Temperatuurmeting van bezoekers en externe talenten. Kan dat?

Sommige bedrijven meten de temperatuur van elke bezoeker om te zien of hij of zij koorts heeft en dus mogelijk besmet is met het coronavirus. Maar zijn die temperatuurmetingen toegestaan? Monard Law zocht het uit.

Nieuwe realiteit – coronabesmettingen opsporen en/of vermijden

Het moment om uw organisatie opnieuw fysiek op te starten breekt aan of u overweegt dit te doen. Helaas zal het economisch en maatschappelijk leven er vandaag nog anders uitzien dan voor de coronacrisis. Er zijn immers tal van maatregelen waarmee rekening moet worden gehouden. Wellicht zoekt u zelf ook naar oplossingen om coronabesmettingen op te sporen en tegen te gaan. Sommige ondernemingen voeren hiertoe een nieuw toegangsbeleid in en meten de lichaamstemperatuur van elke bezoeker om individuen met koorts te detecteren. Bezoekers met koorts mogen de gebouwen vervolgens niet betreden om besmettingen binnen de onderneming te voorkomen. 

Het wetgevend kader

Hoewel het begrijpelijk is dat de huidige situatie ondernemingen aanzet om toegangscontroles met temperatuurmetingen te organiseren, dient er zeer omzichtig mee te worden omgesprongen.

Iemands lichaamstemperatuur kan immers iets zeggen over iemands gezondheidstoestand. Om die reden is de lichaamstemperatuur een gevoelig persoonsgegeven. Persoonsgegevens worden beschermd door de Algemene Verordening Gegevensbescherming (AVG) indien zij geautomatiseerd worden verwerkt of indien zij bestemd zijn om in een bestand te worden opgenomen.

1.1         Wanneer vallen  temperatuurmetingen al dan niet onder de AVG?

De AVG is van toepassing op persoonsgegevens die:

(1) geautomatiseerd worden verwerkt; en/of

(2) bestemd zijn om in een bestand te worden opgenomen.

In andere gevallen is de AVG niet van toepassing, maar kan wel andere regelgeving gelden.

1.1.1                           AVG is niet van toepassing bij loutere aflezing van temperatuur zonder registratie

Indien de gemeten lichaamstemperatuur enkel wordt afgelezen op een klassieke thermometer en de resultaten hiervan niet in een bestand worden geregistreerd, is er in principe geen sprake van een verwerking van persoonsgegevens.

In dat geval is de AVG niet van toepassing.

Is het echter de bedoeling om iemand die bij een meting koorts zou vertonen, of bezoekers die een meting weigeren, de toegang tot de gebouwen te ontzeggen? Dan dient er te worden nagegaan of deze verdere actie al dan niet wordt geregistreerd.

Worden de vervolgstappen geregistreerd? Dan is de AVG van toepassing. Indien er echter geen registratie van identificeerbare personen aan te pas komt, zal er nog steeds geen sprake zijn van een verwerking van persoonsgegevens waarop de AVG van toepassing is.

Opgelet: ook indien een temperatuurmeting niet onder de AVG valt, zouden er alsnog privacybezwaren kunnen  bestaan tegen de toegangscontrole met temperatuurmeting. Er kan immers ook een inbreuk zijn op iemands privacy indien hij/zij de gebouwen niet mag betreden en andere wachtenden bezoekers dit kunnen zien (en hieruit conclusies kunnen trekken over de gezondheid van de geweigerde persoon). Dit zou een onrechtmatige inbreuk kunnen zijn op het grondrecht op de bescherming van de persoonlijke levenssfeer.

1.1.2                           AVG is wel van toepassing op temperatuurmetingen met registratie

Indien een temperatuurmeting – of eventuele vervolgstappen na een meting – evenwel gepaard gaan met een registratie (bv. om een toegangsweigering te rechtvaardigen of om een weigering te documenteren voor andere doelstellingen), zal er daarentegen wel sprake zijn van een verwerking van persoonsgegevens waarop de AVG van toepassing is.

1.1.3                           AVG is wel van toepassing op geavanceerde elektronische metingen

De AVG is bovendien ook van toepassing als de temperatuurmeting op een geavanceerde digitale wijze plaatsvindt. Dit is bijvoorbeeld het geval indien men automatisch of vanop afstand de lichaamstemperatuur van een persoon meet (bv. via een koortsscanner, hittecamera of een ander geautomatiseerd systeem waarmee de lichaamstemperatuur kan worden gemeten).

1.2         De AVG is van toepassing

Voor elke verwerking van persoonsgegevens die beschermd wordt door de AVG, dienen de algemene beginselen van de AVG inzake gegevensverwerking te worden gerespecteerd.

Voor de volledigheid zetten we hierna de zes basisbeginselen uiteen die de grondslag vormen voor nagenoeg alle verplichtingen opgelegd door de AVG:

1.2.1                           Rechtmatigheid, behoorlijkheid en transparantie

In de eerste plaats moet elke verwerking van persoonsgegevens o.a. gestoeld zijn op één van de verwerkingsgronden opgenomen in de AVG.

Indien de toegangscontrole gepaard gaat met een verwerking van gezondheidsgegevens (bv. lichaamstemperatuur), stelt zich een probleem. De verwerking van gezondheidsgegevens is immers principieel verboden op grond van de AVG, tenzij er een uitzonderingsgrond van toepassing is (zie verder onder titel 1.3).

1.2.2                           Doelbinding

Dit basisbeginsel strekt ertoe dat persoonsgegevens enkel mogen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dat zij niet verder mogen worden verwerkt op een met deze doeleinden onverenigbare wijze.

