overig Als ja misschien toch nee is: de toestemming van de werknemer voor de verwerking van persoonsgegevens Mw. Mr. F.C. vAn der JAgt werkgevers verwerken op allerlei wijzen persoonsgegevens van hun werknemers. Op grond van de wet bescherming persoonsgegevens (wbp) dient de werkgever hiertoe onder meer een grondslag op basis van art. 8 wbp te hebben. een van deze grondslagen is het vragen van ondubbelzinnige toestemming aan de werknemer. In de praktijk zitten hier de nodige haken en ogen aan, die in dit artikel uiteen worden gezet. Inleiding Op 18 april jl. presenteerde het College bescherming persoonsgegevens (Cbp) zijn agenda voor 2013.1 Een van de thematische speerpunten voor dit jaar vormt de gegevensverwerking binnen de arbeidsrelatie. Werkgevers verwerken op allerlei wijzen persoonsgegevens van hun werknemers. Hierbij kan onder meer gedacht worden aan de gegevensverwerking in het kader van de verzuimregistratie, het screenen van werknemers voor en tijdens het dienstverband, het doen van onderzoek naar wangedrag op de werkvloer, de controle van internet- en e-mailgebruik, het uitbetalen van salarissen en het instellen van klokkenluidersregelingen. Vanuit privacytechnisch oogpunt geldt dat een werkgever een grondslag op basis van de Wet bescherming persoonsgegevens (Wbp) moet hebben voor de verwerking van persoonsgegevens van werknemers. Vaak kiest een werkgever ervoor om, zeker in het geval van een Nederlands bedrijf dat onderdeel uitmaakt van een internationaal concern, een werknemer om toestemming voor de verwerking van zijn persoonsgegevens te vragen. In de arbeidsovereenkomst wordt dan bijvoorbeeld de volgende bepaling opgenomen: ‘Werkgever houdt zich aan de Wet bescherming persoonsgegevens. De werknemer geeft aan de werkgever ondubbelzinnig toestemming om zijn persoonsgegevens te verwerken in het kader van de arbeidsverhouding.’ De vraag is echter of het vragen van toestemming aan de werknemer in dit soort situaties een correcte grondslag onder de Wbp vormt. In dit artikel wordt eerst in het kort het privacyrechtelijke kader geschetst. Daarna worden de haken en ogen die verbonden zijn aan het werken met 1 148 Zie: http://www.cbpweb.nl/Pages/ind_cbp_agenda_2013.aspx. toestemming voor de verwerking van persoonsgegevens toegelicht en worden alternatieven besproken. Achtergrond Er bestaat in Nederland geen algemeen wetsartikel aangaande de privacy van werknemers. Op grond van art. 10 van de Grondwet (Gw) heeft eenieder het recht op de bescherming van zijn persoonlijke levenssfeer (lid 1) en worden bij wet regels gesteld ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens (lid 2). Ook dient de wet regels te stellen omtrent de mogelijkheden voor personen om inzage te krijgen in de persoonsgegevens die over hen worden verwerkt, het gebruik dat daarvan wordt gemaakt en de mogelijkheden die er zijn om incorrecte gegevens te verbeteren (lid 3). Art. 10 Gw vormde de basis voor de invoering van de Wet persoonsregistraties (Wpr) in 1989.2 Om de bescherming van persoonsgegevens binnen de Europese Unie naar een hoger niveau te brengen, trad in 1995 de Europese Privacyrichtlijn (de Richtlijn) in werking.3 Bij de implementatie van deze Richtlijn in de Nederlandse wetgeving werd de Wpr vervangen door de Wbp.4,5 In arbeidsrechtelijke relaties komt de privacy van 2 3 4 5 Wet van 28 december 1988, houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties (Wet persoonsregistraties), Stb. 1988, 665. richtlijn 95/46/eg van het europees Parlement en de raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31). Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Stb. 2000, 302. Het recht op privacy is op internationaalrechtelijk niveau onder meer verankerd in art. 17 internationaal verdrag inzake Burgerrechten en Politieke rechten (ivBPr) en op europeesrechtelijk niveau in art. 8 europees verdrag voor de rechten van de Mens (evrM), in het verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de raad van europa (Conventie SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK Als jA misschien toch nee is: de toestemming vAn de werknemer voor de verwerking vAn persoonsgegevens de werknemer vaak aan bod bij de belangenafweging van art. 7:611 Burgerlijk Wetboek (BW). werkgever een grondslag voor de verwerking van persoonsgegevens hebben (art. 8 Wbp).8 Het verwerken van persoonsgegevens onder de wbp grondslagen voor de verwerking van persoonsgegevens De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand6 (bijvoorbeeld een kaartenbak) zijn opgenomen (art. 2 lid 1 Wbp). Kernbegrippen van de wet zijn dan ook het begrip ‘persoonsgegeven’ en het begrip ‘verwerking’. Een persoonsgegeven is kort gezegd elk gegeven betreffende een geïdentificeerde of een identificeerbare persoon (art. 1 sub a Wbp). Het begrip ‘verwerking’ ziet op alle handelingen die met betrekking tot de persoonsgegevens kunnen worden verricht (art. 1 sub b Wbp), zoals het opslaan, ordenen en bewaren van gegevens maar ook het vernietigen daarvan. Beide begrippen worden ruim uitgelegd.7 Zo worden een IP-adres, de reisgegevens van de ov-chipkaart en de foto daarop, maar ook bepaalde informatie van Wi-Fi-routers, aangemerkt als persoonsgegevens. De zes grondslagen voor de verwerking van persoonsgegevens door een verantwoordelijke zijn limitatief opgesomd in art. 8 van de Wbp, dat stelt dat persoonsgegevens alleen mogen worden verwerkt indien: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. In het licht van de arbeidsverhouding zal een werkgever vaak bepaalde persoonsgegevens van een werknemer in onder meer zijn personeelsadministratie willen verwerken. Het kan hierbij bijvoorbeeld gaan om de NAW-gegevens, BSN-nummers, gegevens betreffende de gezondheid van de werknemers en bankrekeningnummers. De werkgever bepaalt welke persoonsgegevens hij van de werknemer verwerkt: hij is de zogenaamde ‘verantwoordelijke’ in de zin van de Wbp (art. 1 sub d Wbp). De werknemer is degene van wie de gegevens worden verwerkt, of te wel de ‘betrokkene’ (art. 1 sub f Wbp). De meeste verplichtingen van de Wbp rusten op de verantwoordelijke. De Wbp geeft een aantal basisregels waaraan de werkgever zich moet houden. Zo moet de werkgever onder meer de persoonsgegevens behoorlijk en zorgvuldig verwerken (art. 6 Wbp), mogen de persoonsgegevens alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 7 Wbp) en moet de 6 7 108), in art. 7 en 8 van het Handvest van de grondrechten van de europese Unie en in art. 16 van het verdrag betreffende de werking van de europese Unie (vweU). Zie voor de definitie van ‘bestand’ art. 1 sub c Wbp. Zie onder meer: Artikel 29 Werkgroep: Advies 4/2007 over het begrip persoonsgegeven, goedgekeurd op 20 juni 2007, WP 136. Deze opinie en de andere opinies van de Werkgroep waarnaar verwezen wordt in dit artikel zijn te raadplegen op: http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/index_en.htm. Zie ook: rb. Middelburg 15 maart 2012, LJN Bv8942 (in deze zaak worden prejudiciële vragen gesteld inzake de uitleg van het begrip ‘persoonsgegeven’), CrvB 7 maart 2012, LJN BU1965 (het openen van een e-mailbox is als een gegevensverwerking aan te merken) en rb. oost-Brabant 31 januari 2013, LJN BZ2126 (in deze opvallende uitspraak heeft de rechtbank aangegeven dat het hyperlinken naar een website die persoonsgegevens bevat, is aan te merken als een verwerking van persoonsgegevens). TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK NUMMER 4, MEI 2013 / SDU UITGEVERS Ik zal eerst een korte toelichting geven op de verwerkingsgronden zoals opgenomen onder sub b tot en met f. Daarna ga ik in de volgende paragraaf in op de grondslag van ‘ondubbelzinnige toestemming’. toelichting overige grondslagen wbp Een werkgever kan een persoonsgegevensverwerking baseren op het feit dat het noodzakelijk is om deze gegevens te verwerken voor de uitvoering van de overeenkomst met de betrokkene (sub b). Een voorbeeld hiervan is het verwerken van het bankrekeningnummer van een werknemer om zo tot loonbetaling conform de arbeidsovereenkomst over te kunnen gaan. Persoonsgegevensverwerking kan ook noodzakelijk zijn om te voldoen aan een wettelijke verplichting waaraan een werkgever onderworpen is (sub c).9 Zo moet een werkgever op grond van de Wet op de 8 9 gelet op de reikwijdte van dit artikel wordt niet ingegaan op de overige verplichtingen die op grond van de Wbp op de werkgever rusten. Het moet dan wel gaan om een nationaal wettelijke verplichting, zie Artikel 29 Werkgroep: Advies 1/2006 over de toepassing van de EUgegevensbeschermingsregels op interne klokkenluidersregelingen in de 149 overig Loonbelasting een kopie van het identiteitsbewijs van een werknemer in zijn administratie opslaan.10 Een werkgever zal niet snel te maken krijgen met de grondslag van het vitale belang (sub d). Het gaat hierbij om de verwerking van persoonsgegevens in het kader van een dringend medische noodzaak. De memorie van toelichting (MvT) bij de Wbp geeft als voorbeeld de situatie waarin iemand buiten bewustzijn is geraakt en dringend medische hulp nodig heeft. In dat geval is het toegestaan om in iemands kleding op zoek te gaan naar identiteitsgegevens Het is raadzaam om een van de andere grondslagen van de Wbp te kiezen en deze door te geven aan de medische hulpdiensten.11 Het kan ook zo zijn dat een werkgever bepaalde gegevens aan een publiekrechtelijk orgaan moet verschaffen, zodat dit orgaan zijn taken kan uitvoeren (sub e). Een voorbeeld is hiervan dat een werkgever indien hij een ontslagvergunning wil aanvragen, bepaalde persoonsgegevens van de werknemer aan het UWV moet verstrekken. Tot slot biedt de wet nog een soort vangnetbepaling: een werkgever kan persoonsgegevens van een werknemer verwerken indien dit noodzakelijk is voor een gerechtvaardigd belang van de werkgever zelf of van een derde, dat zwaarder weegt dan de inbreuk die hiermee op de privacy van de werknemer wordt gemaakt (sub f). Bij een beroep op deze verwerkingsgrond moet altijd een belangenafweging plaatsvinden. Daarbij moeten steeds de eisen van proportionaliteit (de inbreuk op de privacy van de werknemer mag niet onevenredig zijn in verhouding tot het doel van de gegevensverwerking) en subsidiariteit (zijn er minder vergaande middelen voor de werkgever beschikbaar om dit doel te bereiken?) in acht worden genomen.12 de ondubbelzinnige toestemming van de werknemer Persoonsgegevens kunnen in beginsel ook worden verwerkt indien hiervoor ondubbelzinnige toestemming van de betrokkene wordt verkregen (sub a). Op grond van art. 1 sub i Wbp wordt het begrip ‘toestemming’ aldus uitgelegd dat het hierbij gaat om: ‘elke vrije, specifieke, op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt.’ De toestemming moet volgens de MvT bij de Wbp aan drie eisen voldoen: (i) de betrokkene moet zijn sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en bancaire en financiële criminaliteit, goedgekeurd op 1 februari 2006, WP 117, p. 18 en College bescherming persoonsgegevens (Cbp), 16 januari 2006, z2004-1233). 