Tijdens de coronacrisis willen organisaties wellicht toegangscontroles houden, en daarbij de lichaamstemperatuur meten van werknemers, bezoekers of klanten voordat zij toegang krijgen tot de winkel, het kantoor, het ziekenhuis, de bioscoop etc. De Autoriteit Persoonsgegevens was daar aanvankelijk glashelder over: temperatuur meten mag niet zomaar. Inmiddels lijkt de Autoriteit Persoonsgegevens een iets genuanceerder standpunt te hebben ingenomen.
Wat ging eraan vooraf?
Al eerder benadrukte te Autoriteit Persoonsgegevens dat werkgevers bijna nooit het recht hebben om medische gegevens van werknemers te registreren. Ook als het (vermoedelijk) om corona gaat. Dit brengt volgens de toezichthouder mee dat de werkgever niet mag bijhouden waar medewerkers op vakantie zijn geweest. Ook de temperatuur van medewerkers mogen werkgevers niet meten en/of vastleggen.
Niet veel later liet de Autoriteit Persoonsgegevens weten dat alleen werkgevers in de zorg werknemers tijdens de coronacrisis mogen controleren op corona.
Op 24 april 2020 publiceerde de Autoriteit Persoonsgegevens een duidelijk bericht op haar website: temperatuur meten mag niet zomaar. `Een ondernemer mag geen dokter spelen. Uitsluitend een arts mag gezondheidstests doen. En de medische gegevens van personeel verwerken,´ aldus de toezichthouder.
Wanneer is de AVG van toepassing?
De AVG is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. De AVG kan ook van toepassing zijn op de handmatige verwerking van persoonsgegevens. Dit is het geval als de persoonsgegevens in een bestand zijn of worden opgenomen.
Gaat het alleen gaat om het aflezen van de temperatuur op een thermometer, dus zonder (de bedoeling om) deze meetgegevens te bewaren (door te geven, te registreren)? En zonder een automatische verwerking (poortjes die openen, groen licht)? Dan valt dat aflezen op zichzelf niet onder de bescherming van de AVG. En dus ook niet onder het toezicht van de Autoriteit Persoonsgegevens. De AVG is dus niet van toepassing als een organisatie werknemers, bezoekers of klanten enkel de gelegenheid geeft om hun eigen temperatuur te meten.
Als de uitkomst daarna wordt doorgegeven en ergens wordt geregistreerd om iemand toegang te geven of te weigeren is de AVG wel van toepassing. Systemen waarbij poortjes opengaan, waarbij groen licht wordt gegeven of die op basis van de meetgegevens op een andere manier geautomatiseerd iets doen, vallen ook onder de AVG.
Toch een inbreuk op de privacy?
De Autoriteit Persoonsgegevens plaatst wel een belangrijke kanttekening. Zelfs wanneer het temperaturen niet onder de AVG valt, betekent dat niet dat er dus ook geen privacybezwaren aan kunnen zitten:
De privacyinbreuk kan ook groot zijn als iemand bijvoorbeeld na een temperatuurmeting niet naar binnen mag (wordt tegengehouden door bijvoorbeeld een beveiliger) en een hele rij wachtenden dat kan zien. En hieruit mogelijk conclusies trekt over de gezondheid van deze persoon. De AVG biedt dan geen bescherming. En de Autoriteit Persoonsgegevens kan hier dan ook niet tegen optreden. Toch kan het wel degelijk een onrechtmatige inbreuk zijn op het grondrecht op bescherming van de persoonlijke levenssfeer.
Wilt u tijdens de coronacrisis toegangscontroles houden door de temperatuur van werknemers, bezoekers of klanten te meten? Ook als de AVG niet van toepassing is omdat u niets vastlegt, is het van groot belang dat voldoende rekening wordt gehouden met de privacy.