Volgens de Wet bescherming persoonsgegevens mag een werkgever om persoonlijke gegevens van personeelsleden vragen. Tegelijkertijd heeft hij de plicht om een deugdelijk privacybeleid te voeren. Lees alles over de privacywet.

Wie is verantwoordelijk?
U bent als werkgever wettelijk verantwoordelijk voor het voeren van een deugdelijk privacybeleid. Bij coöperaties, NV’s en BV’s ligt de verantwoordelijkheid bij de rechtspersoon. Als u activiteiten uitbesteedt, bijvoorbeeld de loonadministratie, dan blijft u als werkgever verantwoordelijk voor de privacy van uw werknemers. De partij waarmee u vertrouwelijke gegevens over uw werknemers uitwisselt, moet zich echter ook zelf aan de Wet Bescherming Persoonsgegevens houden. Controleer dat altijd.

Datzelfde geldt voor een samenwerkingsverband tussen bedrijven. Als daarbij persoonsgegevens worden uitgewisseld, moeten duidelijke afspraken worden gemaakt over de wederzijdse verplichtingen op het gebied van informatiebeheer. Leg die afspraken vast.

Waar het gaat om?
Als u uw medewerkers om persoonlijke gegevens vraagt, moet altijd duidelijk zijn voor welk doel u die gegevens nodig heeft en gaat gebruiken. U moet dat concreet omschrijven in uw privacybeleid en de bijbehorende privacyprocedure. De nieuwe privacywet geeft aan dat gegevens mogen worden gevraagd en benut met de volgende doelen:

  • Voor de totstandkoming en uitvoering van de arbeidsovereenkomst
  • Om de ‘vitale belangen’ van werknemers te beschermen; hierbij gaat het om gegevens die noodzakelijk zijn voor bijvoorbeeld toegangspasjes of de bedrijfshulpverlening
  • Om een wettelijke verplichting na te komen; denk bijvoorbeeld aan de verplichte aansluiting bij een arbodienst
  • Wanneer een werknemer zijn ondubbelzinnige toestemming heeft gegeven; bijvoorbeeld in het geval dat hij meedoet aan een bedrijfsspaarregeling
  • In het kader van een ‘gerechtvaardigd belang’; dit is een wettelijk vangnet voor de hierboven opgesomde andere redenen. Volgens VNO-NCW gaat het hier met name om belangen van werkgevers, maar die interpretatie van de nieuwe wet lijkt niet helemaal te kloppen. Het gaat hier per definitie om een belangenafweging tussen wat goed is voor het bedrijf en wat goed is voor de (privacy van de) werknemers.

Incidenteel mag u gegevens voor een ander doel gebruiken, mits dat doel verenigbaar is met het hoofddoel van de verwerking. U mag bijvoorbeeld gegevens van toegangssystemen incidenteel gebruiken om te controleren of een werknemer zich aan zijn werktijden houdt. 

Tip In de omschrijving waarvoor u persoonsgegevens van uw werknemers nodig hebt, definieert u uw speelruimte.
Wees niet te specifiek, want u mag de gegevens alleen gebruiken voor het concrete doel dat u hebt omschreven. Maar vaagheid is ook niet wenselijk. Mochten er juridische problemen ontstaan, bijvoorbeeld omdat een van uw werknemers aantoonbare schade lijdt omdat zijn gegevens op straat zijn komen te liggen, dan bent u in gebreke gebleven om een deugdelijk privacybeleid te formuleren. Als vuistregel kunt u volgens de privacywet aanhouden dat het minimum aan gegevens om uw doelstellingen te verwezenlijken tevens het toegestane maximum is.

Voorbeelden van ruime, welbepaalde doelomschrijvingen zijn:

  • ter voorkoming en bestrijding van misbruik (fraude) van de dienst alsmede andere activiteiten van intern beheer;
  • het incidenteel of structureel treffen van maatregelen ter bevordering van de kwaliteit van de aangeboden producten en diensten;
  • beveiliging, zowel preventief als repressief, risicobeperking, integriteitsonderzoek en controle op bedrijfsgeheimen en slechts indien er een gegrond vermoeden bestaat van overtreding van de wet of van de huisregels.

Een praktijkvoorbeeld
Uw werknemers krijgen bijvoorbeeld korting op producten of diensten van andere bedrijven. Die bedrijven willen daarvoor beschikken over gegevens uit uw personeelsadministratie. Dat mag als u in uw privacybeleid hebt omschreven dat u de gegevens in uw personeelsadministratie wilt gebruiken voor het voeren van uw personeelsbeleid. Omdat employee benefits onder personeelsbeleid vallen hebt u dat dan afgedekt.

Niettemin adviseert VNO-NCW om in dit geval toch aan het personeel te vragen of ze hiermee akkoord zijn. Dat kan op twee manieren: u vraagt uw medewerkers om bezwaar te maken als zij niet willen dat hun gegevens worden doorgegeven aan derden (en past vervolgens het principe toe ‘wie zwijgt stemt toe’) of u vraagt expliciet om toestemming.

Recht van verzet
Werknemers mogen per definitie, dus ook ongevraagd, bezwaar maken tegen het gebruik dat een werkgever in een bepaalde situatie of met een bepaald doel van persoonsgegevens wil maken. Dit wordt recht van verzet genoemd. De werknemer moet wel bijzondere persoonlijke omstandigheden aanvoeren wil hij van dit recht gebruik kunnen maken. U bent als werkgever in zo’n geval verplicht om af te wegen of u in dit specifieke geval een uitzondering kunt maken. Het ligt voor de hand dat u uw overwegingen meedeelt aan de betrokken werknemer.

Tref maatregelen!

  • U dient zichtbaar te maken dat u zorgvuldig met de privacy van uw werknemers omgaat. “Als vuistregel kan worden aangehouden dat voldoende bekend moet zijn wie precies over welke gegevens beschikt en waarom.” Ook moet u aangeven wie verantwoordelijk is voor het beheer en gebruik van de gegevens; werknemers dienen te weten bij wie ze terecht kunnen met vragen en/of klachten.
    VNO-NCW vindt het moment van indiensttreden geschikt om aan deze informatieplicht te voldoen. Werknemers die al langer voor u werken houdt u op de hoogte via bijvoorbeeld de personeelsgids of een (elektronische) nieuwsbrief.
  • Een werkgever heeft meldingsplicht en is verplicht bij het College Bescherming Persoonsgegevens (CBP) op te geven welke persoonsgegevens hij registreert en waarvoor die worden gebruikt. Informatie over sollicitanten en uitzendkrachten is hiervan uitgezonderd, mits de gegevens na twee jaar uit uw personeelsadministratie worden verwijderd.
  • U kunt aanvullende privacyregelingen treffen in een zogenoemde gedragscode. Meestal wordt die op brancheniveau geformuleerd. Op verzoek kan het CBP verklaren dat zo’n gedragscode in overeenstemming is met de wet. Verder kunt u een privacycoördinator aanstellen of regelmatig privacy-audits laten doen.
  • In sommige gevallen is het Vrijstellingsbesluit van toepassing. Dan is het niet verplicht om de registratie bij het CBP te melden.
  • Het CBP houdt ook toezicht. Ambtshalve of op verzoek kan het CBP een onderzoek instellen bij een bedrijf. Als het CBP tot de conclusie komt dat een werkgever in strijd met de wet handelt, kan het ingrijpen en een boete opleggen. Wanneer bijvoorbeeld niet is voldaan aan de aanmeldingsplicht, komt een werkgever dat duur te staan. De boete bedraagt maximaal € 4500,-.
  • Uiteindelijke toetsing vindt plaats door de rechter.
  • Een personeelsadministratie moet ‘ter zake dienende, juiste, volledige en niet bovenmatige’ gegevens bevatten. Een werkgever is dus verplicht de gegevens regelmatig te controleren op juistheid. Hij mag in principe niet vragen naar godsdienst of levensovertuiging, etnische herkomst, politieke gezindheid, gezondheid, lidmaatschap van een vakbond of strafrechtelijke gegevens. Is dat om praktische redenen wel noodzakelijk, dan moet hij dit melden bij het CPB. Hierbij is een goed need-to-know-beleid noodzakelijk, aldus de brochure.
  • Een werkgever is wettelijk verantwoordelijk passende technische en organisatorische maatregelen te treffen ter beveiliging van de gegevens. De stand van de techniek en de situatie in uw bedrijf zijn daarbij richtinggevend. U moet in elk geval reglementeren wie toegang heeft tot welke informatie (een werknemer heeft recht op inzage in zijn eigen gegevens) en hoe het systeembeheer is geregeld. Ook het verwijderen van gegevens moet met waarborgen omgeven zijn.
  • Gegevensuitwisseling binnen de EU is onbeperkt mogelijk mits aan alle reeds genoemde voorwaarden is voldaan. Daarbuiten moet er sprake zijn van een ‘passend beschermingsniveau’.

Internet- en e-mailgebruik controleren mag
Een onderwerp dat zich bij werkgevers in grote belangstelling mag verheugen, is of zij ook een stokje kunnen steken voor ongewenst gebruik van e-mail en internet door medewerkers. Binnen de grenzen van de nieuwe Wet Bescherming Persoonsgegevens is dat mogelijk, maar u moet wel aan bepaalde voorwaarden voldoen.

  • Een werkgever mag bijhouden welke websites door zijn medewerkers worden bezocht, zolang de lijst geanonimiseerd is. Hij mag dus niet onderzoeken wie precies welke sites bezoekt op de computers van de zaak, maar kan wel een goede indruk krijgen van de mate waarin misbruik wordt gemaakt van de geboden digitale voorzieningen.
  • Hij kan een ‘internetbeleid’ uitvaardigen. Wie bijvoorbeeld niet wil dat sites worden bezocht die de reputatie van het bedrijf schaden, kan een lijst maken van de digitale uitstapjes die niet geoorloofd zijn. Ook mag hij met technische middelen het bezoek aan minder geschikte sites voorkomen.
  • Hij mag controleren of iedereen zich aan de afspraken houdt. Dit moet weer aan de hand van geanonimiseerde lijsten.
  • Staan er op de lijst flagrante schendingen van gemaakte afspraken, dan mag hij achterhalen wie de daders zijn. Geef duidelijk aan hoe u dat gaat doen, wanneer u dat gaat doen en wat de sancties zijn.
  • Uw systeembeheerder of postmaster heeft in dezen een bijzonder privacygevoelige functie. Neem de eisen die aan hem of haar op dat punt worden gesteld op in de functieomschrijving in het kader van de vertrouwelijkheid.
  • Toekomstige werknemers zijn niet beschermd. Het is niet verboden om sollicitanten te googelen en een beeld van hen te verkrijgen aan de hand van sporen die ze achtergelaten hebben op het web. In de sollicitatiecode staat wel het advies aan sollicitanten te melden dat zij zijn opgezocht via Hyves of Google.

Meekijken en meeluisteren
Videobewaking is niet altijd een beveiligingsmiddel gericht op klanten. Soms wordt het ook gebruikt om fraude door het personeel op te sporen. U mag verborgen camera’s gebruiken maar moet uw personeel wel mededelen dat videobewaking plaatsvindt. Er zijn plaatsen (kantine, toiletten) waar u het elektronisch oog bij voorkeur niet zult inschakelen. Laat dat ook weten aan uw medewerkers, zodat er ook plaatsen zijn in uw bedrijf waar zij zich onbespied weten.

  • De bewaartermijn van videobeelden hangt af van het concrete doel dat zij dienen en de effectiviteit ervan. Dat geldt ook voor opnamen van (telefoon)gesprekken.
  • Meeluisteren mag voor doeleinden van training en begeleiding, individuele beoordeling, bewijs van telefonische transacties, beheersing van telefoonkosten, tegengaan privégebruik en het opsporen van fraude.
  • De ondernemingsraad of personeelsvertegenwoordiging heeft instemmingsrecht bij het invoeren van systemen om werknemers technisch te controleren.
Share on print
Share on facebook
Share on linkedin
Share on twitter

Lees ook…