Voorwaarden voor heimelijke controle werknemers
Normaal gesproken is heimelijke controle niet toegestaan. Heimelijke controle betekent dat u als werkgever uw werknemers monitort zonder dat zij dit weten. Soms is heimelijke controle wel toegestaan, maar dan gelden strenge voorwaarden. Dat is zo omdat heimelijke controle heel ingrijpend kan zijn voor werknemers. De voorwaarden voor heimelijke controle komen bovenop de voorwaarden voor ‘gewone’ (niet-heimelijke) controle.
Op deze pagina
Stap 1: voorwaarden ‘gewone’ controle werknemers
Wilt u uw werknemer(s) heimelijk controleren, dan moet u allereerst voldoen aan de voorwaarden voor ‘gewone’ controle van werknemers. De tweede stap is dat u voldoet aan de extra voorwaarden voor heimelijke controle. U moet dus aan alle voorwaarden voldoen.
Stap 2: extra voorwaarden heimelijke controle
Voor heimelijke controle van werknemers gelden deze extra voorwaarden.
Redelijke verdenking
U heeft een redelijke verdenking dat een of meerdere werknemers iets doen wat strafbaar of verboden is. Zoals diefstal of fraude.
Kan niet anders
Het lukt u niet om een eind te maken aan de diefstal of fraude, ondanks allerlei inspanningen. Dus u kunt echt niet anders dan uw werknemer(s) heimelijk controleren.
Incidenteel
De heimelijke controle is incidenteel. Dat betekent dat u de heimelijke controle alleen mag uitvoeren in een vooraf bepaalde periode. Continu uw werknemer(s) heimelijk monitoren mag niet.
Informeren
U informeert de betrokken werknemer(s) achteraf altijd over de heimelijke controle. Ook als de controle niet heeft uitgewezen dat de verdenking terecht was.
DPIA uitvoeren
Wilt u voor de eerste keer een heimelijke controle doen, dan moet u eerst een data protection impact assessment (DPIA) uitvoeren.
Heeft uw organisatie een functionaris gegevensbescherming (FG)? Dan moet u de FG om advies vragen bij het uitvoeren van de DPIA.
U hoeft geen DPIA uit te voeren voor iedere volgende keer dat u een incidentele heimelijke controle wilt doen. Mits de werkwijze hetzelfde is als de eerste keer.
Voert u een DPIA uit, dan is het aan te raden om de DPIA periodiek te herzien. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld elke 3 jaar.
Doet u de heimelijke controle niet zelf, maar laat u die door een particulier recherchebureau doen? Dan moet het particuliere recherchebureau een DPIA uitvoeren.
Voorafgaande raadpleging
Is uit de DPIA naar voren gekomen dat de beoogde heimelijke controle een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de heimelijke controle start.
Dit wordt een voorafgaande raadpleging genoemd. Heeft u een FG, dan kan die adviseren over de vraag of een voorafgaande raadpleging nodig is.