9 februari 2026

Privacy

De kernvraag is: mag je camera’s inzetten, mailboxen doorzoeken of monitoringssoftware gebruiken, en onder welke voorwaarden?

1. Juridisch kader

Voor controle van werknemers geldt een combinatie van privacy- en arbeidsrechtelijke regels:

  • AVG / UAVG; het kernkader voor verwerking van persoonsgegevens.

  • Art. 8 EVRM & art. 10 Grondwet: recht op privacy en persoonlijke levenssfeer.

  • Art. 7:611 BW: goed werkgeverschap.

  • Richtsnoeren van de Autoriteit Persoonsgegevens (AP) (nieuw aangescherpt beleid 2025–2026) over werknemercontrole.

Volgens de AP zijn heimelijke controles alleen toegestaan op grond van een serieuze verdenking van onrechtmatig gedrag, tijdelijk en proportioneel, en alleen als er geen minder ingrijpende manier is om bewijs te verkrijgen.

2. Algemene uitgangspunten (rechtspraak en AP-beleid)

Voor werkgevers geldt bij elk controlemiddel:

  • Proportionaliteit en subsidiariteit: de controle mag niet verder gaan dan strikt noodzakelijk om een gerechtvaardigd doel te bereiken.

  • Transparantie: Werknemers moeten vooraf worden geïnformeerd over wat, hoe en waarom controle plaatsvindt (bijv. in personeelsreglementen).

  • OR-instemming: Bij structurele monitoring (zoals continue camera’s of track-and-trace) is medezeggenschap via de ondernemingsraad vereist.

  • DPIA-plicht: Voor grootschalige of heimelijke inspecties is altijd een gegevensbeschermingseffectbeoordeling (DPIA) vereist.

  • Rechten van betrokkenen moeten worden gerespecteerd: Inzagerecht, bezwaar, beperking, verwijdering waar mogelijk.

3. Praktische richtlijnen per controlemiddel op basis van rechtspraak en richtlijnen

  • Camera-toezicht

  • (Zichtbaar) cameratoezicht mag bij een gerechtvaardigd belang, zoals:

  • bescherming van werknemers;

  • veiligheid (dode hoeken, agressie & geweld);

  • bescherming van eigendommen;

  • het voorkomen van incidenten.

  • Verborgen is het alleen – tijdelijk – toegestaan bij een concreet en zwaarwegend vermoeden (zoals ernstige fraude of diefstal) als vooraf kenbaar is gemaakt dat verborgen camera’s kunnen worden ingezet, met instemming OR.

  • Camera’s mogen niet gebruikt worden voor performance-evaluatie of routinematige beoordeling.

  • De AP hanteert maximaal 4 weken voor camerabeelden, tenzij incident – dan bewaren tot afhandeling.

  • Mailbox controle

  • Toegang tot zakelijke mailbox mag alleen in het geval van een gerechtvaardigd belang, zoals: vermoeden van onregelmatigheden of fraude, bescherming van bedrijfsgeheimen of bedrijfscontinuïteit, systeem- of netwerkbeveiliging.

  • De controle moet noodzakelijk zijn en er mag geen minder ingrijpend alternatief zijn. De inbreuk op de privacy moet in verhouding staan tot het doel. Bij de beoordeling wordt o.a. gekeken naar:

  • omvang van de controle;

  • aard van de inhoud (zakelijk vs. privé);

  • eenmalige vs. structurele controle.

  • Werkgevers moeten werknemers van tevoren informeren over dat controle mogelijk is, waarom er gecontroleerd kan worden, hoe de controle wordt uitgevoerd, welke gegevens worden bekeken. Dit moet bijvoorbeeld in een e‑mailbeleid, personeelshandboek of protocol.

  • Werkgevers mogen geen privé e‑mails lezen. Zelfs binnen de zakelijke mailbox blijft dit beschermd onder het recht op vertrouwelijke communicatie. Ook de AP benadrukt dit expliciet.

  • Geheime of verborgen controle raakt de privacy zwaar, maar is soms toegestaan wanneer:

  • er een ernstig vermoeden van misstanden is;

  • andere middelen niet werken

  • controle strikt beperkt blijft.

    • Onterechte heimelijke controle kan leiden tot ernstige verwijtbaarheid van de werkgever en schadevergoedingen.

    1. De werkgever mag de mailbox van een zieke werknemer inzien als dit noodzakelijk is voor voortgang van werk, er geen minder ingrijpende opties bestaan en alleen zakelijke e-mails worden ingezien.

    2. Monitoringsoftware / digitale monitoring

    3. Tools die muisbewegingen, schermactiviteit of aanwezigheid via wifi/VPN registreren worden door de AP als “zeer ingrijpend” gezien en mogen alleen als er een geldige grondslag bestaat, het noodzakelijk is, het proportioneel is, werknemers vooraf zijn geïnformeerd, er rekening wordt gehouden met het recht op vertrouwelijke communicatie, de OR instemt bij structurele monitoring.

    4. (Heimelijke) inspecties

    5. Heimelijk toezicht mag alleen bij concrete en zwaarwegende verdenkingen, zoals fraude, diefstal, ernstige misstanden, structurele schending van bedrijfsbeveiliging.

    6. De werkgever moet kunnen aantonen dat open monitoring niet mogelijk is en directe communicatie/ondervraging niets oplevert en andere alternatieven (metadata, beperkte inzage, IT‑logboeken) onvoldoende zijn.

    7. De inbreuk moet zeer nauw zijn begrensd: alleen gericht op het specifieke vermoeden, zo kort mogelijk in tijd, zo beperkt mogelijk in omvang, geen structurele surveillance.

    8. Heimelijke inspectie is dus het ultimum remedium.

      9. 5. Conclusie

      Controle van werknemers mag in Nederland, maar alle controlemaatregelen staan onder streng toezicht van privacy-wetgeving, EVRM-rechten en AVG-regels. Recente jurisprudentie toont aan dat camera- en webcammonitoring in het bijzonder zeer kritisch worden getoetst, en dat schendingen kunnen leiden tot vernietiging van ontslagen of aanzienlijke schadevergoedingen.

      Bij twijfel altijd eerst juridisch advies inwinnen, en beleid en protocollen up-to-date houden met transparante informatie aan werknemers en OR-instemming waar nodig.

    Over de auteurs

    • Claudine Hermesdorf

      Claudine Hermesdorf is advocaat en partner bij De Kempenaer Advocaten. Ze is onder andere gespecialiseerd in het arbeidsrecht en ondernemingsrecht.

      De Kempenaer

    Gerelateerd nieuws

    Waar eindigt de mens en begint de machine?

    In deze zaak kreeg het Amtsgericht München de vraag voorgelegd hoe auteursrechtelijke bescherming moet worden toegepast op AI‑gegenereerde content. Waar mijn collega Luuk Jonker eerder schreef over AI‑gegenereerde songteksten, richt deze nieuwe zaak zich op iets visueels: drie door AI gemaakte logo’s.

    Data & Privacy

    AI onder de loep: de dunne lijn tussen innovatie en verboden praktijken

    In april 2021 presenteerde de Europese Commissie het wetsvoorstel voor de AI-verordening. De noodzaak van deze regelgeving werd duidelijk door de snelle technologische ontwikkelingen en de risico’s die AI met zich meebrengt voor de veiligheid van producten en de grondrechten van EU-burgers. Toen het voorstel werd geïntroduceerd, kon niemand voorspellen hoe generatieve AI, zoals ChatGPT, in 2023 de wereld zou veranderen. Haast was dus geboden. Nu is haast in het juridische domein iets anders van aard dan in het IT-domein. Ruim drie jaar na indiening van het wetsvoorstel trad de AI-verordening in augustus 2024 in werking. De verboden uit de AI-verordening en de vereisten voor AI-geletterdheid zijn op dit moment al van toepassing, de vereisten voor hoog risico-systemen nog niet.

    Online drogisterijen en webshops delen gevoelige gezondheidsdata met Big Tech

    Dat blijkt uit onderzoek van Investico, in samenwerking met De Groene Amsterdammer en tv-programma Radar. Privacy First dringt aan op actie om deze praktijken te stoppen.

    Nederland als privacygidsland: voorbij het DPIA-infuus

    Tijdens de Nationale Privacy Conferentie op 28 januari 2026 opende Bart Schellekens met een prikkelende vraag: kan Nederland zich positioneren als privacygidsland? In zijn lezing – en in het gesprek dat PONT | Data & Privacy daarna met hem voerde – schetste hij een land dat op een kantelpunt staat. “Ik denk dat we het in Nederland heel goed doen. Een ruim voldoende is denk ik terecht”. Maar dat betekent niet dat er geen werk meer aan de winkel is.
    Meer nieuws