Over de praktische en juridische valkuilen van veiligheidsinstructies aan moeilijk bereikbare medewerkers en hoe LesLinq het oplost.
De verplichting is helder. De uitvoering niet
Als werkgever ben je verplicht om je mensen voor te lichten over veiligheid. De Arbowet is er klip en klaar over: werkgevers zijn verplicht om medewerkers actief te instrueren over de risico's van hun werk. In logistieke en industriële sectoren komt daar nog een laag bovenop. Denk aan Nix18 bij alcoholbezorging, GDP bij farma-transport, of PBM-protocollen in de fabriek. De boetes die op overtreding staan zijn niet symbolisch. Bij Nix18-inbreuken kan het oplopen tot duizenden euro's per incident en mystery shoppers toetsen de naleving regelmatig.
Hoe lever je een aantoonbare veiligheidsinstructie af aan tijdelijk personeel?
Tot zover niets nieuws onder de zon. De uitdaging zit in de uitvoering. Want hoe lever je een aantoonbare veiligheidsinstructie af aan een medewerker die in de nachtploeg werkt, Pools of Roemeens als voertaal heeft, geen zakelijke laptop of bedrijfsmail bezit en volgende week via een flexbureau op een andere locatie zit? Of aan een externe chauffeur die pas een kwartier voor vertrek weet op welke route hij rijdt?
Voor deze doelgroepen vallen de standaardoplossingen weg. Dat stelt organisaties voor een reële afweging: hoe blijf je juridisch compliant zonder dat je je medewerkers onnodig belast, of jezelf vastdraait in een infrastructuur die de werkelijkheid niet aankan?
De standaardkanalen werken hier niet
Iedereen die hier over heeft nagedacht, is dezelfde route gelopen. Eerst probeer je zakelijke e-mail, tot je je realiseert dat een groot deel van de doelgroep geen mailaccount heeft.
- Eigen app met login? Dit vereist een smartphone, installatie van de app, een inlogproces, meertalige interface, support, etc. Voor chauffeurs die incidenteel op je locatie komen is dit praktisch onhaalbaar.
- Een portaal met een bedrijfsaccount? Dit werkt goed voor je vaste medewerkers, tot je bedenkt dat flex, uitzendkrachten en chauffeurs geen AD-account hebben. Bovendien krijgen nieuwe medewerkers het pas na 2 dagen. Terwijl de eerste dagen juist de periode zijn waarin de behoefte aan veiligheidsinstructies het scherpst is.
- Een papieren instructie aan de poort? Dat dekt het moment van aankomst, maar niet de updates, de herhaling of de individuele aantoonbaarheid. En het werkt niet voor meertalige populaties zonder flinke investering in vertalingen. Bij een AVG-inspectie of een Nix18-boetezaak kun je met een handtekening op een papiertje lastig aantonen dat de medewerker het ook echt heeft begrepen.
Waarom SMS op telefoonnummer wel werkt
Er is één kanaal dat de hele doelgroep wel bereikt, in elke taal, zonder app, login, of account: een SMS naar een mobiel nummer. Dat is geen sexy oplossing, maar het is wel de enige werkbare.
De kracht zit in de eenvoud. Één gegeven (het telefoonnummer), één doel (een leeractiviteit afleveren), één kanaal (SMS). Geen GPS-locatie, geen gedragsprofielen, geen browsedata, geen koppeling met externe systemen. De medewerker krijgt een link, doorloopt de instructie in z'n eigen taal, en de afronding wordt op zijn naam vastgelegd. Klaar. Aantoonbaar bij audits, herhaalbaar bij updates, schaalbaar over talen en locaties.
Geen tracking, wel registratie
Wat SMS op telefoonnummer expliciet niet is: een trackingmechanisme. Veel mensen associëren "telefoonnummer als identifier" automatisch met surveillance. Volkomen begrijpelijk, maar in deze architectuur niet van toepassing. Je volgt geen locaties, je bouwt geen individuele profielen, je neemt geen geautomatiseerde besluiten over medewerkers. De enige registratie die plaatsvindt, gaat over één ding: heeft deze persoon deze instructie doorlopen en afgerond?
De juridische route in gewone taal
Dan de vraag die elke privacy-officer terecht stelt: mag dit eigenlijk wel? De AVG staat verwerking van persoonsgegevens immers alleen toe op basis van een geldige grondslag (art. 6 lid 1).
Waarom toestemming vragen hier niet werkt
De voor de hand liggende route is toestemming vragen: een akkoord-knop bij eerste gebruik. Dat is juridisch een doodlopende straat. Toestemming onder de AVG moet vrijwillig zijn en in een werkgever-werknemer-relatie is vrijwilligheid per definitie lastig hard te maken. De toezichthouders, zowel de Autoriteit Persoonsgegevens als de Europese EDPB, zijn hier strikt in: in een gezagsverhouding is toestemming bijna nooit een houdbare grondslag. Wie daarop bouwt, bouwt op zand.
