Het aanwezigheidsregister in de bouw (ook gekend als de "whereabouts" regeling in de bouw) is bij programmawet van 27 december 2012 ingevoerd in Afdeling
4, Hoofdstuk V van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk.
Aan die regeling werd uitvoering gegeven in twee KB's van 11 februari 2014:
- Koninklijk besluit tot uitvoering van de artikelen 31ter en 31quater van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk en tot wijziging van het koninklijk besluit van 28 augustus 2002 tot aanwijzing van de ambtenaren belast met het toezicht op de naleving van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk en de uitvoeringsbesluiten ervan
- Koninklijk besluit tot uitvoering van de artikelen 31ter, § 1, tweede lid en § 3, eerste lid, 31quinquies, vierde lid, 31sexies, § 2, derde en vierde lid en 31septies, derde lid van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk en van artikel 13 van de wet van 27 december 2012 tot invoering van de elektronische registratie van aanwezigheden op tijdelijke of mobiele bouwplaatsen
De privacycommissie wijdde hieraan al verschillende adviezen / beraadslagingen, nl.
- advies 43/2013 en
- beraadslagingen ASZ 031/2014, 031/2004_4 en 056/2014.
Uit de wet blijkt dat de FOD WASO de verantwoordelijke voor de verwerking is van het "standaard" registratiesysteem. Uit de KB's blijkt dat de FOD WASO die eigenlijke verwerking heeft uitbesteed aan de RSZ. Uit het advies van de privacycommissie leren we dat SMALS oorspronkelijk ook genoemd werd als verwerker, maar dat heeft de regering blijkbaar laten varen.
Het statuut van de aannemers en onderaannemers op de werf die aan de registratieplicht onderworpen is, is helemaal niet duidelijk. Diverse bepalingen (o.a. art. 12 KB 11 februari 2014) doen twijfel rijzen en lijken te laten uitschijnen dat de aannemers verwerkers zouden. Ook randnummer 53 van het advies van de privacycommissie lijkt daarvan uit te gaan.
Op zich is dat wat raar omdat de aannemer en de onderaannemers, minstens voor de gegevens van hun medewerkers, in de regel moeten worden beschouwd als "controllers" (verantwoordelijken voor de verwerking) die de persoonsgegevens die ze onder zich hebben op basis van een wettelijke verplichting moeten in het systeem brengen. Maar als we daarvan uitgaan zou dat betekenen dat er ook ergens een machtiging voor hen moet zijn om het Rijksregisternummer te gebruiken. En die is niet te vinden in de wet (toch niet expliciet) én er geen algemene machtiging beschikbaar is voor het aanwezigheidsregister. De interpretatie dat bouwdirectie, aannemers en onderaannemers controllers zijn, zou betekenen dat al die partijen om een machtiging moeten komen vragen en dat is dan weer onpraktisch. Bovendien brengt de classificatie als controller nog andere onduidelijkheden mee rond hoe zij hun verplichtingen onder de privacywet moeten invullen.
Zijn ze dan toch verwerkers? Misschien, maar dan zou je verwachten dat er vanuit de RSZ een reeks van verdere overeenkomsten wordt gesloten (art. 16 privacywet): met de bouwdirecties die aansluiten op het standaard systeem. En die moeten dan - op basis van bepalingen van artikel 16 en/of een kettingbeding in de overeenkomst met de RSZ - een overeenkomst hebben met de aannemers. En die moeten dan - op basis van bepalingen van artikel 16 en/of een kettingbeding in de overeenkomst met de bouwdirectie - een overeenkomst hebben met de onderaannemers. etc. En door die ganse structuur zouden de individuen die zich op de werf begeven en zich met hun registratiemiddel (bijv. een badge, een dongle, een code, een app op hun smartphone, etc.) via het registratieapparaat (bijv. een terminal, een computer, een "prikklok", etc.) registreren in de gegevensbank een rechstreekse relatie aangaan met de FOD WASO. Een behoorlijk opzet. En waarschijnlijk omdat het zo breed is, zag niemand nog het bos door de bomen.
Ook de transparantie over deze massieve gegevensverzameling door de overheid laat (alweer - dat zal blijken uit andere voorbeelden) nalaat om (duidelijke) communicatie over de gegevensverwerking op te zetten. De FOD WASO is verantwoordelijke voor de verwerking, dus die moet daar in de regel voor instaan (art. 9 / 10 privacywet). Het kan toch niet zijn dat bouwdirectie, aannemers en onderaannemers en anderen telkens ad hoc privacyverklaringen zullen moeten opstellen, die dan met zekerheid coherentie missen.