10 Art. 6a sub c Wet op de loonbelasting 1964. 11 Kamerstukken II 1997/98, 25 892, nr. 3 (MvT), p. 84. 12 Deze beginselen vloeien voort uit art. 8 evrM. 150 wil met betrekking tot de gegevensverwerking in vrijheid kunnen uiten en ook daadwerkelijk hebben geuit; (ii) de wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen; en (iii) er moet sprake zijn van informed consent.13 Ik licht deze eisen hierna toe. De eis van vrije wilsuiting brengt met zich dat geen sprake is van rechtsgeldige toestemming indien een betrokkene onder druk is gezet om toestemming te verlenen of indien hij, door de verhouding die hij heeft ten opzichte van de verantwoordelijke, zich genoodzaakt ziet om toestemming te verlenen.14 Het bestaan van een dergelijke gezagsverhouding is in de relatie werknemer-werkgever evident: het weigeren van toestemming kan immers grote gevolgen, zoals disciplinaire sancties en mogelijk zelfs ontslag, voor een werknemer hebben.15 Het bestaan van de gezagsverhouding leidt er reeds toe dat toestemming geen goede verwerkingsgrond vormt voor de verwerking van persoonsgegevens in het kader van een arbeidsrelatie. De Artikel 29 Werkgroep (de Werkgroep), het onafhankelijke adviesorgaan op privacygebied dat de Europese Commissie adviseert, heeft zich hier meermalen kritisch over uitgelaten. Zo stelde de Werkgroep in een opinie uit 2001 die specifiek ziet op de verwerking van persoonsgegevens in het kader van de arbeidsverhouding al dat wanneer een werkgever als noodzakelijk en onvermijdbaar gevolg van de arbeidsverhouding persoonsgegevens moet verwerken, het misleidend is indien hij deze verwerking door middel van toestemming tracht te wettigen. Alleen indien de werknemer een echt vrije keuze heeft en nadien de mogelijkheid heeft om zijn toestemming zonder nadeel in te trekken, kan de verwerking van de persoonsgegevens op toestemming worden gebaseerd.16 Dit standpunt is genuanceerd in een opinie van de Werkgroep uit 2011 die specifiek ziet op definitie van het begrip ‘toestemming’ uit de Privacyrichtlijn.17 De Werkgroep geeft hierbij aan dat in het kader van arbeidsverhoudingen ook culturele en sociale aspecten een rol spelen. Volgens de Werkgroep kan een situatie van ondergeschiktheid vaak de belangrijkste reden vormen om aan te nemen dat de toestemming niet in vrijheid is verleend. Het is echter niet zo dat een werkgever nooit meer kan terugvallen op toestemming als grondslag voor de gegevensverwerking, zolang er voldoende waarborgen zijn dat de toestemming werkelijk in vrijheid is gegeven.18 13 Supra noot 11, p. 65. 14 Art. 3:33 en 3:35 BW zijn via art. 3:59 BW van overeenkomstige toepassing. 15 Zie ook Cbp 23 augustus 2012, z2011-00959, waarin de toestemming van de werknemer voor het verwerken van psychologische testresultaten volgens het Cbp geen grondslag voor gegevensverwerking vormde nu het weigeren van deelname aan de test kon leiden tot ontslag. 16 Artikel 29 Werkgroep: Advies 8/2001 over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding, goedgekeurd op 13 september 2001, WP 48, p. 23. 17 Artikel 29 Werkgroep: Advies 15/2011 over de definitie van het begrip ‘toestemming’, goedgekeurd op 13 juli 2011, WP 187. 18 Supra noot 16, p. 17. SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK Als jA misschien toch nee is: de toestemming vAn de werknemer voor de verwerking vAn persoonsgegevens Een praktijkvoorbeeld: een werkgever biedt zijn werknemers de mogelijkheid om met korting lid te worden van een sportschool. Indien een werknemer dit wil, zal de werkgever met de sportschool de naam en de abonnementsgegevens van de werknemer uitwisselen, zodat de korting via de loonuitbetaling kan worden verwerkt. Het staat de werknemer volledig vrij om al dan niet lid te worden van de sportschool. Indien de werknemer dan aan de werkgever toestemming geeft om tot uitwisseling van zijn gegevens met de sportschool over te gaan, kan deze toestemming geacht worden vrijelijk te zijn gegeven. Het tweede aspect van de eis van vrije wilsuiting is dat deze ook daadwerkelijk moet zijn geuit. Dit betekent dat er geen sprake kan zijn van stilzwijgende of impliciete toestemming. Een voorbeeld hiervan is wanneer in algemene voorwaarden op een website wordt aangegeven dat men door het gebruik van de website expliciete toestemming verleent aan de verantwoordelijke om de daarop verstrekte persoonsgegevens te verwerken. Degene die de toestemming verleent, zal hiertoe een actieve handeling moeten verrichten.19 De tweede eis houdt kort gezegd in dat de betrokkene moet weten waar hij toestemming voor geeft. Hij moet weten welke persoonsgegevens er worden verwerkt, voor welke doeleinden. Ook moet duidelijk zijn aan wie de gegevens mogelijkerwijs worden verstrekt. De toestemming moet dus voldoende specifiek zijn. Het moet niet zo zijn dat de betrokkene later wordt geconfronteerd met een verwerking waarvan hij helemaal niet door had dat hij hiervoor zijn toestemming heeft gegeven.20 Hiermee hangt de derde eis sterk samen: de betrokkene moet voldoende en op een begrijpelijke manier worden geïnformeerd over de gegevensverwerking. Wel is het zo dat er ook op de betrokkene een bepaalde onderzoeksplicht rust: hij kan niet stil blijven zitten. De verhouding tussen actief informeren door de verantwoordelijke en de onderzoeksplicht van de betrokkene wordt beheerst door hetgeen van partijen in het maatschappelijk verkeer redelijkerwijs mag worden verwacht.21 Aan de gegevensverwerking op basis van art. 8 sub a Wbp wordt nog een additionele eis gesteld: er moet sprake zijn van ‘ondubbelzinnige’ toestemming. In de MvT is aangegeven dat dit betekent dat de verantwoordelijke ervoor moet zorgen dat elke twijfel over de vraag of en waarvoor de betrokkene zijn toestemming heeft gegeven, bij hem moet zijn uitgesloten.22 Als we bovenstaande eisen toepassen op de voorbeeldbepaling in de inleiding, wordt al snel duidelijk dat deze bepaling privacyrechtelijk niet voldoet. Allereerst is het 19 20 21 22 Supra noot 11, p. 67. Supra noot 11, p. 65. ibid, p. 66. ibid, p. 67. TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK NUMMER 4, MEI 2013 / SDU UITGEVERS gelet op de aanwezige gezagsverhouding niet aannemelijk dat een werknemer zijn toestemming vrijelijk geeft: indien hij dit niet doet, kan hij niet in dienst treden bij een werkgever. Daarnaast geldt dat de categorie van gegevensverwerkingen wel is afgebakend (‘in het kader van de arbeidsverhouding’) maar dat niet wordt duidelijk gemaakt welke gegevens er worden verwerkt, voor welke doeleinden en of deze gegevens al dan niet worden gedeeld met derden. Tot slot is eveneens van informed consent geen sprake.23 Een werkgever dient zich ervan bewust te zijn dat ook indien derden worden ingeschakeld die in de uitvoering Alleen indien de werknemer echt een vrije keuze heeft, kunnen zijn persoonsgegevens op grond van toestemming worden verwerkt van diensten voor de werkgever met toestemming van de werknemer gegevens van de werknemer verwerken, dit problematisch kan zijn. Uit een recente uitspraak van de Rechtbank Zwolle-Lelystad blijkt dat ook rechters worstelen met de juiste toepassing van de Wbp.24 In deze zaak wordt een werkgever geconfronteerd met een anonieme e-mail waarin de algemeen secretaris van de werkgever wordt beschuldigd van fraude en financieel wanbeleid. De werkgever roept zijn werknemers bijeen om de zaak te bespreken. Naar