Antwoord schriftelijke vragen : Antwoord op vragen van het lid Alkaya over het 'uitrusten' van werknemers met microchips

Antwoord van Minister Ollongren (Binnenlandse Zaken en Koninkrijksrelaties) mede namens
de Minister van Sociale Zaken en Werkgelegenheid (ontvangen 5 december 2018).

Vraag 1

Kent u het bericht dat in het Verenigd Koninkrijk een bedrijf bij 150 werknemers microchips
heeft geïmplanteerd onder de huid?1 Wat vindt u van deze ontwikkeling?

Antwoord 1

Ja, dat bericht ken ik. Het gebruik van nieuwe technologieën op de werkvloer moet
op een zorgvuldige en ethische verantwoorde manier plaats vinden. Er kunnen voordelen
aan nieuwe technologie zitten, als bijvoorbeeld mensen met een arbeidsbeperking in
staat worden gesteld te re-integreren op de werkvloer. Bij de toepassing van nieuwe
technologie moet men zich echter altijd aan de kaders van de wet houden. Privacy en
de bescherming van de lichamelijke integriteit zijn fundamentele rechten die ook op
de werkvloer beschermd moeten worden.

Overigens is het artikel niet duidelijk over de precieze toepassing van de microchips
en betreft dit een voor Nederland hypothetische casus.

Vraag 2

Zijn er al bedrijven in Nederland die ook hun werknemers met microchips hebben «uitgerust»?
Heeft u signalen van Nederlandse bedrijven die bezig zijn met voorbereidingen om deze
stap te zetten?

Antwoord 2

Er zijn mij geen gevallen bekend.

Vraag 3

Is het verplichten, dan wel verzoeken van werknemers om een chip te laten plaatsen
in hun lichaam door hun werkgever toegestaan binnen de algemene verordening gegevensbescherming?
Kunt u uw antwoord toelichten?

Antwoord 3

Vooropgesteld zij dat de Autoriteit Persoonsgegevens de primaire verantwoordelijkheid
heeft voor de handhaving van de AVG.

Uit het door het genoemde artikel wordt niet duidelijk welke gegevens worden verzameld
en waarvoor ze worden gebruikt. Afgaande op het artikel gaat het om het plaatsen van
een chip in het lichaam van werknemers voor authenticatie doeleinden en kunnen mogelijk
ook medische gegevens worden opgeslagen.

Als het gaat om het koppelen van een identificatienummer aan een chip en die geïmplanteerd
wordt in het lichaam om vervolgens de gegevens daarop te verwerken lijkt het om biometrische
gegevens te gaan. Dat zijn immers persoonsgegevens die het resultaat zijn van een
specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde
kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van
die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen
of vingerafdrukgegevens (artikel 4 lid 14 AVG). Na het implanteren van de chip kan
deze niet meer los gezien worden van het lichaam.

Het verwerken van biometrische gegevens is niet toegestaan, behoudens enkele uitzonderingen
in de wet. Zo mogen ze verwerkt worden met de uitdrukkelijke toestemming van de betrokkenen
(artikel 22 UAVG). De Europese toezichthouders gegevensbescherming hebben echter aangegeven
dat in de relatie werkgever – werknemer toestemming vrijwel nooit als grondslag voor
gegevensverwerking kan worden gebruikt, omdat er sprake is van een gezagsrelatie.2

Artikel 29 UAVG stelt dat een uitzondering op het verbod op het verwerken van biometrische
gegevens ook kan zijn dat gegevens verwerkt worden voor authenticatie en veiligheidsdoeleinden.
Dan echter moeten nog steeds afwegingen gemaakt worden of de verwerking proportioneel
is. De vraag is of die toets kan worden doorstaan als authenticatie ook via een toegangspas
of ander middel kan plaatsvinden.

Uit het artikel blijkt niet welke data wel en welke data niet wordt opgeslagen of
wordt gebruikt. De mogelijkheid dat gezondheidsgegevens worden opgeslagen wordt ook
genoemd en dus niet uitgesloten. Voor verwerking van bijzondere persoonsgegevens geldt
dat deze gegevens alleen onder strengere voorwaarden, zoals uitdrukkelijke toestemming,
mogen worden verwerkt. Gezien de relatie werkgever – werknemer mag worden aangenomen
dat dat in dit geval niet mag. Al in de context van wearables heeft de Autoriteit
Persoonsgegevens bijvoorbeeld aangegeven dat werkgevers de gezondheidsgegevens van
werknemers met behulp van wearables niet mogen verwerken.3

Vraag 4

Is deze praktijk toegestaan volgens artikel 11 van de Grondwet, het recht op onaantastbaarheid
van het lichaam? In hoeverre is dit grondrecht op basis van de «vrijwilligheid» van
werknemers te omzeilen door werkgevers?

Antwoord 4

Het dwingend voorschrijven van microchips zou in strijd zijn met artikel 11 Grondwet.
Daarnaast zou een medische ingreep noodzakelijk zijn, waarbij toestemming van de patiënt
(en dus werknemer) vereist is op grond van artikel 7:450 lid 1 BW. Zoals aangegeven,
kan in beginsel van een vrijwillig gegeven toestemming geen sprake zijn omdat er een
gezagsrelatie is. Eveneens zij andermaal benadrukt dat het een voor Nederland hypothetische
casus betreft.

Vraag 5

Wat kunnen toezichthouders zoals de Inspectie SZW of de Autoriteit Persoonsgegevens
doen om te voorkomen dat werknemers «vrijwillig» slachtoffer worden van dit soort
misbruik door hun werkgever, omdat zij bijvoorbeeld bang zijn hun baan te verliezen?

Antwoord 5

Werknemers die zich in hun rechten geschaad zien kunnen gebruik maken van de klachtenprocedures
bij de Autoriteit Persoonsgegevens en de Inspectie SZW.

De Inspectie SZW heeft ook een taak in de opsporing van arbeidsuitbuiting. In het
recent aan de kamer aangeboden nieuwe meerjarenplan van de Inspectie SZW is er veel
aandacht voor de gevolgen van technologische ontwikkeling, nieuwe praktijken worden
nauwgezet in de gaten gehouden.4

Vraag 6

Wat gaat u doen om rechten van werknemers zoals privacy en menselijke waardigheid
te beschermen tegen werkgevers die allerlei nieuwe technologieën toepassen in een
snel digitaliserende werkomgeving?5

Antwoord 6

Privacy, menselijke waardigheid en de bescherming van de lichamelijke integriteit
zijn fundamentele rechten die ook in een snel digitaliserende werkomgeving beschermd
moeten worden.

Al in 2017 hebben de Europese toezichthouders gegevensbescherming advies gegeven over
de toepassing van het gegevensbeschermingsrecht op de werkvloer.6 Daarin geven zij aan dat werkgevers ongeacht de technologie die wordt gebruikt de
principes uit het gegevensbeschermingsrecht moeten eerbiedigen, en dat werknemers
in principe zonder gevolgen hun privacyrechten zouden moeten kunnen inroepen.