Toestemming op het werk? De uitzondering die (bijna) nooit werkt
Een slimme armband die je hartslag meet. Een app die je werkdruk monitort. Een algoritme dat je prestaties voorspelt. Klinkt als sciencefiction, maar het is vandaag al realiteit op de werkvloer. Werkgevers willen inzetten op welzijn en preventie, werknemers willen gezond en veilig blijven. Maar tussen die goede bedoelingen staat een obstakel: de AVG. En meer bepaald: de vraag of toestemming van werknemers wel geldig is.
Want hoe vrijwillig is toestemming eigenlijk, als je baas het vraagt? En wat als je ‘nee’ zegt, maar je collega’s wél meedoen? Mag een werkgever dan echt gezondheidsdata verzamelen, zelfs met de beste bedoelingen? Achter die ene klik op een checkbox schuilt vaak een spanningsveld van macht, druk en afhankelijkheid. En precies daar wringt het juridisch schoentje – veel meer dan je zou denken. Want achter die eenvoudige vraag – "mag ik?" – schuilt een veel fundamentelere discussie over macht, vertrouwen en grenzen op het werk.
Toestemming onder de AVG: meer dan een checkbox
De AVG stelt strikte voorwaarden
De vraag "mag ik je armbandje scannen?" is in feite een vraag naar toestemming om persoonsgegevens te verwerken. En volgens de AVG mag dat alleen als daar een geldige rechtsgrond voor bestaat. Artikel 6 van de Algemene Verordening Gegevensbescherming somt zes rechtsgronden op, waarvan toestemming er slechts één is. Het is nochtans een bijzondere rechtsgrond: ze vertrekt vanuit de autonomie van de betrokkene. Toestemming veronderstelt dat de betrokkene bewust en vrijwillig instemt met de verwerking van zijn of haar gegevens. Vanuit dat perspectief is het misschien wel de zuiverste grondslag die de AVG biedt – maar precies daarom is ze ook het meest veeleisend.
Artikel 4.11 AVG bepaalt dat geldige toestemming alleen bestaat als ze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Deze vier voorwaarden zijn geen formaliteiten, maar dwingende criteria die in samenhang moeten worden bekeken. Toestemming is dan ook geen hol ritueel, maar een instrument dat enkel rechtsgeldig is als het voldoet aan die inhoudelijke vereisten.
Wat betekent dat concreet? Vrij betekent dat de betrokkene reëel de mogelijkheid heeft om nee te zeggen, zonder negatieve gevolgen. Specifiek impliceert dat de toestemming gekoppeld is aan een welbepaald doeleinde – een algemene toestemmingsverklaring voor alles is ongeldig. Geïnformeerd vereist dat de betrokkene begrijpt waarvoor hij toestemming geeft, inclusief de risico's, gevolgen en zijn rechten. En ondubbelzinnig betekent dat de toestemming een actieve handeling veronderstelt – zwijgen of vooraf aangevinkte vakjes voldoen niet.
Van die vier voorwaarden is vooral "vrij" de toetssteen in de arbeidsrelatie. Want net daar staat de vrijwilligheid onder druk. Een werknemer bevindt zich in een afhankelijkheidsrelatie: zelfs zonder expliciete dwang kan sociale druk, vrees voor uitsluiting of subtiele hiërarchische verwachtingen de keuzevrijheid ernstig uithollen.
Recital 43: de machtsverhouding ondergraaft vrijwilligheid
Overweging 43 van de AVG stelt expliciet dat toestemming vermoedelijk niet geldig is wanneer er sprake is van een duidelijke machtsverhouding. Als klassiek voorbeeld verwijst de tekst naar de relatie tussen overheid en burger. De achterliggende gedachte is helder: wie zich in een afhankelijkheidspositie bevindt, kan moeilijk vrij beslissen.
