- Wie is verantwoordelijk?
- Waar gaat het om?
- Een praktijkvoorbeeld
- Recht van verzet
- Tref maatregelen
- Internet- en e-mailgebruik
- Meekijken en meeluisteren
Wie is verantwoordelijk?
U bent als werkgever wettelijk verantwoordelijk voor het voeren van een deugdelijk privacybeleid. Bij coöperaties, NV’s en BV’s ligt de verantwoordelijkheid bij de rechtspersoon. Als u activiteiten uitbesteedt, bijvoorbeeld de loonadministratie, dan blijft u als werkgever verantwoordelijk voor de privacy van uw werknemers. De partij waarmee u vertrouwelijke gegevens over uw werknemers uitwisselt, moet zich echter ook zelf aan de Wet Bescherming Persoonsgegevens houden. Controleer dat altijd.
Datzelfde geldt voor een samenwerkingsverband tussen bedrijven. Als daarbij persoonsgegevens worden uitgewisseld, moeten duidelijke afspraken worden gemaakt over de wederzijdse verplichtingen op het gebied van informatiebeheer. Leg die afspraken vast.
Waar het gaat om?
Als u uw medewerkers om persoonlijke gegevens vraagt, moet altijd duidelijk zijn voor welk doel u die gegevens nodig heeft en gaat gebruiken. U moet dat concreet omschrijven in uw privacybeleid en de bijbehorende privacyprocedure. De nieuwe privacywet geeft aan dat gegevens mogen worden gevraagd en benut met de volgende doelen:
- Voor de totstandkoming en uitvoering van de arbeidsovereenkomst
- Om de ‘vitale belangen’ van werknemers te beschermen; hierbij gaat het om gegevens die noodzakelijk zijn voor bijvoorbeeld toegangspasjes of de bedrijfshulpverlening
- Om een wettelijke verplichting na te komen; denk bijvoorbeeld aan de verplichte aansluiting bij een arbodienst
- Wanneer een werknemer zijn ondubbelzinnige toestemming heeft gegeven; bijvoorbeeld in het geval dat hij meedoet aan een bedrijfsspaarregeling
- In het kader van een ‘gerechtvaardigd belang’; dit is een wettelijk vangnet voor de hierboven opgesomde andere redenen. Volgens VNO-NCW gaat het hier met name om belangen van werkgevers, maar die interpretatie van de nieuwe wet lijkt niet helemaal te kloppen. Het gaat hier per definitie om een belangenafweging tussen wat goed is voor het bedrijf en wat goed is voor de (privacy van de) werknemers.
Incidenteel mag u gegevens voor een ander doel gebruiken, mits dat doel verenigbaar is met het hoofddoel van de verwerking. U mag bijvoorbeeld gegevens van toegangssystemen incidenteel gebruiken om te controleren of een werknemer zich aan zijn werktijden houdt.
Tip In de omschrijving waarvoor u persoonsgegevens van uw werknemers nodig hebt, definieert u uw speelruimte.
Wees niet te specifiek, want u mag de gegevens alleen gebruiken voor het concrete doel dat u hebt omschreven. Maar vaagheid is ook niet wenselijk. Mochten er juridische problemen ontstaan, bijvoorbeeld omdat een van uw werknemers aantoonbare schade lijdt omdat zijn gegevens op straat zijn komen te liggen, dan bent u in gebreke gebleven om een deugdelijk privacybeleid te formuleren. Als vuistregel kunt u volgens de privacywet aanhouden dat het minimum aan gegevens om uw doelstellingen te verwezenlijken tevens het toegestane maximum is.
Voorbeelden van ruime, welbepaalde doelomschrijvingen zijn:
- ter voorkoming en bestrijding van misbruik (fraude) van de dienst alsmede andere activiteiten van intern beheer;
- het incidenteel of structureel treffen van maatregelen ter bevordering van de kwaliteit van de aangeboden producten en diensten;
- beveiliging, zowel preventief als repressief, risicobeperking, integriteitsonderzoek en controle op bedrijfsgeheimen en slechts indien er een gegrond vermoeden bestaat van overtreding van de wet of van de huisregels.
Een praktijkvoorbeeld
Uw werknemers krijgen bijvoorbeeld korting op producten of diensten van andere bedrijven. Die bedrijven willen daarvoor beschikken over gegevens uit uw personeelsadministratie. Dat mag als u in uw privacybeleid hebt omschreven dat u de gegevens in uw personeelsadministratie wilt gebruiken voor het voeren van uw personeelsbeleid. Omdat employee benefits onder personeelsbeleid vallen hebt u dat dan afgedekt.
Niettemin adviseert VNO-NCW om in dit geval toch aan het personeel te vragen of ze hiermee akkoord zijn. Dat kan op twee manieren: u vraagt uw medewerkers om bezwaar te maken als zij niet willen dat hun gegevens worden doorgegeven aan derden (en past vervolgens het principe toe ‘wie zwijgt stemt toe’) of u vraagt expliciet om toestemming.
Recht van verzet
Werknemers mogen per definitie, dus ook ongevraagd, bezwaar maken tegen het gebruik dat een werkgever in een bepaalde situatie of met een bepaald doel van persoonsgegevens wil maken. Dit wordt recht van verzet genoemd. De werknemer moet wel bijzondere persoonlijke omstandigheden aanvoeren wil hij van dit recht gebruik kunnen maken. U bent als werkgever in zo’n geval verplicht om af te wegen of u in dit specifieke geval een uitzondering kunt maken. Het ligt voor de hand dat u uw overwegingen meedeelt aan de betrokken werknemer.
|
Internet- en e-mailgebruik controleren mag
Een onderwerp dat zich bij werkgevers in grote belangstelling mag verheugen, is of zij ook een stokje kunnen steken voor ongewenst gebruik van e-mail en internet door medewerkers. Binnen de grenzen van de nieuwe Wet Bescherming Persoonsgegevens is dat mogelijk, maar u moet wel aan bepaalde voorwaarden voldoen.
- Een werkgever mag bijhouden welke websites door zijn medewerkers worden bezocht, zolang de lijst geanonimiseerd is. Hij mag dus niet onderzoeken wie precies welke sites bezoekt op de computers van de zaak, maar kan wel een goede indruk krijgen van de mate waarin misbruik wordt gemaakt van de geboden digitale voorzieningen.
- Hij kan een ‘internetbeleid’ uitvaardigen. Wie bijvoorbeeld niet wil dat sites worden bezocht die de reputatie van het bedrijf schaden, kan een lijst maken van de digitale uitstapjes die niet geoorloofd zijn. Ook mag hij met technische middelen het bezoek aan minder geschikte sites voorkomen.
- Hij mag controleren of iedereen zich aan de afspraken houdt. Dit moet weer aan de hand van geanonimiseerde lijsten.
- Staan er op de lijst flagrante schendingen van gemaakte afspraken, dan mag hij achterhalen wie de daders zijn. Geef duidelijk aan hoe u dat gaat doen, wanneer u dat gaat doen en wat de sancties zijn.
- Uw systeembeheerder of postmaster heeft in dezen een bijzonder privacygevoelige functie. Neem de eisen die aan hem of haar op dat punt worden gesteld op in de functieomschrijving in het kader van de vertrouwelijkheid.
- Toekomstige werknemers zijn niet beschermd. Het is niet verboden om sollicitanten te googelen en een beeld van hen te verkrijgen aan de hand van sporen die ze achtergelaten hebben op het web. In de sollicitatiecode staat wel het advies aan sollicitanten te melden dat zij zijn opgezocht via Hyves of Google.
Meekijken en meeluisteren
Videobewaking is niet altijd een beveiligingsmiddel gericht op klanten. Soms wordt het ook gebruikt om fraude door het personeel op te sporen. U mag verborgen camera’s gebruiken maar moet uw personeel wel mededelen dat videobewaking plaatsvindt. Er zijn plaatsen (kantine, toiletten) waar u het elektronisch oog bij voorkeur niet zult inschakelen. Laat dat ook weten aan uw medewerkers, zodat er ook plaatsen zijn in uw bedrijf waar zij zich onbespied weten.
- De bewaartermijn van videobeelden hangt af van het concrete doel dat zij dienen en de effectiviteit ervan. Dat geldt ook voor opnamen van (telefoon)gesprekken.
- Meeluisteren mag voor doeleinden van training en begeleiding, individuele beoordeling, bewijs van telefonische transacties, beheersing van telefoonkosten, tegengaan privégebruik en het opsporen van fraude.
- De ondernemingsraad of personeelsvertegenwoordiging heeft instemmingsrecht bij het invoeren van systemen om werknemers technisch te controleren.
Gerelateerd lezen:
Organiseren van bedrijfshulpverlening