De juiste grondslag: gerechtvaardigd belang
De juiste route is gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Daarvoor geldt geen akkoord-knop, maar een onderbouwde afweging langs drie stappen: er moet een reële doelstelling zijn, de verwerking moet noodzakelijk zijn om die doelstelling te halen en de impact op de medewerker moet in verhouding staan tot het werkgeversbelang.
Voor veiligheidsinstructies is die afweging goed te maken. De Arbowet doet het zware werk aan de doelzijde: voorlichting is geen bedrijfswens, het is een wettelijke plicht. De noodzaak zit in het feit dat alternatieven de doelgroep niet bereiken of juist méér persoonsgegevens vragen. De impact is licht: één nummer, één doel, geen profilering. Als die drie pijlers overeind staan, is de grondslag houdbaar zonder dat je de medewerker om toestemming hoeft te vragen.
Wat als een medewerker zijn privénummer niet wil gebruiken?
Een terechte zorg. Hier schemert in de praktijk vaak een misverstand door: de medewerker is niet verplicht zijn privénummer af te staan, maar hij is wél verplicht de veiligheidsinstructie te volgen. Dat zijn twee verschillende verplichtingen met twee verschillende bronnen.
De AVG gaat over welke data je van iemand mag verwerken. Daaruit volgt dat je iemand niet kunt dwingen zijn nummer te geven. De Arbowet en het gezagsrecht van de werkgever gaan over welk werkgerelateerd gedrag de medewerker moet vertonen.
Alternatieve kanalen gebruiken
Het juiste antwoord combineert die twee: wie zijn privénummer niet wil gebruiken, krijgt een alternatief kanaal. Dat kan een QR-code aan de poort zijn met een klikbare module op een gedeeld device, een papieren instructie met naamregistratie, of een klassikale sessie bij aanvang van de dienst. Welk kanaal het beste past, hangt af van de locatie en het proces. Dit is iets wat je in overleg met je privacy-officer bepaalt.
Het resultaat is dat niemand gedwongen wordt om persoonlijke data af te staan en niemand zich via een privacy-argument kan onttrekken aan een wettelijk verplichte veiligheidsinstructie. In de praktijk zien we overigens dat dit zelden gebeurt, de meeste medewerkers vinden een SMS prima. Maar het alternatief moet feitelijk aanwezig zijn, niet alleen op papier.
Wat LesLinq standaard meelevert
Dit hele denkspoor hebben wij inmiddels uitgewerkt tot een standaardpakket dat we bij elke implementatie meeleveren. Niet omdat onze klanten erom vragen -hoewel dat steeds vaker gebeurt- maar omdat we vinden dat een leverancier die pretendeert dit te kunnen, het ook geregeld hoort te hebben. Het pakket bestaat uit 4 onderdelen
- Verwerkersovereenkomst (DPA). Onder art. 28 AVG verplicht zodra één organisatie persoonsgegevens laat verwerken door een andere. Wij leveren een getekend-klaar standaardmodel inclusief bijlagen: gegevenscategorieën, subverwerkersketen, beveiligingsmaatregelen, datalekmelding, audits. Jullie privacy-officer kan 'm direct doorlezen en ondertekenen; geen juridisch traject van weken.
- Tekstblok voor jullie privacyverklaring (art. 13 AVG). De informatieplicht richting medewerkers ligt bij jullie als werkgever. Wij leveren een compact tekstblok dat jullie aan de bestaande privacyverklaring kunnen toevoegen: doel, grondslag, bewaartermijn, rechten, contact. Beschikbaar in Nederlands, Pools en Roemeens voor de doelgroepen waar we veel mee werken.
- Conceptregel voor het verwerkingsregister (art. 30 AVG). Elk bedrijf houdt intern een register bij van de verwerkingen. Wij leveren een kant-en-klare regel die je hier eenvoudig aan kunt toevoegen, met een aparte sub-regel voor externe chauffeurs waar de doelbinding apart geregeld moet worden.
- DPIA-sjabloon (art. 35 AVG). Een gegevensbeschermingseffectbeoordeling is niet altijd wettelijk verplicht, maar vaak wel verstandig. Het is het geijkte instrument om de juridische afweging schriftelijk en toetsbaar vast te leggen. Ons sjabloon vult jullie privacy-officer in één werksessie in; wij sluiten desgewenst aan om de technische context te leveren.
Samen vormen deze vier stukken de volledige documentatie die een gewetensvolle privacy-officer nodig heeft om te kunnen ondertekenen dat de inzet van LesLinq AVG-compliant is ingericht. Geen losse stukken hier en daar; geen afhankelijkheid van hoe goed jullie eigen juridische afdeling het weet in te richten.
Meer weten?
Ben je als QHSE-manager, HR-verantwoordelijke of privacy-officer bezig met dezelfde afweging? Of wil je weten hoe we dit voor jouw situatie zouden inrichten? Neem contact met ons op of plan direct een demo. We laten graag zien hoe LesLinq veiligheidsinstructies aflevert aan de mensen die je anders nauwelijks bereikt: compliant by design.