Concreet komt dit beginsel erop neer dat de persoonsgegevens enkel mogen worden gebruikt voor de doelstellingen die aan de betrokkenen werden meegedeeld op het moment van verzameling.

De Gegevensbeschermingsautoriteit wijst erop dat het meten van koorts als een maatregel in de strijd tegen de verspreiding van COVID-19 ten dele ondoelmatig is. Temperatuurmetingen zijn immers niet zaligmakend, omdat COVID-19 niet steeds gepaard gaat met koorts, en koorts niet steeds wijst op COVID-19.

1.2.3                           Minimale gegevensverwerking

Persoonsgegevens dienen toereikend te zijn, terzake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.  Dit wil zeggen dat de verantwoordelijke erop moet toezien niet méér persoonsgegevens te verzamelen dan nodig is in het kader van de verwerking.

1.2.4                           Juistheid

De verwerkingsverantwoordelijke moet alle redelijke maatregelen nemen om de persoonsgegevens te allen tijde juist en geactualiseerd te houden.  Onjuiste gegevens dienen in principe zo snel mogelijk gewist of gecorrigeerd te worden.

1.2.5                           Opslagbeperking

Persoonsgegevens mogen niet langer worden bewaard dan nodig voor de doeleinden waarvoor ze worden verwerkt, behoudens indien ze zouden worden bewaard in geanonimiseerde vorm.

1.2.6                           Integriteit en vertrouwelijkheid

Tot slot moeten zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat de beveiliging van persoonsgegevens, en meer in het bijzonder de vertrouwelijkheid, integriteit en beschikbaarheid ervan, op elk ogenblik gewaarborgd is.  Persoonsgegevens moeten onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking, verstrekking of toegang en tegen opzettelijk verlies, vernietiging of beschadiging.  Dit is voornamelijk het domein van de (IT) security.

1.3         Verwerkings- of rechtmatigheidsgrond

Elke verwerking van persoonsgegevens moet gestoeld zijn op een verwerkings- of rechtmatigheidsgrond. De AVG lijst de mogelijke verwerkingsgronden op in artikelen 6 en 9 AVG. Dit principe geldt ook in het kader van het organiseren van toegangscontroles met temperatuurmetingen.

In principe is het verboden om gezondheidsgegevens te verwerken, tenzij er een uitzonderingsgrond van toepassing is.

Mogelijke relevante uitzonderingsgronden betreffen:

  • de bezoeker heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor één of meer welbepaalde doeleinden;
  • de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks wettelijk of in een CAO is toegestaan;
  • de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang op grond van een wet, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd;
  • de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid indien dit wettelijk is voorzien, en waarbij passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim.

1.3.1                           Uitdrukkelijke toestemming

Er geldt een uitzondering op het algemeen verbod op de verwerking van persoonsgegevens over gezondheid ingeval de bezoeker zijn uitdrukkelijke toestemming geeft.

Eén van de vereisten om een “geldige” toestemming te bekomen is dat die toestemming vrijelijk moet zijn gegeven. Indien de bezoeker geen echte of vrije keuze heeft, is de toestemming aldus niet geldig.

Dit betekent in principe dat een bezoeker de temperatuurmeting zou mogen weigeren, zonder dat dit gevolgen mag hebben voor hem/haar. Echter, in dat geval zou de toegangscontrole ondoelmatig zijn.

Deze uitzonderingsgrond zal ingeval van een toegangscontrole aldus geen soelaas bieden.

1.3.2                           Overige uitzonderingsgronden

De overige uitzonderingsgronden vereisen dat er een wet (of CAO) bestaat die de specifieke verwerking van gezondheidsgegevens toestaat.

In België bestaat er vooralsnog geen specifieke wettelijke bepaling die de verwerking van de lichaamstemperatuur toestaat. Het is echter niet uitgesloten dat er in de toekomst een wettelijke regeling in deze context wordt uitgevaardigd, maar momenteel is er dus geen solide rechtsgrond voorhanden om de lichaamstemperatuur op een rechtmatige wijze te verwerken.

1.4         Conclusie

  • Een toegangscontrole waarbij de temperatuur wordt gemeten en louter wordt afgelezen (zonder enige registratie hiervan, noch van de verdere stappen), valt niet onder de toepassing van de AVG.

Let wel: mogelijks worden andere grondrechten van de bezoeker geschonden bij de praktische toepassing hiervan.

  • Een toegangscontrole waarbij de temperatuur wordt gemeten en de resultaten (of vervolgacties) worden geregistreerd, of indien er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking, is de AVG wel van toepassing.

Aangezien er vooralsnog geen juridische rechtsgrond voorhanden is om verwerkingen van temperatuurmetingen te doen, is het niet toegestaan om een dergelijke toegangscontrole in te richten.

De Gegevensbeschermingsautoriteit wijst er op dat zelfs indien er een rechtsgrond voorhanden zou zijn, de toegangscontrole nog steeds ondoelmatig blijft omdat COVID-19 niet steeds gepaard gaat met koorts, en koorts ook niet steeds op COVID-19 wijst.

Met dank aan Jill Leen en Kristof Zadora, advocaten bij het advocatenkantoor Monard Law.

Specialisten van Monard Law delen hier hun kennis op het gebied van arbeidsrecht en sociaal zekerheidsrecht. Zowel voor individuele freelancers als voor hun opdrachtgevers.

Bekijk alle berichten van Monard Law

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *