Medewerkers monitoren: wat mag de werkgever registreren?
GPS-tracking, schermopnames, e-mailarchivering: de mogelijkheden zijn groter dan ooit. Dit zijn de concrete juridische grenzen op basis van de AVG, de WOR en Nederlandse rechtspraak.
Een werkgever installeert software die elke vijf minuten een screenshot maakt van de computerschermen van thuiswerkers. Een transportbedrijf koppelt GPS-trackers in bedrijfsauto's aan het HRM-systeem inclusief pauzetijden. Een productiebedrijf leest de e-mailboxen van medewerkers die zijn vertrokken om klantcontacten veilig te stellen.
Drie praktijkscenario's die dagelijks voorkomen in het Nederlandse bedrijfsleven. Twee zijn juridisch problematisch. De derde is toegestaan onder strikte voorwaarden. Dit artikel beschrijft de grenzen op basis van de AVG, artikel 27 van de Wet op de Ondernemingsraden, en concrete uitspraken van de Autoriteit Persoonsgegevens en de kantonrechter.
Het juridische drieluik
Monitoring van medewerkers raakt drie wettelijke kaders die samen de grenzen bepalen.
De AVG vereist een geldige rechtsgrondslag voor elke verwerking van persoonsgegevens. Monitoring levert altijd persoonsgegevens op. De meest gebruikte grondslag voor werkgeversmonitoring is gerechtvaardigd belang (artikel 6 lid 1 sub f AVG). Maar dat belang moet worden afgewogen tegen het privacyrecht van de medewerker, en de monitoring moet proportioneel zijn: niet verder gaan dan noodzakelijk voor het beoogde doel.
De Wet op de Ondernemingsraden (WOR) geeft de OR instemmingsrecht bij invoering of wijziging van systemen voor personeelsmonitoring (artikel 27 lid 1 sub l WOR: "regelingen inzake het verwerken van persoonsgegevens van de in de onderneming werkzame personen"). Invoering zonder OR-instemming is nietig. De Ondernemingskamer kan ingrijpen en het systeem doen uitschakelen.
Het Europees Verdrag voor de Rechten van de Mens (EVRM) beschermt het recht op privéleven, ook op de werkplek (artikel 8 EVRM). Het Europees Hof voor de Rechten van de Mens oordeelde in de zaak Bărbulescu t. Roemenië (Grote Kamer, 2017, nr. 61496/08) dat werkgevers medewerkers vooraf moeten informeren dat communicatie wordt gemonitord en de mate, aard en gevolgen van die monitoring moeten specificeren.
Concreet overzicht: wat mag en wat niet
| Monitoringvorm | Toegestaan? | Voorwaarden |
|---|---|---|
| Inlogregistraties voor IT-beveiliging | Ja | Medewerkers informeren |
| Tijdregistratie (digitale prikklok) | Ja | OR-instemming + informeren |
| Camerabewaking op werkvloer | Ja, beperkt | Gegronde reden, borden, geen toiletten/kleedruimtes, max 4 weken bewaring |
| GPS-tracking bedrijfsauto's tijdens werktijd | Ja | Beperkt tot werktijd, medewerkers informeren |
| GPS-tracking buiten werktijd | Nee | Disproportioneel, geen grondslag |
| E-mailarchivering voor compliance | Ja | Bewaring conform wettelijke termijn |
| Individuele e-mails lezen | Nee, tenzij concreet vermoeden | Gegronde verdenking + juridisch advies |
| Continue schermmonitoring thuiswerkers | Nee | Disproportioneel, AP heeft dit als onrechtmatig aangemerkt |
| Keystroke logging / schermopnames | Nee | Disproportioneel |
| Privécommunicatie op bedrijfsapparaat | Nee | Artikel 8 EVRM (Bărbulescu) |
| Biometrische tijdregistratie (vingerafdruk) | Alleen indien noodzakelijk | Bijzondere categorie, vrijwel altijd alternatief beschikbaar |
| Microsoft Viva Insights voor medewerker zelf | Ja | Aggregaatdata, medewerker heeft controle |
| Productiviteitssoftware voor managementinzicht | Nee in de meeste gevallen | Disproportioneel zonder zwaarwegend belang |
GPS-tracking: de regels in detail
GPS-tracking in bedrijfsvoertuigen is het meest voorkomende monitoringvraagstuk. De Autoriteit Persoonsgegevens heeft hierover specifieke richtlijnen gepubliceerd.
