Wetgeving inzake online monitoring en overwegingen voor privacynaleving
Laatst bijgewerkt: mei 2026
Online monitoringsoftware kan organisaties helpen bedrijfsmiddelen te beschermen, de productiviteit te verbeteren en te begrijpen hoe digitaal werk wordt uitgevoerd. Het monitoren van werknemers, apparaten, online activiteiten of communicatie kan echter persoonsgegevens en regels rond privacy op de werkplek met zich meebrengen.
Deze pagina biedt een algemeen overzicht van privacy- en nalevingsoverwegingen met betrekking tot het geautoriseerde gebruik van monitoringsoftware. Het belicht gemeenschappelijke thema’s die voorkomen in belangrijke privacy- en werkplekmonitoringkaders, zoals transparantie, rechtmatig doel, gegevensminimalisatie, beveiliging, bewaring en kennisgeving aan gebruikers.
De specifieke vereisten kunnen variëren afhankelijk van het land, de staat, de branche, het eigendom van het apparaat, het type verzamelde gegevens en hoe de monitoring is geconfigureerd.
Disclaimer: Deze pagina wordt uitsluitend verstrekt voor algemene informatieve doeleinden en vormt geen juridisch advies. Privacywetten, wetten inzake monitoring op de werkplek, arbeidswetten en wetten inzake elektronische communicatie verschillen per rechtsgebied en kunnen afhangen van het specifieke gebruiksscenario, het eigendom van het apparaat, de sector, kennisgeving aan werknemers, toestemmingsvereisten en het type gegevens dat wordt verzameld.
Spyrix bepaalt niet of een specifieke monitoringopzet rechtmatig is voor uw organisatie. Voordat u monitoringsoftware gebruikt, moet u toepasselijke wetten en interne beleidsregels beoordelen, gebruikers informeren waar vereist, monitoring beperken tot noodzakelijke en legitieme doeleinden en waar passend gekwalificeerd juridisch advies inwinnen.
Wereldwijde en regionale privacykaders
AVG (Algemene Verordening Gegevensbescherming - Europese Unie)
De AVG is de kernverordening voor gegevensbescherming van de Europese Unie. Deze kan van toepassing zijn op organisaties binnen of buiten de EU wanneer zij persoonsgegevens verwerken op een manier die binnen het territoriale toepassingsgebied van de AVG valt, inclusief bepaalde gevallen waarbij personen in de EU betrokken zijn. Monitoring van online activiteiten, werknemersmonitoring en andere vormen van digitale tracking kunnen binnen het toepassingsgebied ervan vallen wanneer zij persoonsgegevens betreffen.
Onder de AVG vereisen monitoringactiviteiten over het algemeen een geldige rechtmatige grondslag en moeten zij noodzakelijk, proportioneel en transparant zijn. Afhankelijk van de context kunnen organisaties zich beroepen op een rechtmatige grondslag zoals gerechtvaardigde belangen, contractuele noodzaak, wettelijke verplichting of toestemming. In arbeidscontexten is toestemming mogelijk niet altijd passend vanwege de relatie tussen werkgever en werknemer.
Wanneer organisaties zich beroepen op gerechtvaardigde belangen, moeten zij beoordelen en documenteren of het monitoringdoel rechtmatig en noodzakelijk is, en in evenwicht is met de rechten en vrijheden van de betrokken personen. Wanneer monitoring waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, kan een Data Protection Impact Assessment (DPIA) vereist zijn.
Transparantie is essentieel. Personen moeten over het algemeen vooraf worden geïnformeerd over het type monitoring, het doel, de categorieën verzamelde gegevens, de rechtmatige grondslag, wie toegang tot de gegevens kan hebben en hoe lang de gegevens worden bewaard. Heimelijke of niet-geopenbaarde monitoring is zeer gevoelig, kan in veel gevallen onrechtmatig zijn en moet afzonderlijk worden beoordeeld volgens de toepasselijke lokale wetgeving.
De AVG benadrukt ook gegevensminimalisatie, waarbij organisaties alleen de persoonsgegevens mogen verzamelen die noodzakelijk zijn voor een bepaald doel. Continue of overdreven indringende monitoring zonder duidelijke rechtvaardiging kan in strijd zijn met de AVG-beginselen.
Voor online monitoringtools omvatten de meest relevante AVG-overwegingen doorgaans:
Duidelijke kennisgeving over monitoring verstrekken waar vereist
Alleen noodzakelijke en relevante gegevens verzamelen
Passende technische en organisatorische beveiligingsmaatregelen gebruiken
De rechtmatige grondslag voor verwerking vaststellen en documenteren
Gerechtvaardigde belangen of verwerking met een hoger risico beoordelen waar van toepassing
Personen in staat stellen toepasselijke privacyrechten uit te oefenen, zoals inzage, verwijdering, bezwaar of beperking
Officiële bronnen:
Verordening (EU) 2016/679 - Algemene Verordening Gegevensbescherming Officiële AVG-tekst gepubliceerd op EUR-Lex.
EDPB-richtlijnen 3/2018 over het territoriale toepassingsgebied van de AVG Legt uit wanneer de AVG van toepassing kan zijn op organisaties binnen en buiten de EU.
EDPB-richtlijnen 05/2020 over toestemming onder Verordening 2016/679 Biedt richtlijnen over geldige toestemming onder de AVG.
Europese Commissie - Wanneer is een Data Protection Impact Assessment vereist? Legt uit wanneer een DPIA vereist kan zijn voor verwerking van persoonsgegevens met een hoger risico.
EDPS - Privégebruik van elektronische communicatie op de werkplek Biedt richtlijnen met betrekking tot communicatie op de werkplek, privacyverwachtingen en proportionele monitoring.
OESO-privacyrichtlijnen (Organisatie voor Economische Samenwerking en Ontwikkeling)
De OESO-privacyrichtlijnen bieden internationaal erkende beginselen voor privacy en bescherming van persoonsgegevens. Ze zijn niet juridisch bindend op dezelfde manier als nationale of regionale wetten, maar ze hebben privacykaders en gegevensbeschermingsbeleid in veel landen beïnvloed.
De richtlijnen benadrukken kernbeginselen van privacy, zoals beperking van verzameling, gegevenskwaliteit, doelspecificatie, gebruiksbeperking, beveiligingswaarborgen, openheid, individuele participatie en verantwoordingsplicht. Deze beginselen ondersteunen verantwoord gegevensbeheer en moedigen organisaties aan om persoonsgegevens alleen te verzamelen en te gebruiken voor duidelijke, gedefinieerde en passende doeleinden.
Voor online monitoring en werknemersmonitoring bieden de OESO-privacyrichtlijnen geen gedetailleerde monitoringspecifieke regels. Ze bieden echter een nuttig privacykader om te beoordelen of monitoringpraktijken transparant zijn, beperkt zijn tot een legitiem doel, beschermd worden door passende waarborgen en verantwoordbaar zijn.
Hoewel de OESO-privacyrichtlijnen niet afdwingbaar zijn zoals de AVG, blijven ze een belangrijk internationaal referentiepunt voor verantwoorde en privacybewuste gegevensverwerking.
In de praktijk kunnen deze beginselen organisaties helpen overwegen of zij het volgende moeten doen:
Monitoringpraktijken duidelijk te communiceren
Beperk gegevensverzameling tot wat noodzakelijk is voor een bepaald doel
Gemonitorde gegevens te beschermen tegen onbevoegde toegang
Geef personen passende informatie over hoe hun gegevens worden gebruikt
Beoordeel monitoringpraktijken regelmatig op eerlijkheid, noodzaak en proportionaliteit
Officiële bronnen:
OESO-richtlijnen inzake de bescherming van privacy en grensoverschrijdende stromen van persoonsgegevens Officiële OESO-publicatie met de privacybeginselen en het bijbehorende kader.
OESO - Privacy en gegevensbescherming Overzichtspagina van de OESO waarin de rol van de Privacyrichtlijnen in wereldwijde privacy- en gegevensbeschermingskaders wordt uitgelegd.
Verenigde Staten
In de Verenigde Staten wordt monitoring op de werkplek en online monitoring gereguleerd door een combinatie van federale wetten, privacywetten op staatsniveau, regels voor elektronische communicatie, loon- en werktijdvereisten en sectorspecifieke regelgeving. Er is geen enkele landelijke wet inzake werknemersmonitoring die elke situatie omvat. Vereisten kunnen verschillen afhankelijk van de staat, het type gegevens dat wordt verzameld, of communicatie wordt onderschept of toegankelijk wordt gemaakt, of het apparaat eigendom is van het bedrijf of persoonlijk is, en hoe de monitoringgegevens worden gebruikt.
Kader | Waar deze van toepassing is | Toepassingsgebied voor monitoring | Algemene nalevingsoverwegingen | Waarom dit van belang kan zijn voor monitoringsoftware |
|---|---|---|---|---|
CCPA / CPRA | Californië; gedekte bedrijven | Verzameling en gebruik van persoonsgegevens, inclusief bepaalde persoonsgegevens van werknemers, sollicitanten, aannemers, apparaten, online activiteiten en gevoelige persoonsgegevens | Kennisgeving bij verzameling, openbaarmakingen in privacybeleid, rechten op inzage/verwijdering/correctie, opt-outrechten waar van toepassing, beperkingen op bepaald gebruik van gevoelige persoonsgegevens | Relevant wanneer monitoring identificatoren, apparaatgegevens, internet- of applicatieactiviteit, geolocatie, gedragsgegevens of andere persoonsgegevens van inwoners van Californië verzamelt |
ECPA en gerelateerde federale regels voor elektronische communicatie | Federale Amerikaanse wetgeving; staatswetten inzake afluisteren en communicatie kunnen ook van toepassing zijn | Onderschepping van of toegang tot elektronische communicatie, zoals e-mail, chat, oproepen, berichten of bepaalde online communicatie | Voorkom ongeoorloofde onderschepping of toegang; beoordeel of toestemming, autorisatie, uitzonderingen voor aanbieders of uitzonderingen voor zakelijke doeleinden van toepassing kunnen zijn; controleer staatspecifieke toestemmings- en afluisterregels | Zeer relevant voor communicatiemonitoring, beoordeling van e-mail/chat, vastlegging van scherminhoud, registratie van toetsaanslagen en tools die berichtinhoud kunnen vastleggen |
FLSA-gerelateerde loon- en werktijdregels | Federale Amerikaanse wetgeving; staatswetten inzake lonen kunnen ook van toepassing zijn | Gebruik van monitoring-, aanwezigheids-, activiteiten- of tijdregistratiegegevens voor werktijden, loonadministratie, overwerk of productiviteitsbeslissingen | Tijd- en activiteitenregistraties moeten nauwkeurige loonberekeningen ondersteunen; niet-vrijgestelde werknemers moeten worden betaald voor alle gewerkte uren; werkgevers moeten vermijden dat nauwkeurige tijdrapportage wordt ontmoedigd | Relevant wanneer monitoringgegevens worden gebruikt om werktijd te berekenen, aanwezigheid te verifiëren, overwerk te beoordelen of loonadministratie en loongerelateerde beslissingen te ondersteunen |
Staatspecifieke wetten inzake elektronische monitoring en privacy | Verschilt per staat; voorbeelden zijn New York, Connecticut en Delaware voor regels rond kennisgeving bij werknemersmonitoring | Elektronische monitoring van werknemerscommunicatie, internetgebruik, computersystemen, werkplekapparaten of andere persoonsgegevens | Sommige staten vereisen schriftelijke of elektronische kennisgeving, erkenning door de werknemer, plaatsing op de werkplek of specifieke beleidstaal; andere privacywetten op staatsniveau kunnen verplichtingen toevoegen voor gevoelige gegevens, biometrische gegevens of consumentenrechten | Werkgevers die in meerdere staten actief zijn, moeten niet uitsluitend vertrouwen op één algemeen Amerikaans beleid; zij kunnen staatspecifieke kennisgevingen, toestemmingsformuleringen, bewaaregels en interne toegangscontroles nodig hebben |
Officiële bronnen:
California Department of Justice - California Consumer Privacy Act (CCPA) Officieel overzicht van de California DOJ van CCPA-rechten, vereiste kennisgevingen, opt-outrechten, correctierechten, verwijderingsrechten en rechten inzake gevoelige persoonsgegevens.
California Privacy Protection Agency - Wet- en regelgeving Officiële pagina van de California Privacy Protection Agency voor CCPA/CPRA-regelgeving en regelvorming.
U.S. Code - 18 U.S.C. Section 2511: Verbod op onderschepping en openbaarmaking van draadgebonden, mondelinge of elektronische communicatie Officiële tekst van de U.S. Code met betrekking tot onderschepping van elektronische communicatie.
U.S. Department of Justice - Electronic Communications Privacy Act van 1986 DOJ-overzicht van de ECPA en de relatie daarvan tot elektronische en digitale communicatie.
U.S. Department of Labor - Field Assistance Bulletin nr. 2020-5 Officiële DOL-richtlijn met betrekking tot het registreren en vergoeden van gewerkte uren, inclusief situaties met werken op afstand.
New York Civil Rights Law Section 52-c - Werkgevers die elektronische monitoring uitvoeren; voorafgaande kennisgeving vereist Officiële wet van New York die voorafgaande kennisgeving vereist voor bepaalde elektronische monitoring van werknemers.
Connecticut General Statutes Section 31-48d - Kennisgeving van elektronische monitoring Officiële wet van Connecticut betreffende kennisgevingsvereisten voor werkgevers die elektronische monitoring uitvoeren.
Delaware Code Title 19 Section 705 - Kennisgeving van monitoring van telefoontransmissies, elektronische post en internetgebruik Officiële wet van Delaware betreffende kennisgevingsvereisten voor monitoring van telefoon, e-mail en internetgebruik.
Canada
PIPEDA (Personal Information Protection and Electronic Documents Act)
PIPEDA is van toepassing op veel organisaties in de particuliere sector in Canada die persoonsgegevens verzamelen, gebruiken of openbaar maken in het kader van commerciële activiteiten. Voor persoonsgegevens van werknemers is PIPEDA doorgaans van toepassing op federaal gereguleerde werkplekken, terwijl sommige provincies hun eigen privacywetten voor de particuliere sector hebben.
PIPEDA kan persoonsgegevens omvatten die via online monitoring of werknemersmonitoring worden verzameld, inclusief identificatoren, apparaatgegevens, online activiteit, applicatiegebruik, communicatiegerelateerde gegevens en productiviteitsregistraties.
Organisaties moeten een duidelijk doel voor monitoring vaststellen, de verzameling beperken tot wat noodzakelijk is en persoonsgegevens op transparante wijze verwerken.
Waar toestemming vereist is, moet deze betekenisvol zijn en gebaseerd zijn op duidelijke informatie over welke gegevens worden verzameld, waarom ze worden verzameld, hoe ze zullen worden gebruikt en wie er toegang toe kan hebben.
Werknemers moeten over het algemeen worden geïnformeerd over wat wordt gemonitord, waarom monitoring wordt gebruikt, hoe de informatie zal worden gebruikt en hoe lang deze kan worden bewaard.
Persoonsgegevens die via monitoring worden verzameld, moeten worden beschermd met passende beveiligingswaarborgen.
Provinciale privacywetten (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Alberta, British Columbia en Quebec hebben privacywetten voor de particuliere sector die binnen hun respectieve provincies van toepassing kunnen zijn.
Deze wetten volgen over het algemeen vergelijkbare privacybeginselen, zoals een redelijk doel, beperkte verzameling, transparantie, toegangsrechten, bewaarbeperkingen en passende waarborgen.
Voor werknemersmonitoring kunnen de vereisten afhangen van de provincie, het type werkplek, het doel van de monitoring, de gevoeligheid van de gegevens en of de monitoring redelijk is voor het beheer van de arbeidsrelatie.
Werkgevers moeten werknemers informeren voordat zij persoonsgegevens verzamelen via monitoringtools waar dit vereist is.
Sommige provincies kunnen beleid of kennisgevingen vereisen waarin wordt uitgelegd welke persoonsgegevens worden verzameld, waarom ze worden verzameld, hoe lang ze worden bewaard en wie er toegang toe kan hebben.
Organisaties die in meerdere Canadese provincies actief zijn, moeten zowel federale als provinciale vereisten beoordelen voordat zij monitoringsoftware implementeren.
Officiële bronnen:
Office of the Privacy Commissioner of Canada - PIPEDA Officieel overzicht van Canada's federale privacywet voor de particuliere sector.
Office of the Privacy Commissioner of Canada - Privacy op de werkplek Richtlijnen over privacy op de werkplek, persoonsgegevens van werknemers en verantwoordelijkheden van werkgevers.
Office of the Privacy Commissioner of Canada - Richtlijnen voor het verkrijgen van betekenisvolle toestemming Richtlijnen over betekenisvolle toestemming onder de Canadese privacywetgeving voor de particuliere sector.
Government of Alberta - Personal Information Protection Act Officiële overheidspagina van Alberta voor Alberta's privacywet voor de particuliere sector.
Government of Alberta - Persoonlijke werknemersinformatie Richtlijnen over hoe Alberta PIPA van toepassing is op persoonlijke werknemersinformatie.
BC Laws - Personal Information Protection Act Officiële tekst van de Personal Information Protection Act van British Columbia.
Legis Quebec - Wet betreffende de bescherming van persoonsgegevens in de particuliere sector Officiële tekst van Quebecs privacywet voor de particuliere sector.
Verenigd Koninkrijk
UK GDPR
Van toepassing op de verwerking van persoonsgegevens in het VK, inclusief werknemersmonitoring en monitoring van online activiteiten.
Vereist een duidelijke rechtmatige grondslag voor monitoring, zoals gerechtvaardigde belangen, wettelijke verplichting, contractuele noodzaak of toestemming waar passend.
Monitoring moet noodzakelijk, proportioneel, transparant en niet buitensporig indringend zijn.
Werkgevers moeten een risicobeoordeling uitvoeren en moeten mogelijk een Data Protection Impact Assessment (DPIA) voltooien wanneer monitoring waarschijnlijk een hoog risico voor personen creëert, zoals continue tracking, keylogging of andere indringende monitoring.
Personeel moet over het algemeen weten wat wordt gemonitord, waarom het wordt gemonitord, welke gegevens worden verzameld, hoe deze zullen worden gebruikt, wie er toegang toe kan hebben en hoe lang ze worden opgeslagen.
Data Protection Act 2018
Vult de UK GDPR aan en biedt aanvullende regels, voorwaarden en uitzonderingen voor de verwerking van persoonsgegevens.
Bevat bepalingen die relevant zijn voor bijzondere categorieën van gegevens, gegevens over strafbare feiten, arbeidsgerelateerde verwerking en verwerking door wetshandhavingsinstanties.
Versterkt beginselen zoals gegevensminimalisatie, doelbinding, beveiliging, verantwoordingsplicht en individuele rechten.
Personen hebben over het algemeen rechten op toegang tot hun persoonsgegevens en, in sommige gevallen, om bezwaar te maken tegen bepaalde soorten verwerking.
RIPA en gerelateerde regels inzake onderschepping
De Regulation of Investigatory Powers Act 2000 en gerelateerde Britse regels inzake onderschepping reguleren bepaalde soorten onderschepping van en toegang tot communicatie.
Het onderscheppen van communicatie kan beperkt zijn, tenzij er sprake is van wettelijke bevoegdheid, toestemming of een andere toepasselijke rechtsgrondslag of uitzondering.
Voor monitoring op de werkplek moet communicatiemonitoring zorgvuldig worden beoordeeld, vooral wanneer deze e-mail, chat, oproepen, berichten of andere communicatie-inhoud kan omvatten.
Heimelijke of niet-geopenbaarde monitoring is zeer gevoelig, kan in veel gevallen onrechtmatig zijn en mag alleen worden overwogen in uitzonderlijke omstandigheden met een duidelijke rechtvaardiging en passende juridische beoordeling.
ICO-richtlijnen voor arbeidspraktijken
De Britse Information Commissioner's Office biedt richtlijnen over het monitoren van werknemers en het verwerken van persoonsgegevens van werknemers.
De ICO benadrukt dat monitoring gericht, proportioneel, gerechtvaardigd door een duidelijk doel en niet buitensporig moet zijn.
Werkgevers moeten de impact op werknemers overwegen voordat zij monitoringtools introduceren, vooral wanneer monitoring indringend of continu is.
Werkgevers moeten duidelijke schriftelijke beleidsregels opstellen waarin wordt uitgelegd wat wordt gemonitord, waarom het wordt gemonitord, hoe de gegevens worden gebruikt, wie er toegang toe heeft en hoe lang ze worden bewaard.
De richtlijnen benadrukken transparantie, verantwoordingsplicht, overleg waar passend en respect voor de redelijke privacyverwachtingen van werknemers.
Officiële bronnen:
ICO - Arbeidspraktijken en gegevensbescherming: werknemers monitoren Officiële ICO-richtlijnhub voor arbeidspraktijken, inclusief werknemersmonitoring en gerelateerde verplichtingen inzake gegevensbescherming.
ICO - Een gids voor rechtmatige grondslag ICO-richtlijnen over rechtmatige grondslagen voor de verwerking van persoonsgegevens onder de UK GDPR.
ICO - Wanneer moeten we een DPIA uitvoeren? ICO-richtlijnen waarin wordt uitgelegd wanneer een Data Protection Impact Assessment vereist kan zijn.
legislation.gov.uk - Data Protection Act 2018 Officiële tekst van de Data Protection Act 2018.
legislation.gov.uk - Regulation of Investigatory Powers Act 2000 Officiële tekst van de Regulation of Investigatory Powers Act 2000.
GOV.UK - Onderschepping van communicatie: praktijkcode Praktijkcode van de Britse overheid met betrekking tot onderschepping van communicatie.
Australië & Nieuw-Zeeland
Privacy Act 1988 (Australië)
De Privacy Act 1988 vormt het overkoepelende kader voor hoe Australische organisaties persoonsgegevens verwerken, inclusief bepaalde gegevens die kunnen worden verzameld via online monitoring of werkplekgerelateerde systemen.
Deze wet vereist dat gedekte organisaties alleen informatie verzamelen die redelijkerwijs noodzakelijk is, transparant zijn over hoe persoonsgegevens worden gebruikt en deze veilig bewaren.
De wet bevat geen gedetailleerde regels voor toezicht op de werkplek, en werknemersdossiers die door werkgevers in de particuliere sector worden verwerkt, kunnen in bepaalde omstandigheden zijn vrijgesteld van de Australian Privacy Principles. Monitoring waarbij persoonsgegevens betrokken zijn, kan in sommige contexten echter nog steeds onder de Privacy Act vallen, bijvoorbeeld wanneer de uitzondering voor werknemersdossiers niet van toepassing is, wanneer dienstverleners werknemersgegevens verwerken of wanneer andere privacyverplichtingen worden geactiveerd.
In de praktijk moeten werkgevers en dienstverleners die monitoringtools gebruiken duidelijke zakelijke doeleinden definiëren, buitensporige tracking vermijden, hun praktijken uitleggen in privacybeleid en interne documentatie, en relevante wetten inzake toezicht op de werkplek van staten of territoria overwegen.
Workplace Surveillance Acts (staatsniveau, Australië)
Sommige Australische staten en territoria reguleren monitoring op de werkplek directer via wetten inzake toezicht op de werkplek, zoals de Workplace Surveillance Act 2005 (NSW) en de Workplace Privacy Act 2011 (ACT).
Deze wetten kunnen bepalen wanneer en hoe werkgevers camera-, computer- en trackingtoezicht mogen gebruiken, waarbij vaak voorafgaande schriftelijke kennisgeving, duidelijke beleidsregels en specifieke voorwaarden vereist zijn voordat monitoring begint.
Verborgen of heimelijk toezicht is sterk beperkt en kan specifieke bevoegdheid of juridische goedkeuring vereisen. Het mag niet worden behandeld als een routinemethode voor prestatieregistratie.
Voor online monitoringtools betekent dit dat werkgevers in betrokken staten en territoria duidelijke, tijdige kennisgeving moeten geven waar vereist en ervoor moeten zorgen dat elk computer-, internet-, e-mail- of trackingtoezicht in overeenstemming is met de toepasselijke wettelijke voorwaarden.
Privacy Act 2020 (Nieuw-Zeeland)
De Privacy Act 2020 van Nieuw-Zeeland biedt het privacykader van het land en is van toepassing op persoonsgegevens die door instanties worden verwerkt, inclusief informatie die wordt verzameld via monitoring op de werkplek of online monitoring.
De wet vereist dat organisaties informatie alleen verzamelen voor rechtmatige, noodzakelijke doeleinden, open zijn over hun praktijken en personen toegang geven tot hun persoonsgegevens waar van toepassing.
Richtlijnen van toezichthouders benadrukken dat het monitoren, opnemen of filmen van werknemers moet gebeuren in overeenstemming met de Privacy Act en privacybeginselen. Werkgevers moeten ook overwegen hoe monitoring het vertrouwen, de moraal en de werkrelaties van werknemers kan beïnvloeden.
Werkgevers worden aangemoedigd om personeel te raadplegen, uit te leggen waarom monitoring nodig is, duidelijke werkplekbeleidsregels te gebruiken en de impact van continue of gedetailleerde tracking te overwegen.
Officiële bronnen:
OAIC - De Privacy Act Officieel overzicht van Australia's Privacy Act 1988 en de Australian Privacy Principles.
OAIC - Uitzondering voor werknemersdossiers Legt uit wanneer de verwerking van werknemersdossiers door werkgevers in de particuliere sector kan zijn vrijgesteld van de Australian Privacy Principles.
OAIC - Monitoring en toezicht op de werkplek Richtlijnen waarin wordt uitgelegd dat monitoring op de werkplek staats-, territoriale en andere relevante Australische wetten kan omvatten.
ACT Legislation - Workplace Privacy Act 2011 Officiële ACT-wetgevingspagina voor de Workplace Privacy Act 2011.
New Zealand Legislation - Privacy Act 2020 Officiële tekst van Nieuw-Zeelands Privacy Act 2020.
New Zealand Privacy Commissioner - Privacy Act 2020 Officieel overzicht van de privacybeginselen van Nieuw-Zeeland.
Employment New Zealand - Privacy van werknemers Richtlijnen over werknemersprivacy, monitoring op de werkplek, opnemen en filmen van werknemers.
Azië-Pacific-regio
PDPA (Personal Data Protection Act) - Singapore
Omvat persoonsgegevens die door organisaties worden verzameld, gebruikt of openbaar gemaakt, inclusief gegevens die kunnen worden verzameld via werknemersmonitoring of online monitoring.
Vereist dat organisaties persoonsgegevens verzamelen, gebruiken of openbaar maken voor passende doeleinden en met toestemming, veronderstelde toestemming of een andere toepasselijke uitzondering waar toegestaan.
Sterke nadruk op transparantie, juiste kennisgeving, doelbinding en waarborgen voor gegevensbescherming.
Organisaties moeten personen informeren over de doeleinden waarvoor hun persoonsgegevens worden verzameld, gebruikt of openbaar gemaakt.
Bewaring moet beperkt blijven tot wat noodzakelijk is voor wettelijke of zakelijke doeleinden.
PDPA - Maleisië
Van toepassing op persoonsgegevens die worden verwerkt in commerciële transacties, inclusief arbeidsgerelateerde contexten waarin persoonsgegevens worden verzameld of gebruikt.
Vereist dat organisaties voldoen aan belangrijke beginselen voor de bescherming van persoonsgegevens, waaronder algemene beginselen, kennisgeving en keuze, openbaarmaking, beveiliging, bewaring, gegevensintegriteit en toegangsrechten.
Organisaties moeten duidelijke kennisgeving geven over het doel van de verzameling van persoonsgegevens en hoe de gegevens zullen worden gebruikt.
Gegevens moeten worden verwerkt voor een specifiek en vermeld doel, worden beschermd met passende beveiligingsmaatregelen en niet langer worden bewaard dan noodzakelijk.
Bevat regels over bewaring, gegevensbeveiliging, toegangsrechten, correctierechten en verwerking door derden.
APPI (Act on the Protection of Personal Information) - Japan
Reguleert de verwerking van persoonsgegevens door bedrijven en andere gedekte entiteiten, inclusief persoonsgegevens van klanten en werknemers.
Vereist dat organisaties het gebruiksdoel specificeren en persoonsgegevens binnen dat vermelde doel verwerken.
Benadrukt gegevensbeveiliging, nauwkeurigheid, controle op bewaring en passend toezicht op werknemers en dienstverleners die persoonsgegevens verwerken.
Monitoringpraktijken waarbij persoonsgegevens betrokken zijn, moeten in lijn zijn met interne beleidsregels en het vermelde gebruiksdoel.
Personen kunnen afhankelijk van de context rechten hebben op openbaarmaking, correctie, opschorting van gebruik of verwijdering.
PIPL (Personal Information Protection Law) - China
Uitgebreide wet inzake bescherming van persoonsgegevens die de verwerking van persoonsgegevens in China omvat, evenals bepaalde verwerkingsactiviteiten buiten China waarbij personen in China betrokken zijn.
Vereist een duidelijk en redelijk doel, gegevensminimalisatie, transparantie en passende beveiligingsmaatregelen.
Toestemming kan in veel gevallen vereist zijn, terwijl andere rechtmatige verwerkingsgronden afhankelijk van de context van toepassing kunnen zijn.
Afzonderlijke toestemming kan vereist zijn voor gevoelige persoonsgegevens, bepaalde openbaarmakingen, grensoverschrijdende doorgiften of andere verwerkingsactiviteiten met een hoger risico.
Geeft personen rechten zoals inzage, correctie, verwijdering, intrekking van toestemming en uitleg over verwerkingsregels.
Officiële bronnen:
Singapore PDPC - Personal Data Protection Act Officieel overzicht van Singapore's Personal Data Protection Act.
Singapore PDPC - Verplichtingen inzake gegevensbescherming Officiële PDPC-pagina waarin belangrijke verplichtingen worden uitgelegd, zoals toestemming, kennisgeving, doelbinding, bescherming en bewaring.
Singapore PDPC - Adviesrichtlijnen over kernbegrippen in de PDPA Officiële richtlijnen waarin belangrijke PDPA-begrippen worden uitgelegd, inclusief toestemming en uitzonderingen.
Malaysia Department of Personal Data Protection - Personal Data Protection Act 2010 Officiële Maleisische overheidspagina voor de Personal Data Protection Act 2010.
Malaysia Department of Personal Data Protection - Beginselen van bescherming van persoonsgegevens Officieel overzicht van de zeven Maleisische beginselen voor de bescherming van persoonsgegevens.
Malaysia Department of Personal Data Protection - Richtlijnen voor kennisgevingen inzake bescherming van persoonsgegevens Officiële richtlijnen voor het opstellen van kennisgevingen inzake bescherming van persoonsgegevens.
Japan Personal Information Protection Commission - Act on the Protection of Personal Information Officiële Engelse vertaling van Japan's Act on the Protection of Personal Information.
Japan Personal Information Protection Commission Officiële website van de Japanse privacytoezichthouder.
China National Laws and Regulations Database - Personal Information Protection Law Officiële Chinese tekst van China's Personal Information Protection Law.
Cyberspace Administration of China - Personal Information Protection Law Officiële CAC-publicatie van China's Personal Information Protection Law.
Latijns-Amerika
LGPD (Lei Geral de Protecao de Dados) - Brazilië
De LGPD van Brazilië reguleert de verwerking van persoonsgegevens, inclusief gegevens die via digitale middelen worden verwerkt. Deze kan van toepassing zijn op informatie die wordt verzameld via online monitoring of monitoring op de werkplek wanneer de gegevens betrekking hebben op een geïdentificeerde of identificeerbare persoon.
Organisaties moeten een passende rechtsgrondslag voor monitoring vaststellen en het doel van gegevensverzameling uitleggen. Monitoring moet beperkt blijven tot wat noodzakelijk is, transparant worden uitgevoerd en worden ondersteund door passende beveiligingsmaatregelen.
Personen hebben rechten die onder meer inzage, correctie, verwijdering, overdraagbaarheid, informatie over gegevensdeling en intrekking van toestemming kunnen omvatten waar van toepassing.
Nationale privacywetten in Argentinië, Mexico en Chili
Argentinië, Mexico en Chili hebben nationale kaders voor gegevensbescherming die van toepassing kunnen zijn op persoonsgegevens die via monitoringtools worden verzameld, afhankelijk van de context en het type gegevens dat erbij betrokken is.
Gemeenschappelijke privacyverwachtingen in de regio omvatten het hebben van een duidelijk en passend doel, het informeren van personen over gegevensverzameling, het beperken van gegevensgebruik tot wat noodzakelijk is en het beschermen van persoonsgegevens met passende waarborgen.
Personen kunnen rechten hebben om hun persoonsgegevens in te zien, te corrigeren, bij te werken, te verwijderen of bezwaar te maken tegen bepaalde vormen van gebruik ervan, afhankelijk van de toepasselijke wetgeving.
Omdat specifieke vereisten per land verschillen en in de loop van de tijd kunnen veranderen, moeten organisaties de actuele lokale regels beoordelen voordat zij online monitoring of monitoring op de werkplek in deze markten implementeren.
Officiële bronnen:
Brazilië - Wet nr. 13.709/2018, Algemene wet inzake bescherming van persoonsgegevens (LGPD) Officiële geconsolideerde tekst van Brazilië's LGPD.
Argentinië - Agencia de Acceso a la Informacion Publica: Bescherming van persoonsgegevens Officiële pagina van de Argentijnse autoriteit over bescherming van persoonsgegevens.
Chili - Wet nr. 19.628 inzake bescherming van het privéleven Officiële tekst van Chili's wet inzake bescherming van persoonsgegevens.
Chili - Wet nr. 21.719, bescherming en verwerking van persoonsgegevens Officiële tekst van Chili's gemoderniseerde kader voor gegevensbescherming.
Midden-Oosten-regio
UAE Data Protection Law (Federaal wetsdecreet nr. 45 van 2021)
De federale wet inzake bescherming van persoonsgegevens van de VAE biedt een algemeen kader voor de verwerking van persoonsgegevens. Deze kan van toepassing zijn op organisaties die persoonsgegevens in de VAE verwerken of persoonsgegevens van personen in de VAE verwerken, afhankelijk van het toepassingsgebied van de wet en eventuele toepasselijke sectorspecifieke of free-zone-regels.
Voor monitoring moeten organisaties een duidelijk en rechtmatig doel definiëren, de gegevensverzameling beperken tot wat noodzakelijk is en sterke nadruk leggen op transparantie en beveiliging.
Organisaties moeten personeel informeren over monitoring waar vereist, hun redenen voor het verzamelen van persoonsgegevens documenteren en interne beleidsregels en waarborgen invoeren voor de verwerking van gemonitorde gegevens.
Qatar Data Privacy Protection Law
De privacywetgeving van Qatar inzake persoonsgegevens omvat persoonsgegevens die elektronisch worden verwerkt of bedoeld zijn voor elektronische verwerking.
Deze wet erkent het recht van een persoon op gegevensprivacy en vereist dat de verwerking van persoonsgegevens beginselen volgt zoals transparantie, eerlijkheid en respect voor privacy.
Voor monitoringsystemen moeten organisaties een duidelijk en rechtmatig doel hebben, personen informeren waar vereist en persoonsgegevens beschermen met passende beveiligingsmaatregelen.
Organisaties moeten ook toepasselijke rechten respecteren, inclusief rechten op inzage en correctie waar beschikbaar.
Saudi Personal Data Protection Law (PDPL)
De PDPL van Saoedi-Arabië reguleert de verwerking van persoonsgegevens in het Koninkrijk en kan ook van toepassing zijn op bepaalde verwerkingsactiviteiten buiten het Koninkrijk wanneer deze persoonsgegevens van personen in Saoedi-Arabië betreffen.
Voor monitoring moeten organisaties duidelijke doeleinden definiëren, privacybeleid aannemen en personen informeren over hoe hun persoonsgegevens zullen worden verzameld en gebruikt.
Toestemming kan in veel gevallen vereist zijn, terwijl andere rechtmatige gronden afhankelijk van de context van toepassing kunnen zijn.
Werkgevers die monitoringtools gebruiken, moeten gemonitorde gegevens beschermen, interne toegang beperken, onnodige verzameling vermijden en werknemersinformatie verwerken in overeenstemming met de transparantie-, beveiligings- en bewaareisen van de PDPL.
Officiële bronnen:
UAE Legislation - Federaal wetsdecreet nr. 45 van 2021 inzake de bescherming van persoonsgegevens Officiële tekst van de federale wet van de VAE inzake bescherming van persoonsgegevens.
Qatar Al Meezan - Wet nr. 13 van 2016 inzake bescherming van de privacy van persoonsgegevens Officiële Engelse PDF-tekst van Qatar's wet inzake privacy van persoonsgegevens.
SDAIA - Wet inzake gegevensbescherming Officiële pagina van de Saudi Data & AI Authority over de Personal Data Protection Law van Saoedi-Arabië.
SDAIA - Personal Data Protection Law Officiële Engelse versie van de Personal Data Protection Law van Saoedi-Arabië.
Eindoverwegingen voor verantwoorde monitoring
Wetten inzake online monitoring en werknemersmonitoring verschillen aanzienlijk tussen landen, staten, sectoren en werkplekomgevingen. Dezelfde monitoringtool kan in de ene context acceptabel zijn en in een andere context ongepast of onrechtmatig, afhankelijk van hoe deze is geconfigureerd, welke gegevens worden verzameld, of gebruikers worden geïnformeerd en hoe de informatie wordt gebruikt.
Een verantwoord monitoringprogramma moet doorgaans het volgende omvatten:
Een duidelijk en legitiem doel voor monitoring
Schriftelijke interne beleidsregels waarin wordt uitgelegd wat wordt gemonitord en waarom
Kennisgeving aan gebruikers of werknemers waar vereist
Beperkte en proportionele gegevensverzameling
Sterke toegangscontroles en beveiligingswaarborgen
Gedefinieerde bewaartermijnen voor verzamelde gegevens
Regelmatige beoordeling van monitoringpraktijken
Juridische beoordeling voor risicovolle, gevoelige, heimelijke of grensoverschrijdende monitoringscenario’s
Spyrix biedt monitoringsoftware voor geautoriseerd gebruik. Elke organisatie is echter verantwoordelijk voor het bepalen of haar specifieke gebruik van monitoringtools voldoet aan toepasselijke wetten, interne beleidsregels en kennisgevingsvereisten. Bij twijfel moeten organisaties gekwalificeerd juridisch advies inwinnen voordat zij monitoringsoftware implementeren of meer indringende monitoringfuncties inschakelen.