Dat principe geldt met evenveel kracht in de arbeidsrelatie. De Belgische Arbeidsovereenkomstenwet laat daar geen twijfel over bestaan: een arbeidsovereenkomst impliceert dat de werknemer zich onder het gezag van de werkgever plaatst. Dat gezag is niet louter hiërarchisch – het vertaalt zich in instructies, functioneringsevaluaties, en beslissingen over promotie, overplaatsing of zelfs ontslag. Daarbovenop komt de economische afhankelijkheid: voor de meeste werknemers is het behoud van hun job essentieel om hun levensstandaard te waarborgen.
Zelfs in een werkomgeving met een goede verstandhouding en open communicatie blijft die machtsasymmetrie overeind. Werknemers worden individueel beoordeeld – in functionerings- of evaluatiegesprekken – en functioneren tegelijk in een teamcontext waar competitie en vergelijking niet zeldzaam zijn. De vraag van een werkgever om toestemming te geven is in dat kader zelden vrijblijvend. Wie nee zegt, kan vrezen voor subtiele repercussies: minder kansen, minder vertrouwen, een verminderde positie in het team.
Met andere woorden: zelfs al lijkt de toestemming vrij, de context waarin ze gevraagd wordt – en vooral waarin ze verondersteld wordt gegeven te zijn – maakt dat vaak onmogelijk. Precies daarom wordt toestemming in de arbeidsrelatie juridisch met argwaan bekeken, en terecht.
Juridische fictie versus realiteit op de werkvloer
Stel dat een werknemer gevraagd wordt om toestemming te geven voor een verwerking die ogenschijnlijk voordelig is – bijvoorbeeld deelname aan een welzijnsprogramma of het dragen van een slimme armband. Zelfs als er geen expliciete dwang is, kan sociale druk, carrière-afhankelijkheid of teamdynamiek het moeilijk maken om nee te zeggen. In dat geval is de toestemming niet vrij, en dus niet geldig. Werkgevers die denken zich juridisch in te dekken met een toestemmingsformulier, staan op glad ijs.
Wat toezichthouders zeggen: zelden geldig, bijna nooit veilig
Belgische GBA: structureel wantrouwen
De Belgische Gegevensbeschermingsautoriteit (GBA) laat er geen twijfel over bestaan: toestemming in een arbeidsrelatie is juridisch problematisch. In haar uitgebreide Q&A over toestemming wijst ze op het inherente machtsonevenwicht tussen werkgever en werknemer. Dat onevenwicht ondermijnt de vrijheid die nodig is om geldige toestemming te geven.
De GBA stelt letterlijk:
"De toestemming moet vrij zijn, en dat is niet het geval wanneer er een wanverhouding bestaat tussen de betrokkene en de verwerkingsverantwoordelijke."
In de arbeidscontext is dat doorgaans het geval. Daarom raadt de toezichthouder uitdrukkelijk aan om voor de verwerking van werknemersgegevens liever een andere rechtsgrond te kiezen, zoals uitvoering van de arbeidsovereenkomst of wettelijke verplichting.
Dat de GBA een afzonderlijke, diepgaande toelichting heeft gewijd aan dit onderwerp toont aan hoe principieel dit punt is. Toestemming moet méér zijn dan een formaliteit. Ze vereist inhoudelijke garanties: geen druk, geen nadeel bij weigering, volledige transparantie en een echte keuze. In een klassieke arbeidsrelatie zijn die garanties zelden realistisch.
Nederlandse AP: vrijwilligheid is fictie
Ook de Autoriteit Persoonsgegevens (AP) in Nederland benadrukt dat toestemming in de arbeidscontext zelden als vrij kan worden beschouwd. In haar toelichting over toestemming als grondslag stelt de AP dat het in veel gevallen de vraag is of een werknemer zich werkelijk vrij voelt om toestemming te geven. Juist omdat de werknemer afhankelijk is van de werkgever, is het risico op impliciete druk groot.