Toegestaan:
Tracking tijdens werktijd voor zakelijke doeleinden: routeoptimalisatie, bewijs van levering, responstijd bepalen voor onderhoudsdiensten. Medewerkers moeten voor aanvang van de arbeidsovereenkomst worden geïnformeerd over de tracking. OR-instemming is vereist als het systeem nieuw wordt ingevoerd.
Niet toegestaan:
Tracking buiten werktijd, ook niet als de medewerker de bedrijfsauto privé gebruikt. Als een medewerker de auto ook privé mag gebruiken, moet de tracking automatisch stoppen als de medewerker uitklokt. Dit is technisch eenvoudig te regelen via een schakelaar of een koppeling met het tijdregistratiesysteem.
Bewaren: locatiedata van medewerkers mag maximaal 4 weken worden bewaard voor routeoptimalisatie. Langer bewaren vereist een specifiek doel en juridische grondslag.
E-mailmonitoring: een mijnenveld
Werkgevers willen vaak e-mails van medewerkers kunnen inzien, bijvoorbeeld bij uitdiensttreding of bij vermoeden van wangedrag. De juridische grenzen zijn strikter dan de meeste werkgevers denken.
Vertrokken medewerkers: je mag de zakelijke mailbox doorzoeken voor bedrijfscontinuïteit: klantcontacten vinden, lopende projecten achterhalen. Privé-e-mails in een zakelijke mailbox mag je niet lezen. Stel een automatisch antwoord in dat de persoon niet meer bereikbaar is en verwijder de mailbox na maximaal 3 maanden.
Vermoeden van wangedrag: gerichte, beperkte e-mailmonitoring bij een concreet en gedocumenteerd vermoeden van ernstig wangedrag is mogelijk, maar uitsluitend na juridisch advies, voor een beperkte periode, en gericht op de verdenking. Heimelijke algemene monitoring van een specifieke medewerker zonder concreet vermoeden is onrechtmatig. Bewijs verkregen via onrechtmatige monitoring is in een arbeidsrechtprocedure doorgaans onbruikbaar.
Archivering voor compliance: e-mailarchivering voor wettelijke bewaarverplichtingen (belastingplicht, financiële dienstverlening) is toegestaan. Het massaal lezen van gearchiveerde e-mails is dat niet.
Productiviteitssoftware: het grijze gebied
Tools als Teramind, Time Doctor en ActivTrak bieden de mogelijkheid om elke toetsaanslag, elk websitebezoek, elke applicatie en elk minuut inactiviteit te registreren per medewerker.
De Autoriteit Persoonsgegevens heeft in haar richtsnoeren thuiswerken (2021) en in handhavingsonderzoeken aangegeven dat continue, gedetailleerde activiteitsmonitoring in de meeste gevallen disproportioneel is als het doel is productiviteitscontrole. Dit type monitoring "druist in tegen de fundamentele rechten en vrijheden van werknemers" aldus de AP.
Het gaat om het doel. Tijdregistratie voor facturering aan klanten is een ander doel dan surveillance van medewerkers. Aggregaatdata op teamniveau om te beoordelen of een werkproces efficiënt is, verschilt van minutieus individueel toezicht.
Microsoft Viva Insights is zo ontworpen dat medewerkers inzicht hebben in hun eigen werkpatronen maar managers geen individuele data zien. Dat is fundamenteel anders dan tools die een manager een live overzicht geven van elk schermvenster van elke medewerker.
De OR: vier stappen die je niet mag overslaan
De OR-instemmingsprocedure is niet optioneel. Werkgevers die dit overslaan, lopen het risico dat de OR naar de Ondernemingskamer stapt en de rechter het besluit nietig verklaart.
Stap 1: Informeer de OR bij de eerste verkenning van een monitoring-systeem, niet bij de ondertekening van het contract.
Stap 2: Verstrek de OR volledige informatie: wat wordt gemeten, hoe de data wordt gebruikt, hoe lang bewaard, wie toegang heeft, welke besluiten worden genomen op basis van de data.
Stap 3: Geef de OR minimaal 6 weken bedenktijd na ontvangst van alle informatie. De OR mag advies inwinnen bij een deskundige op kosten van de werkgever.
