(privacyvriendelijk) rapporteren kun je leren!


Sinds 1 juli 2024 geldt voor werkgevers de zogenaamde ‘rapportageverplichting werkgebonden personenmobiliteit’. Drie mooie scrabble woorden, die gezamenlijk teweegbrengen dat een werkgever verplicht is om over een kalenderjaar te rapporteren over de woon-werk- en zakelijke kilometers die zijn werknemers gemaakt hebben. De verplichting volgt uit het Besluit CO2-reductie werkgebonden personenmobiliteit, onderdeel van het Klimaatakkoord van 28 juni 2019. Dat besluit integreert de rapportageverplichting werkgebonden personenmobiliteit in het Besluit activiteiten leefomgeving, dat onderdeel is van de nieuwe Omgevingswet.

De verplichting moet ervoor zorgen dat werkgevers hun woon-werk- en zakelijke kilometers beter inzichtelijk hebben, dat de Omgevingsdienst als toezichthouder een oogje in het zeil kan houden en zelfs kan adviseren over bepaalde kansen die een werkgever volgens zijn rapportage mist. Een nobel streven en bovendien hard nodig om de klimaatdoelstellingen te halen. Zodra je echter de woorden ‘rapportageverplichting’ en ‘werkgever’ in één zin hoort, kun je de klok erop gelijk zetten dat er persoonsgegevens worden verwerkt. Voor deze rapportageverplichting is dat niet anders. Hoe verhoudt dit zich nu tot de AVG? Dit blog bespreekt allereerst het algemene doel en de strekking van de wet, om vervolgens in te zoomen op privacy rechtelijke aspecten zoals de grondslag, de verenigbaarheid van het doel, de noodzakelijkheid en eventuele risico’s.

Rapporteren over werkgebonden personenmobiliteit

Iedere onderneming met 100 werknemers op de loonlijst op 1 januari van een kalenderjaar, is verplicht om over dat kalenderjaar te rapporteren. In de rapportage hoeft een onderneming niet over individuele medewerkers te rapporteren: een totaaloverzicht is voldoende. Allereerst kent de rapportage een onderscheid tussen ‘woon-werkmobiliteit’ en ‘zakelijke mobiliteit’. Voor iedere rapportage inventariseert de onderneming vervolgens de gebruikte ‘reismodaliteiten’ binnen het werknemersbestand. Reismodaliteiten zijn er in verschillende soorten en maten, het Besluit activiteiten leefomgeving kent de volgende: openbaar vervoer, per fiets, te voet, bromfiets en motorvoertuig. Voor iedere reismodaliteit dient vervolgens gerapporteerd te worden over de gebruikte brandstof, waarvoor onderscheid wordt gemaakt tussen benzine, diesel, elektriciteit, hybride, LPG, CNG en LNG. Tot slot moet de rapportage een overzicht van het totaal aantal kilometers dat door de werknemers is afgelegd bevatten.

Een onderneming is niet verplicht om te rapporteren over de daadwerkelijke koolstofdioxide-uitstoot. Deze uitstoot wordt berekend door per reismodaliteit het aantal gemaakte kilometers te vermenigvuldigen met een vastgestelde emissiefactor, om vervolgens de uitkomsten van de reismodaliteiten bij elkaar op te tellen. Ondernemingen moeten voor het rapporteren bovendien verplicht gebruikmaken van een door de Minister van Infrastructuur en Waterstaat ter beschikking gestelde elektronische voorziening. Voor zakelijke mobiliteit is daarnaast met ingang van 2030 een zogenaamde ‘emissiegrenswaarde’ ter hoogte van 96 gram kooldioxide per reizigerskilometer vastgesteld. Dit houdt in dat er vanaf 2030 in één reizigerskilometer maximaal 96 gram kooldioxide mag worden uitgestoten. Deze rapportageverplichting en de bijbehorende emissiegrenswaarde voor zakelijke mobiliteit moeten er voor zorgen dat de uitstoot van koolstofdioxide voor woon-werk- en zakelijke mobiliteit beperkt wordt. Het Besluit activiteiten leefomgeving stelt geen verplichte maatregelen voor die emissiereductie. De rapportage is met name bedoeld om werkgevers en de Omgevingsdienst inzicht te geven, hoe werkgevers met dit inzicht omgaan is ter vrije invulling.

En de AVG dan?

De rapportage is vanuit milieuoverwegingen ingegeven, maar hoe zit het met de privacy van werknemers? De rapportages geven inzicht in de reismodaliteiten, de gebruikte brandstof (per reismodaliteit) en de gereisde kilometers (per reismodaliteit) binnen een bedrijf voor een kalenderjaar. In de rapportages komen geen namen of andere naar werknemers herleidbare gegevens voor. De rapportage zelf bevat dus in ieder geval geen persoonsgegevens. Bij de totstandkoming van de rapportage ontkomt een onderneming hier echter niet aan. Een werkgever zal het aantal gemaakte kilometers, de gebruikte reismodaliteiten en de gebruikte brandstof bij zijn werknemers moeten inventariseren. Die inventarisatie is een verwerking van de persoonsgegevens van medewerkers. Met een complete inventarisatie kan een werkgever vervolgens de jaartotalen berekenen, die terug moeten komen in de rapportage. Hoe privacyvriendelijk is die inventarisatie eigenlijk?

Allereerst heeft de werkgever als verwerkingsverantwoordelijke een grondslag nodig om persoonsgegevens te verwerken. Volgens de Nota van Toelichting bij het Besluit activiteiten leefomgeving kan die grondslag gevonden worden in artikel 6, lid 1 onder c AVG: het uitvoeren van een wettelijke plicht. Dat lijkt misschien een beetje een open deur bij een rapportageverplichting, maar gesneden koek is dit niet altijd geweest. De Autoriteit Persoonsgegevens bracht namelijk in februari 2022 een advies uit, waarin de AP tot de conclusie kwam dat het toenmalige ontwerpbesluit geen grondslag bood voor de verwerking van persoonsgegevens. Het ontwerpbesluit verplichtte volgens de AP namelijk slechts tot het verstrekken van ‘geaggregeerde data aan de Omgevingsdienst’. Naar aanleiding van dit advies is aan het Besluit activiteiten leefomgeving de mogelijkheid toegevoegd om ‘ten behoeve van het verstrekken van gegevens over woon-werkmobiliteit en zakelijke mobiliteit’ persoonsgegevens te verwerken.

In veel gevallen zal een deel van de gegevens die relevant zijn voor de rapportage al beschikbaar zijn voor de werkgever. Denk aan gegevens uit de bedrijfsadministratie, zoals reisdeclaraties of een jaaruitdraai van de leasemaatschappij waar de werkgever auto’s leaset. Lekker praktisch natuurlijk, het scheelt een hoop werk als deze gegevens niet allemaal opnieuw bij werknemers uitgevraagd hoeven te worden. De AVG werpt hier toch een barrière op: het gebruik van de reeds aanwezige gegevens voor de rapportage levert namelijk een ‘verdere verwerking’ van deze gegevens op. Wanneer een verdere verwerking ‘verenigbaar’ is met het doeleinde waarvoor de gegevens oorspronkelijk zijn verzameld, dan kan de werkgever dezelfde grondslag gebruiken als de grondslag voor de oorspronkelijke verwerking. Is de verdere verwerking niet verenigbaar, dan moet er een andere grondslag aangewezen worden. Een andere grondslag zou de verwerking op grond van een wettelijke plicht kunnen zijn, aangezien het volgens het Besluit activiteiten leefomgeving verplicht is om te rapporteren. Het besluit stelt echter alleen dat rapporteren verplicht is, niet dat het verplicht is om hiervoor reeds aanwezige gegevens uit de administratie van de organisatie te gebruiken. Aangezien de gegevens uit de administratie niet onder de wettelijke plicht vallen, zal de verenigbaarheid moeten worden aangetoond om deze gegevens te kunnen gebruiken.

De Nota van Toelichting stelt dat die verenigbaarheid moet worden gelezen in het feit dat de verwerking berust op een wettelijk voorschrift (de rapportageverplichting) dat noodzakelijk en evenredig is met het oog op de klimaatdoelstellingen die Europees en nationaal gesteld zijn. Hoewel dit wettelijk voorschrift dus niet als grondslag voor het gebruik van gegevens uit de administratie gebruikt kan worden, rechtvaardigt het dus wel de verenigbaarheid van de ‘verdere verwerking’. Met andere woorden: de werknemer heeft recht op eerbiediging van zijn of haar privacy, maar de maatschappij heeft ook recht op bescherming van het klimaat. Volgens die gedachte is het verenigbaar om persoonsgegevens uit de administratie van een werkgever te gebruiken voor de rapportage.

Is dit allemaal nodig?

Grondslag check, verenigbaarheid check, wat missen we dan nog? De noodzakelijkheid natuurlijk! Is zo’n onderzoek onder alle werknemers van een bedrijf wel nodig? Zijn er misschien andere manieren om het doel van de rapportage te bereiken? Welke gegevens zijn wel noodzakelijk om te verzamelen, en welke gegevens juist niet? De Nota van Toelichting van het Besluit activiteiten leefomgeving geeft aan dat er alternatieve rapportagemethoden zijn onderzocht. Eén van die alternatieven is een uitbreiding van het zogenaamde vervoerplan. In een vervoerplan analyseren ondernemingen hun mobiliteit en eventuele kansen die de onderneming heeft om deze mobiliteit te verduurzamen. Zo’n vervoerplan drukt qua arbeidsintensiteit behoorlijk op een onderneming. Vaak wordt er zelfs een externe partij ingeschakeld om het plan op te stellen en uit te voeren. Bovendien kan een onderneming zelf bepalen hoe data wordt gestructureerd en geanalyseerd in een vervoerplan, terwijl een onderneming voor de rapportageverplichting werkgebonden personenmobiliteit data verplicht moet koppelen aan de geldende emissiegrenswaarde(n). Deze redenen maken een uitbreiding van het vervoerplan geen effectief alternatief.

Wat nu als er een toezichthouder of extern onderzoeksinstituut ingesteld wordt om de vereiste data van alle rapportageplichtige werkgevers te genereren? In dat geval vindt de toelevering van data in ieder geval op een gecentraliseerde manier plaats. De wetgever acht dit alternatief echter zo arbeidsintensief, dat dit in de praktijk niet haalbaar lijkt. Bovendien bereik je daarmee dat iedere werkgever persoonsgegevens van de werknemers moet toesturen aan de toezichthouder of het instituut. Met het oog op dataminimalisatie is dit evenmin een wenselijk alternatief.

Het is dus noodzakelijk om de rapportageverplichting bij de werkgever zelf neer te leggen. Daarmee is nog niet gezegd wélke gegevens er nu noodzakelijkerwijs door een werkgever moeten worden verwerkt om aan de verplichting te voldoen. Het ligt voor de hand dat alle gemaakte kilometers en de gebruikte reismodaliteiten in ieder geval noodzakelijk zijn. Alle overige gegevens zijn dat niet. De Nota van Toelichting benoemt hier in het bijzonder het autotype. Aangezien er alleen onderscheid wordt gemaakt in reismodaliteiten (en bijvoorbeeld niet ook nog eens in verschillende soorten benzineauto’s), is dit ook goed verklaarbaar. Als werkgever weet je dus genoeg als je de kilometers en reismodaliteiten in zicht hebt, het verwerken van alle overige gegevens is in strijd met het beginsel van dataminimalisatie.

Specifieke privacy risico’s

Uit het voorgaande blijkt dat de algemene uitgangspunten van de AVG op een doordachte manier zijn overwogen. De aard van de rapportageverplichting brengt echter een aantal specifieke privacy risico’s met zich mee. Zo vindt woon-werkmobiliteit voor een groot deel plaats in de privésfeer. De keuze voor een (eigen) dieselauto, elektrische auto of het openbaar vervoer is in de basis privé. Werknemers maken daarnaast kilometers van en naar hun huis, halen misschien onderweg hun kinderen van de basisschool of maken een tussenstop bij de sportschool. De wetgever vindt dat hier ook de ruimte voor moet zijn en stelt dat “keuzes voor reismodaliteiten die in de privésfeer worden gebruikt, aan de werknemers moeten worden overgelaten.” Vrij vertaald betekent dit dat een werknemer vrij is om voor een benzine- of elektrische auto te kiezen, en om zijn of haar kinderen onderweg van de crèche te halen. Een werkgever mag ‘schoon reizen’ stimuleren, maar niet opleggen. Daarom is ervoor gekozen om voor woon-werkmobiliteit tot 2030 geen emissiegrenswaarde in te stellen. Op die manier kunnen werkgevers niet afgerekend worden op kilometers die ten behoeve van woon-werkmobiliteit gemaakt worden. Uit de Nota van Toelichting blijkt dat er een Data Protection Impact Assessment (‘DPIA’) moet worden uitgevoerd wanneer het voornemen voor het instellen van een emissiegrenswaarde bestaat.

Bovendien kan er van alles worden afgeleid uit de gegevens die ten gunste van de rapportage worden verzameld. Denk aan (vaste) kantoordagen van een werknemer en zijn adresgegevens. Voor de gemiddelde werknemer vormt het lekken van deze gegevens al een risico, voor opsporingsambtenaren, toezichthouders, beveiligers, strafrechtjuristen of soortgelijke functies wordt dit risico nog eens verhoogd. Om deze gegevens uit handen van kwaadwillenden te houden, moet een werkgever ervoor zorgen dat deze gegevens goed beveiligd worden. Daarnaast is het zaak om de verwerkingen in het verwerkingsregister vast te leggen, verwerkersovereenkomstente sluiten met partijen die worden ingeschakeld voor (een deel van) de rapportage en medewerkers passend te informeren over de verwerking.

Conclusie

De rapportageverplichting werkgebonden personenmobiliteit zorgt er dus voor dat werkgevers inzicht hebben in de kilometers die jaarlijks voor hun bedrijf gemaakt worden. Met een AVG-bril op zitten er aan deze rapportageverplichting wel de nodige haken en ogen. In de grondslag, verenigbaarheid van het doel en noodzakelijkheid is voorzien, maar een werkgever doet er goed aan om persoonsgegevens tijdens de inventarisatie goed af te dekken en niet meer persoonsgegevens bij werknemers op te vragen dan noodzakelijk is.

Worstel je met de rapportageverplichting werkgebonden mobiliteit en de privacy rechtelijke aspecten? ICTRecht ondersteunt graag bij al jouw vragen!



https://www.ictrecht.nl/blog/de-rapportageverplichting-werkgebonden-personenmobiliteit-privacyvriendelijk-rapporteren-kun-je-leren