In haar specifieke richtlijnen over personeelsgegevens stelt de AP dat toestemming in arbeidsrelaties niet snel als geldig wordt beschouwd. Ze geeft daarbij het voorbeeld van een intern smoelenboek, waarvoor toestemming vereist is. Maar ook daar geldt: alleen als de werknemer zonder gevolgen kan weigeren, is de toestemming rechtsgeldig. Zodra er sprake is van sociale druk, impliciete verplichting of nadelige gevolgen bij weigering, is de toestemming niet geldig.
Volgens de AP biedt toestemming dan ook "niet gauw een geldige reden" voor de verwerking van personeelsgegevens. Werkgevers moeten in plaats daarvan zoeken naar een andere rechtsgrond, zoals noodzakelijkheid voor uitvoering van de arbeidsovereenkomst of een wettelijke verplichting, wanneer dat mogelijk is.
Franse CNIL: enkel bij volledige vrijblijvendheid
De Franse toezichthouder CNIL onderschrijft dezelfde kritische houding ten aanzien van toestemming in de arbeidsrelatie. In haar referentiedocument voor HR-verwerkingen uit 2019 stelt ze dat toestemming alleen geldig is wanneer het weigeren ervan geen enkele consequentie heeft voor de werknemer. Zodra de weigering – expliciet of impliciet – gevolgen heeft voor hoe iemand beoordeeld of behandeld wordt, is er geen sprake meer van vrijwilligheid.
Een treffend voorbeeld uit het document is de opname van een promotiefilmpje op de werkvloer. Werknemers mogen gevraagd worden om hierin in beeld te komen, maar hun medewerking moet volledig facultatief zijn. De weigering om deel te nemen mag geen enkele invloed hebben op hun functie, teamdynamiek of loopbaanvooruitzichten. Enkel in die uitzonderlijke context kan toestemming als geldig worden beschouwd.
De CNIL benadrukt dat werkgevers zich best beroepen op andere grondslagen (zoals wettelijke verplichtingen of gerechtvaardigd belang) wanneer het gaat om reguliere HR-verwerkingen. Toestemming is slechts geschikt voor bijkomstige of optionele verwerkingen die geen impact hebben op de arbeidsverhouding.
EDPB: Europese bevestiging van terughoudendheid
Ook de European Data Protection Board (EDPB) bevestigt dat toestemming in de arbeidsrelatie zelden rechtsgeldig kan zijn. In haar richtlijn Guidelines 05/2020 on consent under Regulation 2016/679, stelt de EDPB uitdrukkelijk dat toestemming geen geldige grondslag is wanneer de betrokkene geen reëel alternatief heeft om te weigeren. Ze noemt daarbij expliciet de arbeidscontext als voorbeeld van een machtsverhouding die vrijwilligheid ernstig belemmert:
“If the data subject has no realistic alternative to accepting the processing (e.g. in the context of employment or the provision of a service by a monopoly provider), then consent is not freely given.”
(EDPB Guidelines 05/2020, punt 3.1.1)
De EDPB herhaalt hiermee wat eerdere WP29-adviezen al stelden: in werksituaties kan de werknemer zich vaak moeilijk onttrekken aan de vraag om toestemming, zeker als hij of zij zich in een afhankelijke positie bevindt. In zulke gevallen is de toestemming niet vrij, en dus ongeldig.
De boodschap van de EDPB is helder: toestemming moet méér zijn dan een papieren akkoord. Ze vereist een reële keuzevrijheid, zonder druk of impliciete gevolgen. En precies daarom is deze grondslag in de arbeidsrelatie zelden passend.
De rechtspraak: hoge lat, zelfs in uitzonderingsgevallen
De vakbondscasus in België (2020)
In een beslissing van 9 november 2020 (Beslissing ten gronde nr. 72/2020) onderzocht de GBA of toestemming van werknemers geldig kon zijn voor het verwerken van gevoelige gegevens, namelijk hun vakbondslidmaatschap. De zaak betrof een ziekenhuis dat, op verzoek van werknemers, vakbondsbijdragen inhield van het loon en daartoe gegevens over vakbondslidmaatschap verwerkte. Het ziekenhuis baseerde zich op toestemming van de betrokken werknemers, die schriftelijk werd verkregen.
De GBA erkende het klassieke probleem van machtsonevenwicht in de arbeidsrelatie en stelde dat toestemming in die context slechts in uitzonderlijke gevallen geldig kan zijn. Toch aanvaardde de Geschillenkamer in dit geval de toestemming als rechtsgeldig, omdat het initiatief volledig bij de werknemer lag, er geen enkel voordeel of belang was voor de werkgever, en er geen enkele aanwijzing was van dwang, druk of nadeel bij weigering. Wel werd de werkgever op de vingers getikt omdat het toestemmingsformulier onvoldoende informatie bevatte over het recht om toestemming in te trekken, wat strijdig is met de AVG.
Deze beslissing toont aan hoe hoog de lat ligt voor geldige toestemming in een arbeidsrelatie. Zelfs bij een verwerking die in het belang van de werknemer gebeurt, op diens initiatief, en zonder voordeel voor de werkgever, blijft uiterste zorg vereist in de informatievoorziening en de bewijsvoering.
Vingerafdrukken voor tijdsregistratie (Nederland, 2020)
In 2020 legde de Autoriteit Persoonsgegevens (AP) in Nederland een boete op van €725.000 aan een bedrijf dat vingerafdrukken gebruikte voor tijdsregistratie van werknemers. De werkgever beweerde dat dit op basis van toestemming gebeurde. Maar de AP oordeelde dat deze toestemming ongeldig was: er was geen reëel alternatief voorzien voor werknemers die hun vingerafdruk niet wilden afstaan, en de informatie over het gebruik en de bewaartermijn van de biometrische gegevens was onvolledig.
De verwerking was des te gevoeliger omdat het ging om biometrische gegevens, die volgens artikel 9 AVG tot een bijzondere categorie behoren. Zulke gegevens mogen alleen worden verwerkt onder strikte uitzonderingen. Toestemming is één van die uitzonderingen, maar de drempel ligt bijzonder hoog. De AP benadrukte dat werknemers zich in een afhankelijke positie bevinden ten opzichte van hun werkgever, en dus zelden in staat zijn om echt vrijwillig toestemming te geven.
Deze zaak is illustratief voor de manier waarop toezichthouders toestemming onder de loep nemen in de arbeidscontext. Zelfs wanneer de werknemer instemt, moet die toestemming aan alle formele én materiële voorwaarden voldoen. Is dat niet het geval, dan is de verwerking in strijd met de AVG – met alle gevolgen van dien.
De principiële vraag: wat staat er echt op het spel?
Toestemming als strategie? Of als schijnoplossing?
In heel wat situaties op de werkvloer kiezen werkgevers ervoor om zich te baseren op toestemming, soms uit voorzichtigheid, soms uit automatisme. Maar precies daarin schuilt het risico: toestemming wordt dan geen bewuste juridische strategie, maar een schijnoplossing – een manier om schijnzekerheid te creëren in plaats van echte rechtsgeldigheid.
De eerste reflex zou altijd moeten zijn: Wat wil ik hier precies doen? En op welke grondslag kan ik dat baseren? In veel gevallen is er helemaal geen toestemming nodig, omdat de verwerking kan gebeuren op basis van een andere – en veel stabielere – rechtsgrond: bijvoorbeeld omdat de verwerking noodzakelijk is voor de uitvoering van de arbeidsovereenkomst (art. 6.1.b AVG), of omdat er een wettelijke verplichting geldt (art. 6.1.c AVG), zoals uit de welzijnswetgeving of fiscale regelgeving.