Stap 4: Als de OR bezwaar heeft, overleg dan en zoek een oplossing. Verzoek de kantonrechter toestemming als er geen overeenstemming is en je denkt dat het systeem toch rechtmatig is.
Transparantie als juridische verplichting
Los van de specifieke regels: transparantie is een zelfstandige AVG-verplichting. Medewerkers hebben het recht te weten welke gegevens over hen worden verzameld (artikel 13 AVG). Dit betekent concreet:
Leg in een monitoringbeleid of een bijlage bij de digitale arbeidsovereenkomst vast: welke systemen er zijn, wat ze meten, hoe lang de data wordt bewaard, wie er toegang toe heeft en hoe de data wordt gebruikt bij HR-beslissingen. Bespreek dit bij onboarding. Update het bij wijzigingen.
Een monitoring-systeem invoeren en medewerkers er pas mee confronteren als er een conflict is, is een van de snelste routes naar een verloren rechtszaak bij de kantonrechter.
Concrete getallen: wat monitoring kost en riskeert
Kosten van rechtmatige monitoring-systemen:
| Systeem | Eenmalig | Per jaar |
|---|---|---|
| GPS-tracking 10 voertuigen (incl. software) | 2.000 – 5.000 euro | 1.200 – 3.600 euro |
| Digitale tijdregistratie 50 medewerkers | 500 – 3.000 euro | 600 – 2.400 euro |
| Camerabewaking 5 camera's (incl. installatie) | 3.000 – 8.000 euro | 500 – 1.500 euro (onderhoud) |
| Microsoft Viva Insights (per gebruiker) | 0 euro (inbegrepen in M365 E3+) | 0 – 72 euro |
| OR-procedure + juridisch advies | 3.000 – 10.000 euro | nvt (eenmalig) |
Risico's van onrechtmatige monitoring:
De Autoriteit Persoonsgegevens heeft in 2023 en 2024 meerdere werkgevers onderzocht op monitoring. Opgelegde boetes voor onrechtmatige monitoring varieerden van 10.000 euro (waarschuwing gevolgd door boete bij herhaling) tot 750.000 euro voor systematische schending bij grote werkgevers.
Naast de boete: een arbeidsrechtprocedure waarbij onrechtmatig verkregen bewijs onbruikbaar is, leidt gemiddeld tot 15.000 – 40.000 euro proceskosten voor de werkgever, plus de kans dat het ontslag wordt teruggedraaid.
De OR-procedure overslaan kan leiden tot een uitspraak van de Ondernemingskamer waarbij het systeem binnen 4 weken moet worden uitgeschakeld, inclusief verwijdering van alle verzamelde data.
Veelgestelde vragen
Mogen we de e-mails lezen van een zieke medewerker?
Alleen voor zakelijke continuïteit en uitsluitend zakelijke e-mails. Vraag de medewerker bij ziekmelding of iemand anders toegang mag krijgen, of stel een automatisch doorstuuradres in. Doe dit niet heimelijk.
Een medewerker wordt verdacht van fraude. Mogen we zijn computer doorzoeken?
Bij een gedocumenteerd en concreet vermoeden van ernstige fraude: mogelijk, maar uitsluitend na juridisch advies. Doe het verkeerd en het bewijs is onbruikbaar, en de werkgever is aansprakelijk voor de onrechtmatige inbreuk.
Wij willen weten of thuiswerkers echt werken. Mogen we activiteiten bijhouden?
Nee in de zin van continue surveillance. Indirecte signalen zoals Teams-beschikbaarheid zijn toegestaan als je er niet actief op stuurt. Leid de discussie over thuiswerken op basis van resultaten, niet op basis van schermactiviteit.
Hoeveel boete riskeert een werkgever bij onrechtmatige monitoring?
Boetes onder de AVG kunnen oplopen tot 10.000.000 euro of 2% van de jaaromzet. Voor MKB-bedrijven zijn werkelijke boetes lager maar een onderzoek levert publiciteit, medewerkersvijandigheid en mogelijke schadeclaims op.
*Zie ook: BYOD-beleid arbeidsrecht, Thuiswerken rechten en plichten, Recht op onbereikbaarheid, Register van verwerkingsactiviteiten, Digitale arbeidsovereenkomst en AI en de AVG.*