Tijdregistratie in België is zowel een wettelijke verplichting als een potentieel mijnenveld op het gebied van de AVG. U moet de werktijd nauwkeurig bijhouden om te voldoen aan RSZ -verplichtingen na te komen, maar elke methode om in te klokken – van een mobiele app tot een vingerafdruklezer – verwerkt persoonsgegevens. Hier volgt een in begrijpelijke taal opgestelde gids over wat de Belgische wet toestaat, waar de GBA de grens trekt en hoe u een Suivo-tijdregistratiesysteem kunt opzetten dat zowel nauwkeurig als wettig is.
Waarom tijdregistratie in België wettelijk verplicht is
Volgens de Belgische socialezekerheidswetgeving zijn werkgevers verplicht om de daadwerkelijke werktijd van de meeste werknemers te registreren. De RSZ Nationale Sociale Zekerheidsraad / ONSS) gebruikt deze gegevens tijdens controles om na te gaan of werknemers correct zijn aangegeven en of de socialezekerheidsbijdragen overeenkomen met de gewerkte uren. Voor bouwbedrijven voegt Check-in at Work (CIAW) een tweede verplichting toe: elke werknemer op een in aanmerking komende bouwplaats moet bij binnenkomst worden geregistreerd, en sinds de uitbreiding naar Check-in en Out at Work (CIAO) ook bij het verlaten van de bouwplaats.
Deze wettelijke verplichting is ook van belang voor de privacywetgeving. Op grond van artikel 6, lid 1, onder c), van de AVG is voor de verwerking van persoonsgegevens ter nakoming van een wettelijke verplichting geen toestemming van de werknemer vereist. De RSZ vormt die rechtsgrondslag. U hoeft werknemers geen toestemming te vragen om hun werktijd te registreren.
Wat wordt bij tijdregistratie als persoonsgegevens beschouwd?
Bijna alles in een tijdregistratiesysteem bestaat uit persoonsgegevens:
- Tijdstempels voor het in- en uitklokken die aan een specifieke medewerker zijn gekoppeld.
- Locatiegegevens als je GPS of geofencing gebruikt om vast te stellen wanneer een medewerker op de locatie aankomt.
- Apparaatgegevens als u een mobiele app gebruikt (telefoon-ID, IP-adres).
- Biometrische gegevens als u gebruikmaakt van een vingerafdruklezer of een apparaat voor gezichtsherkenning.
Dit alles valt onder de AVG. De rechtsgrondslag (RSZ verplichtingRSZ ) heeft betrekking op de basisgegevens: wie, wanneer en waar heeft er gewerkt. Dit geeft geen onbeperkte vrijheid: je moet nog steeds het evenredigheidsbeginsel toepassen en alleen gegevens verwerken die daadwerkelijk noodzakelijk zijn voor het beoogde doel.
De biometrische uitzondering: wat de Belgische wetgeving hierover zegt
Vingerafdruklezers en klokken met gezichtsherkenning zijn populair op bouwplaatsen omdat ze moeilijk te misbruiken zijn. Een werknemer kan zich niet inchecken met de badge van een collega. Maar biometrische gegevens vormen een bijzondere categorie persoonsgegevens volgens artikel 9 van de AVG, wat betekent dat de standaard RSZ op zich niet volstaat.
In België is voor het gebruik van biometrische gegevens in een arbeidscontext aan een van de volgende voorwaarden voldaan:
1. Een collectieve arbeidsovereenkomst op sectorniveau (CAO op nationaal of sectorniveau) waarin het gebruik van biometrische identificatie voor die sector uitdrukkelijk wordt toegestaan. Sommige sectoren hebben dergelijke overeenkomsten gesloten; de meeste echter niet.
2. Expliciete, specifieke en vrijwillig gegeven toestemming van elke individuele werknemer, wat in een arbeidsverhouding in de praktijk moeilijk haalbaar is, omdat toestemming zelden werkelijk vrijwillig is.
De Belgische gegevensbeschermingsautoriteit (GBA) heeft richtlijnen uitgevaardigd waarin wordt bevestigd dat de meeste werkgevers in een arbeidscontext niet uitsluitend op individuele toestemming kunnen vertrouwen. Als er in uw sector geen CAO is die het gebruik van biometrische gegevens toestaat, brengt een klok met vingerafdrukregistratie juridische risico’s met zich mee. Een veiliger alternatief voor betrouwbare, niet-overdraagbare identificatie is een persoonlijke NFC-badge of QR-code, waarbij geen biometrische gegevens worden verwerkt.
GPS en geofencing: evenredig voor buitendienstmedewerkers?
Voor buitenteams die zich verplaatsen tussen bouwplaatsen, projecten of klantlocaties is tijdregistratie op basis van GPS – waarbij het platform een incheck registreert zodra een medewerker een geofence-zone rond een bouwplaats betreedt – efficiënt en praktisch. De Belgische privacywetgeving staat dit toe op grond van RSZ , mits aan drie voorwaarden wordt voldaan:
1. Transparantie: Het gebruik van GPS-tracking moet in uw arbeidsreglement worden beschreven en aan de werknemers worden meegedeeld voordat hiermee wordt begonnen. Het is niet toegestaan om hen hier achteraf pas over te informeren.
2. Evenredigheid: Het gebruik van GPS tijdens de werktijd is evenredig. Het gebruik van GPS buiten de werktijd is dat over het algemeen niet, tenzij er een afzonderlijke, specifieke rechtsgrondslag is (bijvoorbeeld het volgen van een bedrijfsvoertuig na een diefstal).
3. Bewaartermijn: Locatiegegevens die aan een met naam genoemde persoon zijn gekoppeld, mogen niet langer worden bewaard dan nodig is. Voor RSZ volstaat het om bij te houden op welke locatie een werknemer op een bepaalde dag aanwezig was; continue tracking per seconde is zelden evenredig.
Bedrijven die in de buitendienst actief zijn en gebruikmaken van de tijdregistratieoplossing van Suivo, stellen doorgaans geofences in rond projectlocaties en klantlocaties. Medewerkers krijgen een melding wanneer ze een zone binnenkomen, en het inklokken wordt automatisch geregistreerd. Die configuratie, die uitsluitend gekoppeld is aan werkuren, is evenredig.
CBA nr. 68: verplichtingen inzake elektronisch toezicht
Collectieve arbeidsovereenkomst nr. 68 (CAO 68), gesloten in de Nationale Arbeidsraad, regelt het toezicht op elektronische communicatie en onlineactiviteiten op de Belgische werkplek. Deze overeenkomst is niet rechtstreeks van toepassing op tijdregistratieklokken, maar wel wanneer je softwaretools, waaronder workforce management , gebruikt om na te gaan hoe, wanneer en waar een werknemer elektronische middelen gebruikt.
Als uw tijdregistratiesysteem ook gegevens vastlegt over wat een werknemer op zijn apparaat doet, valt u onder CBA 68. De overeenkomst schrijft voor dat u:
- Informeer werknemers individueel over wat er wordt bijgehouden, waarom en hoe de gegevens worden gebruikt.
- Stel het doel duidelijk vast: tijdregistratie, geen algemeen toezicht.
- Beperk de toegang tot gegevens tot degenen die daar een reële zakelijke reden voor hebben (HR, salarisadministratie, directe leidinggevenden), en niet tot alle managers.
- Stel een bewaartermijn vast en houd je daaraan.
Deze afspraken worden doorgaans vastgelegd in uw arbeidsreglement of in een bijlage bij de arbeidsovereenkomst.
Wat de GBA kan doen als je een fout maakt
De Belgische Gegevensbeschermingsautoriteit (GBA / Autorité de protection des données) onderzoekt klachten, voert controles uit en kan administratieve boetes opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is. Voor de meeste Belgische kmo’s bestaat de gebruikelijke reactie van de GBA op een eerste procedurele overtreding uit een formele waarschuwing en een bevel om de situatie te verhelpen. In gevallen waarbij biometrische gegevens zonder de juiste rechtsgrondslag worden gebruikt, worden echter daadwerkelijk boetes opgelegd.
Werknemers hebben ook het recht om inzage te krijgen in de persoonsgegevens die u over hen bewaart, om correcties te vragen en, onder bepaalde omstandigheden, om verwijdering te verzoeken. Een goed gestructureerd tijdregistratiesysteem, met duidelijke gegevenscategorieën en bewaartermijnen, zorgt ervoor dat het reageren op deze verzoeken eenvoudig is in plaats van een lastige klus.
Het opzetten van een tijdregistratiesysteem dat aan de voorschriften voldoet
Een praktische checklist voor Belgische werkgevers:
- Pas uw arbeidsreglement aan om de methode voor tijdregistratie, de gegevens die worden verzameld, het doel daarvan en de bewaartermijn te beschrijven.
- Kies je tijdregistratietechnologie zorgvuldig: in de meeste gevallen volstaat een mobiele app of een NFC-badge; vermijd biometrische systemen, tenzij er in jouw sector een specifieke CAO geldt.
- Beperk het gebruik van GPS-tracking tot de werkuren en zorg ervoor dat de werknemers hiervan op de hoogte worden gesteld voordat het systeem in gebruik wordt genomen.
- Stel in uw workforce management rolgebaseerde gegevenstoegang in, zodat alleen bevoegde medewerkers de gegevens van individuele locaties of de klokregistratiegeschiedenis kunnen inzien.
- Stel een beleid voor het bewaren van gegevens vast: de meeste werkgevers bewaren tijdregistraties vijf jaar lang, zodat deze aansluiten bij RSZ ; locatiegegevens die verder gaan dan een dagelijks overzicht kunnen vaak eerder worden verwijderd.
- Voer een gegevensbeschermingseffectbeoordeling (DPIA) uit als u voor het eerst gebruikmaakt van GPS-tracking of biometrische identificatie. Dit is op grond van artikel 35 van de AVG verplicht bij verwerkingen met een hoog risico.
workforce management van Suivo is ontworpen met op rollen gebaseerde toegangscontroles en configureerbare gegevensbewaring om deze nalevingsstructuur te ondersteunen.
Het komt erop neer dat
Tijdregistratie is in België wettelijk verplicht, wat je een solide basis biedt in het kader van de AVG. Waar de meeste werkgevers in de problemen komen, zijn niet de basisgegevens van het inklokken, maar de extra’s: biometrische lezers zonder een geldige CAO, GPS-registratie buiten de werkuren of monitoringplatforms die meer gegevens verzamelen dan nodig is. Zorg voor een correcte rechtsgrondslag, wees transparant tegenover je werknemers en stel je systeem zo in dat het alleen die gegevens verzamelt die de RSZ nodig heeft.
Klaar om een tijdregistratiesysteem op te zetten dat aan de voorschriften voldoet?
Suivo helpt Belgische bouw- en buitendienstbedrijven om de werktijd nauwkeurig te registreren, met de nodige toegangsbeperkingen en configuratiemogelijkheden om te voldoen aan de Belgische privacywetgeving.