aanleiding van deze bespreking leveren diverse werknemers hun laptop in, zodat deze kan worden onderzocht door een recherchebureau dat door de werkgever wordt ingeschakeld. Aan de werknemers is toegezegd dat geen onderzoek in de privébestanden van de werknemers zal plaatsvinden. Vervolgens vindt het onderzoek plaats. Op een van de laptops blijkt een soort jaarboek te staan dat door de desbetreffende werknemer als dagboek wordt bijgehouden. In dit dagboek had de werknemer naast aantekeningen over zijn gezinsleven en zijn werk, ook observaties opgenomen over de bedrijfsvoering van de werkgever en de mogelijke (financiële) wantoestanden. Het recherchebureau heeft op trefwoorden de computer doorzocht. Nu het dagboek enige trefwoorden uit de anonieme e-mail bevatte, heeft het recherchebureau dit dagboek integraal aan de werkgever verstrekt. De relatie tussen de werkgever en de werknemer is hierdoor dusdanig verstoord geraakt dat de arbeidsovereenkomst met wederzijds goedvinden is beëindigd. De werknemer vordert nu schadevergoeding van het recherchebureau omdat het recherchebureau toch in privébestanden is gaan snuffelen waardoor hij zijn baan is kwijtgeraakt. Het recherchebureau meent dat de werknemer hiervoor toestemming heeft gegeven doordat hij zijn laptop aan het bureau heeft verstrekt. Hierdoor wist en gaf de werknemer toestemming voor een onderzoek (inclusief de verwerking 23 Aan deze laatste twee eisen zou wellicht wel zijn voldaan indien aan de arbeidsovereenkomst het privacybeleid van de organisatie, indien aanwezig, wordt gehecht en hier actief naar wordt verwezen. 24 rb. Zwolle-Lelystad 12 november 2012, «JAR» 2012/285, m.nt. C.M. Jakimowicz. 151 overig van zijn persoonsgegevens) naar alle gegevens die op zijn laptop stonden. De rechtbank komt praktisch gezien tot een bevredigende uitkomst: het feit dat de werknemer zijn laptop voor onderzoek heeft verstrekt, houdt niet in dat hij daarmee toestemming heeft verleend voor het verwerken van zijn persoonsgegevens. Nu het recherchebureau deze toestemming niet heeft verkregen, zijn de persoonsgegevens onrechtmatig verwerkt en is het recherchebureau aansprakelijk voor de door de werknemer geleden schade. Juridisch gezien zijn er echter wel kanttekeningen bij deze uitspraak te plaatsen. Gelet op de eisen voor het verwerken van persoonsgegevens op basis van ondubbelzinnige toestemming, is het hier immers zeer de vraag of hier überhaupt sprake had kunnen zijn van vrijwillig gegeven toestemming voor de gegevensverwerking.25 Aan de werknemer is tijdens de voornoemde vergadering opgedragen om per direct zijn laptop in te leveren. Het is redelijkerwijs te verwachten dat het niet voldoen aan dit verzoek, voor de werknemer nadelige gevolgen zou hebben. Vanuit privacyrechtelijk oogpunt had derhalve voor een andere grondslag van de Wbp gekozen moeten worden, waarbij het kiezen voor de grondslag van het gerechtvaardigd belang (art. 8 sub f Wbp) uitkomst zou kunnen bieden. Dit laat onverlet dat ook in dat geval de verwerking eveneens aan de andere eisen van de Wbp had moeten voldoen. Dit laatste is overduidelijk niet het geval nu het onderzoek niet zorgvuldig heeft plaatsgevonden en er meer gegevens zijn verwerkt dan noodzakelijk. gevolgen van het baseren van de gegevensverwerking op toestemming Indien in een arbeidsverhouding toch wordt gekozen om de persoonsgegevens van een werknemer op basis van ondubbelzinnige toestemming te verwerken, leidt dit ertoe dat deze toestemming indien deze niet voldoet aan de hiervoor omschreven eisen, nietig is.26 Indien wel een geldige toestemming wordt verkregen, kan deze toestemming te allen tijde door de werknemer worden ingetrokken.27 