Het zou nuttig zijn mocht de regering en/of de privacycommissie hier zijn licht over laten schijnen. Want nu trappelen de spelers in het veld maar wat in het rond in de hoop niet door de sociale inspectie aangesproken te worden op deze strafrechtelijk gesanctioneerde norm. Maar goed... door deze onduidelijkheid lijkt het mij dat bijna eender wie voor een overtreding tegen deze regeling wordt aansproken, kan aanhalen dat strafbaarstelling vereist dat er een duidelijke regel is (nil poena sine lege).
Het statuut van de aannemers en onderaannemers op de werf die aan de registratieplicht onderworpen is, is helemaal niet duidelijk. Diverse bepalingen (o.a. art. 12 KB 11 februari 2014) doen twijfel rijzen en lijken te laten uitschijnen dat de aannemers verwerkers zouden. Ook randnummer 53 van het advies van de privacycommissie lijkt daarvan uit te gaan.
Op zich is dat wat raar omdat de aannemer en de onderaannemers, minstens voor de gegevens van hun medewerkers, in de regel moeten worden beschouwd als "controllers" (verantwoordelijken voor de verwerking) die de persoonsgegevens die ze onder zich hebben op basis van een wettelijke verplichting moeten in het systeem brengen. Maar als we daarvan uitgaan zou dat betekenen dat er ook ergens een machtiging voor hen moet zijn om het Rijksregisternummer te gebruiken. En die is niet te vinden in de wet (toch niet expliciet) én er geen algemene machtiging beschikbaar is voor het aanwezigheidsregister. De interpretatie dat bouwdirectie, aannemers en onderaannemers controllers zijn, zou betekenen dat al die partijen om een machtiging moeten komen vragen en dat is dan weer onpraktisch. Bovendien brengt de classificatie als controller nog andere onduidelijkheden mee rond hoe zij hun verplichtingen onder de privacywet moeten invullen.
Zijn ze dan toch verwerkers? Misschien, maar dan zou je verwachten dat er vanuit de RSZ een reeks van verdere overeenkomsten wordt gesloten (art. 16 privacywet): met de bouwdirecties die aansluiten op het standaard systeem. En die moeten dan - op basis van bepalingen van artikel 16 en/of een kettingbeding in de overeenkomst met de RSZ - een overeenkomst hebben met de aannemers. En die moeten dan - op basis van bepalingen van artikel 16 en/of een kettingbeding in de overeenkomst met de bouwdirectie - een overeenkomst hebben met de onderaannemers. etc. En door die ganse structuur zouden de individuen die zich op de werf begeven en zich met hun registratiemiddel (bijv. een badge, een dongle, een code, een app op hun smartphone, etc.) via het registratieapparaat (bijv. een terminal, een computer, een "prikklok", etc.) registreren in de gegevensbank een rechstreekse relatie aangaan met de FOD WASO. Een behoorlijk opzet. En waarschijnlijk omdat het zo breed is, zag niemand nog het bos door de bomen.
Ook de transparantie over deze massieve gegevensverzameling door de overheid laat (alweer - dat zal blijken uit andere voorbeelden) nalaat om (duidelijke) communicatie over de gegevensverwerking op te zetten. De FOD WASO is verantwoordelijke voor de verwerking, dus die moet daar in de regel voor instaan (art. 9 / 10 privacywet). Het kan toch niet zijn dat bouwdirectie, aannemers en onderaannemers en anderen telkens ad hoc privacyverklaringen zullen moeten opstellen, die dan met zekerheid coherentie missen.
Het zou nuttig zijn mocht de regering en/of de privacycommissie hier zijn licht over laten schijnen. Want nu trappelen de spelers in het veld maar wat in het rond in de hoop niet door de sociale inspectie aangesproken te worden op deze strafrechtelijk gesanctioneerde norm. Maar goed... door deze onduidelijkheid lijkt het mij dat bijna eender wie voor een overtreding tegen deze regeling wordt aansproken, kan aanhalen dat strafbaarstelling vereist dat er een duidelijke regel is (nil poena sine lege).