Toestemming komt pas in beeld wanneer de beoogde verwerking níet onder die noodzakelijke doeleinden valt. Maar precies dan moet de werkgever uiterst voorzichtig zijn: gaat het hier echt om een vrijwillige, facultatieve handeling, zonder druk of impliciete verwachting? Is het duidelijk waarvoor toestemming wordt gevraagd, en is weigeren een realistische optie? Als dat niet met volle overtuiging beantwoord kan worden, is toestemming geen oplossing – maar een risico op zich.
Vertrouwen als fundament van goed werkgeverschap
De echte inzet gaat over meer dan AVG-naleving. Het gaat over vertrouwen, autonomie en grensafbakening. Werknemers hebben recht op bescherming – niet alleen tegen datalekken, maar ook tegen subtiele dwang. En werkgevers hebben de plicht om hun verantwoordelijkheid niet af te schuiven op een checkbox.
Privacy is méér dan een juridische formaliteit. Het raakt aan de menselijke behoefte aan respect, erkenning en controle over het eigen lichaam en gedrag. Werknemers die het gevoel hebben dat hun grenzen worden gerespecteerd, voelen zich doorgaans meer gewaardeerd – en dat vertaalt zich in betrokkenheid, motivatie en loyaliteit. In tijden van 'employee retention' en war for talent is dat geen detail, maar een strategisch aandachtspunt.
Wie privacy ernstig neemt, investeert dus niet alleen in compliance, maar ook in vertrouwen. En vertrouwen is geen checkbox. Het is het resultaat van consistente keuzes, transparante communicatie en eerlijke omgang met macht en afhankelijkheid.
Wanneer kan toestemming toch werken?
Hoewel toestemming in de arbeidsrelatie doorgaans geen veilige basis vormt, zijn er uitzonderingen waarin ze onder zeer strikte voorwaarden toch inzetbaar kan zijn. Werkgevers die overwegen om zich op toestemming te beroepen, moeten beseffen dat het geen standaardoplossing is, maar een juridische route die een zorgvuldige aanpak vereist.
Wanneer het initiatief bij de werknemer ligt
Als de verwerking vertrekt vanuit een expliciet verzoek van de werknemer zelf – bijvoorbeeld om een voordeel te verkrijgen of een specifieke dienst te activeren – en de werkgever er zelf geen belang bij heeft, vergroot dit de kans dat toestemming als vrij kan worden beschouwd. De GBA aanvaardde dit uitgangspunt in de vakbondscasus (2020), weliswaar onder bijkomende voorwaarden.
Bij volledig facultatieve en neutrale keuzes
Toestemming heeft meer kans van slagen wanneer er een echt gelijkwaardig alternatief is zonder enig nadeel. Denk aan een werknemer die mag kiezen tussen klassieke tijdsregistratie of een nieuw digitaal systeem, en waarbij beide opties volledig gelijkwaardig zijn qua werking en gevolgen. Cruciaal is dat er geen impliciete druk ontstaat om voor de ‘moderne’ optie te kiezen.
Bij afgebakende, laag-risico verwerkingen
Hoe beperkter het doel, hoe beter. Een eenmalige toestemming om in beeld te komen op een teamfoto, bijvoorbeeld, heeft minder risico dan een structurele toestemming voor gedragsmonitoring. Tijdelijke en duidelijk afgelijnde verwerkingen met beperkte toegang en korte bewaartermijnen zijn beter te verantwoorden.
Met robuuste procedurele waarborgen
Een geldige toestemmingsprocedure vereist méér dan een formulier. Er moet volledige transparantie zijn, een laagdrempelige opt-out zonder gevolgen, en een bewijsbare scheiding tussen instemmen en functioneren. Idealiter worden vertrouwenspersonen of preventieadviseurs betrokken om druk en beïnvloeding te vermijden.
Maar zonder garanties
Zelfs wanneer aan deze voorwaarden voldaan is, blijft toestemming een juridisch kwetsbare grondslag in arbeidsverhoudingen. Wie dit pad bewandelt, doet er goed aan dit te documenteren en juridisch te laten aftoetsen. De bewijslast ligt immers bij de werkgever.
