Overal zijn organisaties op zoek naar mogelijkheden om zo snel mogelijk weer op een verantwoorde wijze aan de slag te gaan. Temperatuurmetingen van personeel en bezoekers worden gezien als een instrument dat bij kan dragen aan een veilige werkomgeving. De Nederlandse Autoriteit Persoonsgegevens heeft echter duidelijk gemaakt dat het meten van temperatuur van personeel of bezoekers vrijwel nooit is toegestaan en dat bedrijven die dit toch doen hoge boetes riskeren. Het is dan ook hoogst opmerkelijk dat het Europees Parlement heeft aangekondigd bij iedere ingang verplichte temperatuurchecks in te stellen.
Gezondheidsgegevens en de AVG
Het probleem met temperatuurmetingen is dat deze al snel gepaard zullen gaan met verwerkingen van gezondheidsgegevens door de organisatie die de temperatuurmeting instelt. Ofwel doordat het meetapparaat gezondheidsgegevens verwerkt, ofwel doordat indirect bekend en bijgehouden wordt wie een te hoge temperatuur had. Als sprake is van verwerking van gezondheidsgegevens is de AVG van toepassing. De AVG kent een strikt regime ten aanzien van gezondheidsgegevens. De verwerking daarvan is verboden tenzij zich een specifieke uitzondering voordoet of vrije toestemming is gegeven. Vrije toestemming is conform de leer van de privacy-autoriteiten vervolgens vrijwel ondenkbaar in een arbeidsrelatie of een andere situatie waarin enige afhankelijkheid bestaat van de persoon die om toestemming gevraagd wordt (bijvoorbeeld een leverancier). Dit leidt bij gebrek aan specifieke regelgeving over temperatuurmetingen dus tot een patstelling.
Bij veel cliënten heerst onbegrip over de onmogelijkheid van temperatuursystemen, ook nu de relatieve gevoeligheid van het gegeven of iemand verhoging heeft nogal beperkt lijkt. De impact van het delen van een Corona-diagnose via een app lijkt vele maken groter. Het gebrek aan flexibiliteit in de AVG als gevolg van een brede definitie van gezondheidsgegevens en een enge definitie van vrije toestemming doet zich hier gevoelen.
Temperatuurmetingen en minimale privacy-impact
Het zou naar mijn mening wenselijk zijn als de privacy-autoriteiten in deze uitzonderlijke tijden van crisis zouden helpen te zoeken naar een modus waarbij temperatuurmetingen op eenvoudige wijze mogelijk worden met een minimale privacy-impact (op discrete wijze en zonder of met minimale verwerking van gegevens) in plaats van simpelweg de deur dicht te gooien. Eventueel kan de wetgever met aanvullende tijdelijke regelgeving komen als hierdoor verantwoorde economische activiteit kan worden gestimuleerd. Een al te stringente toepassing van het recht op bescherming van persoonsgegevens (art. 8 Handvest van de grondrechten van de EU) kan soms ook afbreuk kan doen aan andere grondrechten, zoals het recht van vrije ondernemerschap (art. 16 Handvest van de grondrechten van de EU). Gezien de economische impact van de crisis dient ook dat laatste recht gekoesterd te worden.
Overal zijn organisaties op zoek naar mogelijkheden om zo snel mogelijk weer op een verantwoorde wijze aan de slag te gaan. Temperatuurmetingen van personeel en bezoekers worden gezien als een instrument dat bij kan dragen aan een veilige werkomgeving. De Nederlandse Autoriteit Persoonsgegevens heeft echter duidelijk gemaakt dat het meten van temperatuur van personeel of bezoekers vrijwel nooit is toegestaan en dat bedrijven die dit toch doen hoge boetes riskeren. Het is dan ook hoogst opmerkelijk dat het Europees Parlement heeft aangekondigd bij iedere ingang verplichte temperatuurchecks in te stellen.
Gezondheidsgegevens en de AVG
Het probleem met temperatuurmetingen is dat deze al snel gepaard zullen gaan met verwerkingen van gezondheidsgegevens door de organisatie die de temperatuurmeting instelt. Ofwel doordat het meetapparaat gezondheidsgegevens verwerkt, ofwel doordat indirect bekend en bijgehouden wordt wie een te hoge temperatuur had. Als sprake is van verwerking van gezondheidsgegevens is de AVG van toepassing. De AVG kent een strikt regime ten aanzien van gezondheidsgegevens. De verwerking daarvan is verboden tenzij zich een specifieke uitzondering voordoet of vrije toestemming is gegeven. Vrije toestemming is conform de leer van de privacy-autoriteiten vervolgens vrijwel ondenkbaar in een arbeidsrelatie of een andere situatie waarin enige afhankelijkheid bestaat van de persoon die om toestemming gevraagd wordt (bijvoorbeeld een leverancier). Dit leidt bij gebrek aan specifieke regelgeving over temperatuurmetingen dus tot een patstelling.
Bij veel cliënten heerst onbegrip over de onmogelijkheid van temperatuursystemen, ook nu de relatieve gevoeligheid van het gegeven of iemand verhoging heeft nogal beperkt lijkt. De impact van het delen van een Corona-diagnose via een app lijkt vele maken groter. Het gebrek aan flexibiliteit in de AVG als gevolg van een brede definitie van gezondheidsgegevens en een enge definitie van vrije toestemming doet zich hier gevoelen.
Temperatuurmetingen en minimale privacy-impact
Het zou naar mijn mening wenselijk zijn als de privacy-autoriteiten in deze uitzonderlijke tijden van crisis zouden helpen te zoeken naar een modus waarbij temperatuurmetingen op eenvoudige wijze mogelijk worden met een minimale privacy-impact (op discrete wijze en zonder of met minimale verwerking van gegevens) in plaats van simpelweg de deur dicht te gooien. Eventueel kan de wetgever met aanvullende tijdelijke regelgeving komen als hierdoor verantwoorde economische activiteit kan worden gestimuleerd. Een al te stringente toepassing van het recht op bescherming van persoonsgegevens (art. 8 Handvest van de grondrechten van de EU) kan soms ook afbreuk kan doen aan andere grondrechten, zoals het recht van vrije ondernemerschap (art. 16 Handvest van de grondrechten van de EU). Gezien de economische impact van de crisis dient ook dat laatste recht gekoesterd te worden.