Hierbij is van belang om op te merken dat indien de toestemming wordt ingetrokken, een werkgever zich niet alsnog op een van de andere rechtvaardigingsgronden mag beroepen om op die wijze te bewerkstelligen dat hij toch door kan gaan met de gegevensverwerking.28 Dit zou namelijk strijdig zijn met art. 6 Wbp nu de verwerking in dat geval ten opzichte van de werknemer als onzorgvuldig en onrechtmatig is aan te merken. In aanvulling daarop geldt dat vaak voor de grondslag van toestemming wordt gekozen, indien de verantwoordelijke van mening is dat de belangenafweging ex art. 8 sub f Wbp niet in zijn voordeel zou uitvallen. Het is dan 25 26 27 28 152 Zie ook de kritische noot van C.M. Jakimowicz bij deze uitspraak. op grond van art. 3:40 lid 1 BW. Art. 5 lid 2 Wbp. Supra noot 11, p. 82. Zie ook: H.H. de vries en D.J. rutgers, Wet bescherming persoonsgegevens; Toepassing in arbeidsverhoudingen, Deventer: Kluwer 2001, p. 24. bevreemdend dat de verantwoordelijke zich na intrekking van de toestemming alsnog op het standpunt zou kunnen stellen dat deze belangenafweging plotsklaps anders uit zou moeten vallen. De Werkgroep merkt hierover op dat indien de verwerking zou worden voortgezet op een van de andere grondslagen, het misleidend of zelfs inherent oneerlijk is om de gegevensverwerking in eerste instantie op toestemming te baseren.29 Het is voor een werkgever raadzaam om de gegevensverwerkingen binnen de organisatie op de andere grondslagen van de Wbp te baseren. Met deze grondslagen kan een werkgever in de praktijk prima uit de voeten.30 tot slot Inmiddels is op Europees niveau op 25 januari 2012 door de Europese Commissie een pakket voorstellen tot hervorming van de privacyregels gepresenteerd. Het voorstel is om de Richtlijn te vervangen door een Privacyverordening.31 De keuze voor een verordening zorgt voor een verdergaande harmonisatie van de regelgeving, nu deze niet in nationale wetgeving hoeft te worden omgezet. In de voorgestelde verordening is expliciet opgenomen dat toestemming geen rechtsgrondslag voor de verwerking van persoonsgegevens kan zijn indien sprake is van een duidelijke onevenwichtigheid in de verhouding tussen de betrokkene en de verantwoordelijke. Hierbij wordt expliciet benoemd dat dit het geval is als persoonsgegevens van een werknemer door een werkgever worden verwerkt.32 Wie echter denkt dat de voorgenomen Privacyverordening voor eens en altijd duidelijkheid zal brengen over de toepassing van privacyrechtelijke normen in het arbeidsrecht komt bedrogen uit: op grond van art. 82 van het voorstel kunnen de lidstaten binnen de grenzen van de Privacyverordening voorschriften vaststellen voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Wat hiervan ook zij, een ding is duidelijk: het vragen van toestemming aan werknemers voor de verwerking van persoonsgegevens is een gepasseerd station. over de auteur Mw. mr. F.C. van der Jagt is advocaat bij Stibbe te Amsterdam. 29 Supra noot 17, p. 15. 30 een kanttekening: indien de verwerking wordt gebaseerd op art. 8 sub e of f Wbp, dient rekening te worden gehouden met het verzetsrecht van de betrokkene ex art. 40 Wbp, nu hier een belangenafweging plaatsvindt en de betrokkene van mening kan zijn dat deze gelet op zijn bijzondere persoonlijke omstandigheden, anders dient uit te vallen. 31 voorstel voor een verordening van het europees Parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, CoM (2012) 11 final, te raadplegen via: http://ec.europa.eu/justice/ data-protection/document/review2012/com_2012_11_nl.pdf. 32 Zie overweging 33 en 34 van het voorstel en art. 7 lid 4 van het voorstel. SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK