De kernvraag is: mag je camera’s inzetten, mailboxen doorzoeken of monitoringssoftware gebruiken, en onder welke voorwaarden?
1. Juridisch kader
Voor controle van werknemers geldt een combinatie van privacy- en arbeidsrechtelijke regels:
AVG / UAVG; het kernkader voor verwerking van persoonsgegevens.
Art. 8 EVRM & art. 10 Grondwet: recht op privacy en persoonlijke levenssfeer.
Art. 7:611 BW: goed werkgeverschap.
Richtsnoeren van de Autoriteit Persoonsgegevens (AP) (nieuw aangescherpt beleid 2025–2026) over werknemercontrole.
Volgens de AP zijn heimelijke controles alleen toegestaan op grond van een serieuze verdenking van onrechtmatig gedrag, tijdelijk en proportioneel, en alleen als er geen minder ingrijpende manier is om bewijs te verkrijgen.
2. Algemene uitgangspunten (rechtspraak en AP-beleid)
Voor werkgevers geldt bij elk controlemiddel:
Proportionaliteit en subsidiariteit: de controle mag niet verder gaan dan strikt noodzakelijk om een gerechtvaardigd doel te bereiken.
Transparantie: Werknemers moeten vooraf worden geïnformeerd over wat, hoe en waarom controle plaatsvindt (bijv. in personeelsreglementen).
OR-instemming: Bij structurele monitoring (zoals continue camera’s of track-and-trace) is medezeggenschap via de ondernemingsraad vereist.
DPIA-plicht: Voor grootschalige of heimelijke inspecties is altijd een gegevensbeschermingseffectbeoordeling (DPIA) vereist.
Rechten van betrokkenen moeten worden gerespecteerd: Inzagerecht, bezwaar, beperking, verwijdering waar mogelijk.
3. Praktische richtlijnen per controlemiddel op basis van rechtspraak en richtlijnen
De werkgever mag de mailbox van een zieke werknemer inzien als dit noodzakelijk is voor voortgang van werk, er geen minder ingrijpende opties bestaan en alleen zakelijke e-mails worden ingezien.
Monitoringsoftware / digitale monitoring
Tools die muisbewegingen, schermactiviteit of aanwezigheid via wifi/VPN registreren worden door de AP als “zeer ingrijpend” gezien en mogen alleen als er een geldige grondslag bestaat, het noodzakelijk is, het proportioneel is, werknemers vooraf zijn geïnformeerd, er rekening wordt gehouden met het recht op vertrouwelijke communicatie, de OR instemt bij structurele monitoring.
(Heimelijke) inspecties
Heimelijk toezicht mag alleen bij concrete en zwaarwegende verdenkingen, zoals fraude, diefstal, ernstige misstanden, structurele schending van bedrijfsbeveiliging.
De werkgever moet kunnen aantonen dat open monitoring niet mogelijk is en directe communicatie/ondervraging niets oplevert en andere alternatieven (metadata, beperkte inzage, IT‑logboeken) onvoldoende zijn.
De inbreuk moet zeer nauw zijn begrensd: alleen gericht op het specifieke vermoeden, zo kort mogelijk in tijd, zo beperkt mogelijk in omvang, geen structurele surveillance.
Heimelijke inspectie is dus het ultimum remedium.
Camera-toezicht
(Zichtbaar) cameratoezicht mag bij een gerechtvaardigd belang, zoals:
bescherming van werknemers;
veiligheid (dode hoeken, agressie & geweld);
bescherming van eigendommen;
het voorkomen van incidenten.
Verborgen is het alleen – tijdelijk – toegestaan bij een concreet en zwaarwegend vermoeden (zoals ernstige fraude of diefstal) als vooraf kenbaar is gemaakt dat verborgen camera’s kunnen worden ingezet, met instemming OR.
Camera’s mogen niet gebruikt worden voor performance-evaluatie of routinematige beoordeling.
De AP hanteert maximaal 4 weken voor camerabeelden, tenzij incident – dan bewaren tot afhandeling.
Mailbox controle
Toegang tot zakelijke mailbox mag alleen in het geval van een gerechtvaardigd belang, zoals: vermoeden van onregelmatigheden of fraude, bescherming van bedrijfsgeheimen of bedrijfscontinuïteit, systeem- of netwerkbeveiliging.
De controle moet noodzakelijk zijn en er mag geen minder ingrijpend alternatief zijn. De inbreuk op de privacy moet in verhouding staan tot het doel. Bij de beoordeling wordt o.a. gekeken naar:
omvang van de controle;
aard van de inhoud (zakelijk vs. privé);
eenmalige vs. structurele controle.
Werkgevers moeten werknemers van tevoren informeren over dat controle mogelijk is, waarom er gecontroleerd kan worden, hoe de controle wordt uitgevoerd, welke gegevens worden bekeken. Dit moet bijvoorbeeld in een e‑mailbeleid, personeelshandboek of protocol.
Werkgevers mogen geen privé e‑mails lezen. Zelfs binnen de zakelijke mailbox blijft dit beschermd onder het recht op vertrouwelijke communicatie. Ook de AP benadrukt dit expliciet.
Geheime of verborgen controle raakt de privacy zwaar, maar is soms toegestaan wanneer:
er een ernstig vermoeden van misstanden is;
andere middelen niet werken
controle strikt beperkt blijft.
Onterechte heimelijke controle kan leiden tot ernstige verwijtbaarheid van de werkgever en schadevergoedingen.
5. Conclusie
Controle van werknemers mag in Nederland, maar alle controlemaatregelen staan onder streng toezicht van privacy-wetgeving, EVRM-rechten en AVG-regels. Recente jurisprudentie toont aan dat camera- en webcammonitoring in het bijzonder zeer kritisch worden getoetst, en dat schendingen kunnen leiden tot vernietiging van ontslagen of aanzienlijke schadevergoedingen.
Bij twijfel altijd eerst juridisch advies inwinnen, en beleid en protocollen up-to-date houden met transparante informatie aan werknemers en OR-instemming waar nodig.
Over de auteurs
Gerelateerd nieuws
De AP in 2026: focus op massasurveillance, AI en digitale weerbaarheid
Vitale infrastructuur op Amerikaanse servers: Solvinity en de grenzen van Nederlandse digitale autonomie
Cyberwet werkt in de rechtszaal, maar niet in de opsporing
