In Privacy

Vanaf 25 mei 2018 gaat de nieuwe Europese Algemene Verordening Gegevensbescherming gelden. Hierdoor gelden in de EU overal dezelfde privacyregels.

De Europese werkgroep (Art 29 Working Party) die adviseert over de gevolgen van de nieuwe privacywet heeft deze zomer een nieuwe opinie afgegeven met daarin belangrijke informatie voor werkgevers bij het verwerken van persoonsgegevens van werknemers.

Hierbij de meest in het oog springende:

  1. Recruitmentproces

In toenemende mate worden in sollicitatieprocedures de profielen van kandidaten op social media als LinkedIn en Facebook geraadpleegd. Dit is echter niet altijd geoorloofd. Een onderscheid moet gemaakt worden tussen prive, -en zakelijke gegevens en moeten gegevens noodzakelijk zijn voor een beoordeling van de geschiktheid voor de desbetreffende baan. Hoe wordt bijvoorbeeld het lidmaatschap van een vakbond, religieuze organisatie of een politieke partij gewogen? Zie ter illustratie een artikel in de NRC over ex PVV-ers die maar lastig aan een nieuwe baan konden komen.

Actie: inventariseer het recruitmentproces op social media screening en pas dit zo nodig aan als blijkt dat de scheiding tussen prive en zakelijke gegevens onvoldoende is gewaarborgd. Creëer bewustzijn onder recruiters.

 

  1. In-employment screening

Een werkgever dient zeer terughoudend om te gaan met in-employment screening (het zonder informeren screenen van medewerkers om vast te stellen of er een verhoogd risico is, bijvoorbeeld op fraude vanwege prive schulden). Alleen met een goed onderbouwd bedrijfsbelang is het volgen van medewerkers toegestaan, denk aan dreigende concurrentie of schending van bedrijfsgeheimen.

Actie: worden er medewerkers zonder het te weten gevolgd? Zo ja, maak een belangenafweging en zet dit middel alleen in als het echt niet anders kan zodat achteraf geen discussie kan ontstaan over de legitimiteit van de privacy schending. Transparantie op dit punt bij aanvang van het dienstverband zou geen kwaad kunnen.

 

  1. Monitoren medewerkers

Medewerkers dienen geïnformeerd te zijn over de vorm en het doel van elke monitoring op de werkvloer. Dit is voor de hand liggend bij videomonitoring, maar denk ook aan het volgen van bedrijfsauto’s of het volgen van ICT gebruik zowel binnen als buiten het kantoor en op eigen apparatuur (in het kader van BYOD). Een ander voorbeeld dat steeds meer voorkomt is het volgen van de rijstijl van een bestuurder en diens telefoongebruik tijdens het rijden (bijvoorbeeld met Lock2Ride). Hiermee dient een werkgever zeer terughoudend om te gaan.

Actie: worden er medewerkers op enigerlei wijze gevolgd? Zo ja, waarom? Zijn er alternatieven? Zijn medewerkers geïnformeerd en is er voorzien in adequate bescherming?

 

  1. Gegevens aan derde partijen

In toenemende mate worden gegevens van medewerkers aan klanten gezonden in het kader van het leveren van ‘betrouwbare’ diensten. Bijvoorbeeld ter verificatie worden naam en foto van een koerier of monteur aan een klant gezonden voorafgaand aan levering. Zonder solide grond is dit niet toegestaan.

Actie: bepaal of er persoonsgegevens met klanten of derden worden gedeeld. Zo ja, is er toestemming van de medewerker en is er een zwaarwegend bedrijfsbelang dat deze verstrekking noodzakelijk maakt?

 

  1. Internationale doorgifte

De administratie van de afdeling HR zal in veel gevallen in de cloud worden opgeslagen. Daarmee is internationale doorgifte per definitie al een feit.  (art 44 AVG e.v.). Buiten de EU geldt dat dit slechts is toegestaan indien het ontvangende land een afdoende beschermingsniveau biedt. Bovendien dienen de data zo minimaal mogelijk gehouden worden.

Actie: stel vast waar en door wie HR data worden opgeslagen en als dit buiten de EU is: bepaal of het beschermingsniveau voldoende is. Als dit via een leverancier loopt moet deze hier antwoord op kunnen geven.

Conclusie: balans vinden

Gegevensverwerking in de werkomgeving dient in verhouding te staan tot het te beschermen bedrijfsbelang. Als er minder belastende alternatieven voorhanden zijn genieten die de voorkeur. Is het bijvoorbeeld mogelijk bepaalde websites te blokkeren in plaats van alle communicatie te volgen, dan heeft blokkering de voorkeur. Toestemming van een medewerker om bepaalde gegevens te mogen verwerken is een goede start, echter in de relatie met een werknemer is het wel de vraag of toestemming echt vrijwillig tot stand kan komen gezien de financiële afhankelijkheid.

Bij alle verwerkingen van persoonsgegevens van medewerkers dient een onderzoek plaats te vinden naar de proportionaliteit van de maatregelen. Transparantie naar alle betrokkenen is nodig, net als minimalisatie van data. Tot slot kan het geen kwaad alle clouddiensten eens tegen het “privacy licht” te houden!

Voor meer informatie en advies kunt u terecht bij mr Jeroen van der Werf.

Jeroenvanderwerf@voorrecht.com | 06 – 433 79 657

Recent Posts