De praktijk getest: slimme armbanden en hittepreventie
De casus: preventieve gezondheid meten met wearables
Stel: een werkgever wil bij extreme hitte armbanden inzetten die temperatuur en hartslag meten. Bij signalen van oververhitting krijgt de werknemer een waarschuwing om te pauzeren. De bedoeling is goed: voorkomen dat mensen onwel worden. Maar is het ook juridisch houdbaar?
De gegevens zijn bijzonder gevoelig
Lichaamstemperatuur en hartslag zijn gezondheidsgegevens in de zin van artikel 9 AVG. Dat betekent dat verwerking in principe verboden is, tenzij een uitzondering van toepassing is. Mogelijke uitzonderingen:
· Uitdrukkelijke toestemming (art. 9.2.a): maar zoals hierboven uitgelegd, is die zelden geldig in een arbeidscontext.
· Wettelijke verplichting (art. 9.2.b): bv. op basis van de Welzijnswet. Maar die verplicht geen wearables; algemene maatregelen zoals pauzes en ventilatie volstaan.
· Vitale belangen (art. 9.2.c): enkel bij acute noodsituaties waarbij de werknemer zelf niet kan instemmen. Niet van toepassing bij preventie.
De juridische conclusie
In deze casus zijn zowel de wettelijke verplichting (art. 9.2.b AVG) als de uitzondering inzake vitale belangen (art. 9.2.c AVG) duidelijk niet van toepassing. De enige denkbare rechtsgrond blijft dus uitdrukkelijke toestemming van de werknemer (art. 9.2.a AVG). Zoals in deze blog uitvoerig uiteengezet, is dat in een arbeidscontext problematisch wegens het structurele machtsonevenwicht. Toch valt een genuanceerde benadering te overwegen.
Wanneer de verwerking uitsluitend bedoeld is om het welzijn van de werknemer te beschermen – in dit geval door tijdig pauzes te kunnen toekennen op basis van fysiologische signalen – kan men stellen dat het belang van de werknemer zelf centraal staat. Zeker wanneer deelname aan het systeem volledig facultatief is, zonder enige negatieve impact bij weigering, en de toestemming wordt ingewonnen in een vertrouwelijke context (bij voorkeur door een preventieadviseur of vertrouwenspersoon), wordt het risico op impliciete druk verminderd.
Daarbij komt: indien het doel zeer duidelijk en beperkt is (bv. louter hittepreventie), de bewaartermijn strikt afgebakend, en de toegang tot de gegevens beperkt tot wie functioneel betrokken is bij welzijn en preventie, dan kunnen die elementen samen bijdragen aan een rechtsgeldige toestemming. Geen garantie – maar wel een beter onderbouwde afweging.
In die zin is de inzet van wearables misschien verdedigbaar, mits een uiterst zorgvuldige implementatie en met respect voor de privacyverwachtingen van werknemers. Maar zelfs dan blijft het essentieel dat elke stap transparant, proportioneel en vrij van druk gebeurt. De lat blijft hoog – ook als het goed bedoeld is.
Tot slot: vertrouwen vraagt meer dan een vinkje
Toestemming is geen magisch wapen tegen de AVG. Zeker in de arbeidsrelatie is het een uitzonderingsgrond die alleen geldig is onder strikte, zelden vervulde voorwaarden. Werkgevers die technologie willen inzetten om het welzijn van hun werknemers te verbeteren, doen er goed aan om niet blind te vertrouwen op toestemming. De lat ligt hoog – en terecht.
Bij consey.legal helpen we bedrijven om hun datastrategie juridisch én ethisch robuust uit te tekenen. Geen vinkjespolitiek, maar onderbouwde keuzes die standhouden bij kritische vragen. Wil je weten of jouw project de toets van de AVG doorstaat? Neem contact op via hallo@consey.legal. We denken graag met je mee.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
