Onderzoek naar volg-app Scoober nodig om overtreding AVG vast te stellen

Close-up van een oranje fiets van maaltijdbezorger Thuisbezorgd.nl

Het is onbekend of Thuisbezorgd.nl actief gebruikmaakt van de volg-applicatie Scoober. Zelfs als dat het geval is, kan niet zonder meer geconcludeerd worden of het bedrijf daarmee de Algemene Verordening Gegevensbescherming (AVG) overtreedt. Het is aan de Autoriteit Persoonsgegevens om te oordelen of nader onderzoek noodzakelijk is.

Dat schrijft demissionair minister van Sociale Zaken en Werkgelegenheid Wouter Koolmees in een brief aan de Tweede Kamer.

Scoober verzamelt op grote schaal gegevens van werknemers

De kwestie draait om de applicatie Scoober. Just Eat Takeaway heeft deze app ontwikkeld om het gehele bezorgproces in kaart te brengen. De app registreert wanneer een bezorger een bezorgmaaltijd afhaalt bij een restaurant, welke route hij aflegt en hoelang hij daar over doet. Tevens legt hij iedere 15 tot 20 seconden legt hij de locatie van de bezorger vast. In totaal verwerkt de app voor iedere rit 39 gegevens. Deze gegevens worden jarenlang bewaard door Lieferando, een dochteronderneming van Just Eat Takeaway. Voor iedere bezorger gaat het jaarlijks om 100.000 gegevens.

De toezichthouder van de Duitse deelstaat Baden-Württemberg onderzocht Scoober. De privacywaakhond concludeerde in mei dat de volg-applicatie de AVG op grove wijze schendt. Omdat Just Eat Takeaway, hier ook wel bekend als Thuisbezorgd.nl, zijn hoofdkantoor in ons land heeft, is het aan de Autoriteit Persoonsgegevens om al dan niet een onderzoek in te stellen. Stefan Brink, voorzitter van de Duitse regionale toezichthouder, zei dat de maaltijdbezorger een miljoenenboete ‘met dubbele cijfers’ verdient.

Een woordvoerder van Lieferando zei dat het bedrijf zich aan de Europese privacywetgeving houdt. Volgens hem wordt de data die de app verzamelt niet gebruikt om werknemers te beoordelen of hun gedrag te sturen, maar om de dienstverlening te optimaliseren. Ook benadrukte hij dat werknemers weten waarvoor de app gebruikt wordt en hiermee hebben ingestemd.

Deze regels gelden voor werknemers om persoonsgegevens van werknemers te verzamelen

Het bericht was voor Bart van Kent (SP) aanleiding om schriftelijke vragen te stelen aan demissionair minister voor Sociale Zaken en Werkgelegenheid Wouter Koolmees. Hij vroeg zich onder meer af of Scoober in Nederland ook wordt gebruikt door Thuisbezorgd.nl. Minister Koolmees zegt dat hij deze vraag niet kan beantwoorden, omdat hij dat niet weet.

Op de vraag welke gegevens een werkgever van een werknemer mag opslaan en hoelang hij deze informatie mag bewaren, gaat de minister uitvoerig in. Voor het verwerken van persoonsgegevens van medewerkers zijn twee wettelijke regelingen van belang: de AVG en de Uitvoeringswet AVG (UAVG). Deze laatste geeft lidstaten de ruimte om nationale keuzes te maken op het vlak van privacybescherming.

Algemene regels voor een rechtmatige verwerking van persoonsgegevens zijn vastgelegd in hoofdstuk 2 van de AVG. Artikel 5 lid 1 somt zes algemene beginselen op voor gegevensverwerking. Zo staat er onder meer dat persoonsgegevens dusdanig verwerkt moeten worden dat betrokkenen weten hoe en waarom zijn gegevens worden verwerkt: de AVG spreekt van ‘rechtmatigheid, behoorlijkheid en transparantie’. Het principe van dataminimalisatie -dat organisaties alleen data mogen verzamelen die noodzakelijk is voor een gerechtvaardigd doeleinde- is eveneens in dit artikel vastgelegd: in artikel 5.1(c) om precies te zijn.

AVG noemt geen maximale bewaartermijn voor persoonsgegevens

Een ander artikel dat relevant is voor de rechtmatigheid van gegevensverwerking, is artikel 6. Deze artikel vertelt in welke gevallen het verwerken van persoonsgegevens is toegestaan. Bijvoorbeeld als een werknemer hier toestemming voor geeft, of de werkgever de wettelijke plicht heeft om bepaalde gegevens te verzamelen. Dan moet je denken aan het bijhouden van een urenregistratie om uitvoering te geven aan de Arbeidstijdenwet.

Het verzamelen van bijzondere persoonsgegevens -denk aan gezondheidsgegevens, biometrische gegevens, politieke opvattingen, etniciteit of seksuele geaardheid- is in beginsel verboden, zo benadrukt de minister. Dat bepaalt artikel 9 van de AVG. Ook hier geldt dat er uitzonderingen zijn. Zo mag een politieke partij de politieke ideologie van haar leden registreren. In het geval van ‘ernstige grensoverschrijdende gevaren voor de gezondheid’ mogen gezondheidsgegevens verzameld en verwerkt worden.

Minister Koolmees zegt dat de AVG geen concrete bewaartermijn voor persoonsgegevens noemt. “Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij moeten zij kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt”, zo schrijft hij aan de Tweede Kamer.

Nader onderzoek is nodig

Tot slot vraagt Van Kent of de minister bereid is om te onderzoeken of Thuisbezorgd.nl aan de AVG voldoet met haar app Scoober. Minister Koolmees zegt dat het de taak van de Autoriteit Persoonsgegevens is om al dan niet een onderzoek in te stellen. De AP is de onafhankelijke toezichthouder die toeziet op de naleving van de AVG door Nederlanders bedrijven en organisaties. De privacywaakhond is bevoegd om handhavend op te treden, bijvoorbeeld door een waarschuwing af te geven of een bestuurlijke boete op te leggen.

Of Scoober voldoet aan de Europese privacyregels, kan de minister niet zeggen. Daarvoor is nader onderzoek nodig, waar de Autoriteit Persoonsgegevens over beslist. Ook benadrukt hij dat het onbekend is of “Thuisbezorgd.nl gebruik maakt van een volg-app, wat voor volg-app dat dan is en of en welke persoonsgegevens exact worden opgeslagen”. Kortom, de bal ligt bij de toezichthouder om al dan niet iets te doen met de klacht van de regionale privacywaakhond uit Duitsland.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen