijk: Algemene bevraging van het personeel mag niet, individuele meldingen moeten worden doorverwezen naar de bedrijfsarts.
  • Duitsland: Dit mag, en geldt ook voor bezoekers.
  • België: Dit mag niet, moet door de bedrijfsarts worden gedaan.
  • Italië: Dit mag niet, is aan de bedrijfsarts. Werkgevers mogen een kanaal inrichten voor werknemers om zelf melding te maken.

4. Mogen individuen worden getemperatuurd?

  • Nederland: Het enkele meten en aflezen van de temperatuur van een werknemer, bezoeker of leverancier valt niet onder de AVG en is daardoor mogelijk. Deze informatie mag dan niet vervolgens worden opgeslagen (digitaal of analoog) of gebruikt door automatische systemen.
  • Frankrijk: Dit is verboden.
  • Italië: Op 14 maart kwamen werkgevers en vakbonden overeen dat werkgevers op temperatuur mogen testen.

5. Wie mogen de persoonsgegevens allemaal inzien?

  • Nederland: Enkel de arbodienst of bedrijfsarts. Als een werknemer besmet is met het coronavirus mag deze informatie gedeeld worden met de GGD. Het aflezen van de temperatuur van een werknemer, leverancier of bezoeker via een thermometer mag door de organisatie zelf gebeuren, mits deze informatie niet wordt opgeslagen (digital of analoog) of verder wordt gebruik door automatische systemen.
  • Verenigd Koninkrijk: Je mag staf vertellen dat iemand het coronavirus heeft, maar hoeft niet te vertellen wie dat is. Gegevens mogen ook gedeeld worden met (volksgezondheids)autoriteiten.
  • Ierland: Je mag staf vertellen dat iemand het coronavirus heeft, maar hoeft niet te vertellen wie dat is. Gegevens mogen ook gedeeld worden met (volksgezondheids)autoriteiten.
  • Duitsland: Openbaarmaking van persoonsgegevens van personen waarvan bewezen is dat ze (vermoedelijk) besmet zijn met het doel contactpersonen te informeren is alleen rechtmatig als kennis van de identiteit wegens voorzorgsmaatregelen uitzonderlijk noodzakelijk is.
  • België: Werkgevers mogen de naam van werknemers die besmet zijn niet bekendmaken.

6. Welke persoonsgegevens mag ik als organisatie verwerken?

  • Nederland: Geen specifiek advies gegeven op dit punt. Wel is het dus duidelijk dat de hoogte van de temperatuur in zeer beperkte mate mag worden gemeten en uitgelezen.
  • Verenigd Koninkrijk: Of risicogebieden bezocht zijn en of iemand symptomen vertoont. Voor overige informatie geldt een strikte noodzakelijkheidstest.
  • Ierland: Of risicogebieden bezocht zijn en of iemand symptomen vertoont. Voor overige informatie geldt een strikte noodzakelijkheidstest.
  • Duitsland: Verblijf in risicogebieden, of een infectie is vastgesteld en of contact is gehad met iemand bij wie een infectie is vastgesteld.

Bronnen

De volledige adviezen van de verschillende privacytoezichthouders zijn via onderstaande links te raadplegen: EDPB / Nederland / Verenigd Koninkrijk / Ierland / Frankrijk / Duitsland / België / Italië


Meer artikelen van Kennedy Van der Laan

Dit artikel is ook te vinden in het dossier Coronavirus

Van onze partners

Privacy op de werkvloer

→ Lees meer

Magazine: Privacy en de gemeente

→ Lees meer

Privacy voor finance professionals

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer