Recht op privacy geldt ook op de werkvloer

mens_talentBedrijven gaan niet altijd zorgvuldig om met de persoonsgegevens van hun werknemers. Het College bescherming persoonsgegevens (CBP) concludeert dit na een reeks onderzoeken bij verschillende organisaties. Zo ontving het CBP vorig jaar 900 signalen die te maken hebben met de verwerking van persoonsgegevens in de arbeidsrelatie. Naar aanleiding van de onderzoeksbevindingen publiceert het CBP vandaag, op de internationale Dag van de Privacy zogenoemde do’s & don’ts voor bedrijven en hun werknemers.

Het toenemend aantal signalen was eerder al reden voor het CBP om het onderwerp privacy hoog op de agenda te zetten en een aantal onderzoeken te starten. De onderzochte bedrijven gingen op diverse punten in de fout. Een aantal organisaties verwerkte in strijd met de wet medische gegevens van werknemers. Een ander bedrijf maakte gebruik van of beveiligingscamera’s om het personeel te controleren terwijl dat in die situaties niet was toegestaan. Tot slot bleek een werkgever zijn medewerkers te verplichten deel te nemen aan social media. Alle onderzochte bedrijven hebben na het optreden van het CBP hun werkwijze aangepast en de overtredingen beëindigd.

Jacob Kohnstamm, voorzitter CBP:

’In deze tijden van hoge werkloosheid zijn werknemers nog meer dan anders afhankelijk van hun werkgever. De werkplaats is echter geen vrijplaats, het grondrecht op de bescherming van persoonsgegevens geldt ook op de werkvloer.’

Medische gegevens

Het CBP constateerde bij een bedrijf dat het zijn medewerkers opriep om medicijndoosjes af te geven om zo te controleren of sprake is van medicijngebruik dat de rijvaardigheid beïnvloedt. Alleen de bedrijfsarts mag vragen naar medicijngebruik. Een ander bedrijf vroeg de medewerkers bij de ziekmelding om welke ziekte het ging en de oorzaak daarvan. Werkgevers mogen echter geen medische gegevens van hun personeel verwerken. Medische gegevens zijn per definitie privacygevoelig en voor het verwerken daarvan gelden extra wettelijke eisen. Een werkgever mag alleen vragen naar de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is om te bezien welke mogelijkheden er voor het doen van (andere) werkzaamheden zijn.

Cameratoezicht

In een ander onderzocht geval werden werknemers aangesproken naar aanleiding van beelden van beveiligingscamera’s. Dit is in strijd met de wet. Als een werkgever camera’s inzet voor de beveiliging van werknemers en/of bezittingen, dan mag hij de beelden hiervan niet gebruiken om medewerkers aan te spreken of te beoordelen op hun functioneren. De beelden mogen in principe alleen worden gebruikt voor het doel waarvoor ze zijn gemaakt. Werkgevers zouden de volgende privacytoets uit moeten voeren:

  • is de inzet van camera’s noodzakelijk?;
  • kan het doel ook op een andere manier worden bereikt, met een minder ingrijpend middel dan camera’s?;
  • weegt uw (bedrijfs)belang op tegen het privacybelang van uw werknemers?;
  • meld het cameratoezicht bij het CBP, tenzij u hiervoor bent vrijgesteld, check hiervoor artikel 38 van het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens;
  • vraag vooraf toestemming aan de ondernemingsraad;
  • informeer werknemers en bezoekers dat er camera’s hangen, bijvoorbeeld via bordjes;
  • zet u bewakingscamera’s in om uw werknemers en/of eigendommen te beveiligen, dan mag u de beelden hiervan niet gebruiken om uw werknemers aan te spreken of te beoordelen op hun functioneren;
  • zorg dat de inbreuk op de privacy van werknemers zo klein mogelijk is, hang bijvoorbeeld geen camera’s op het toilet.

Bij inzet van verborgen camera’s geldt bovendien:

  • gebruik verborgen camera’s alleen in bijzondere omstandigheden, zoals bij diefstal of fraude;
  • meld het verborgen cameratoezicht bij het CBP;
  • zorg dat u kunt aantonen dat u eerder andere inspanningen heeft gepleegd om een einde te maken aan de diefstal of fraude;
  • gebruik geen verborgen camera’s voor trainingsdoeleinden, zo is mystery shopping met een verborgen camera niet toegestaan, de inzet van verborgen camera’s is een te zwaar middel voor dit doel;
  • zet de verborgen camera’s tijdelijk in, permanent heimelijk cameratoezicht is nooit toegestaan;
  • informeer de betrokken werknemers achteraf over de controle met de verborgen camera.

Screening, internet en social media

Een werkgever beoordeelde medewerkers op het feit of zij al dan niet een (bijgewerkt) LinkedIn-profiel hadden. Het bedrijf had hiervoor echter geen legitieme reden en handelde daardoor in strijd met de wet. Een werkgever kan een werknemer niet verplichten hun persoonsgegevens op een sociale netwerksite te plaatsen.

Do's and don'ts voor werkgevers

In de sollicitatiefase:

  • voer uitsluitend een screening van een sollicitant uit als u hiervoor een legitieme reden heeft en ook aan de overige (wettelijke) voorwaarden voldoet. let op: toestemming van de persoon in kwestie is gezien de afhankelijkheidsrelatie niet rechtsgeldig;
  • weeg bij een screening zorgvuldig af of deze noodzakelijk is voor de functie en welke gegevens hiervoor daadwerkelijk relevant zijn;
  • informeer de sollicitant over de screening, bijvoorbeeld in de vacaturetekst;
  • laat de gezondheid van de sollicitant buiten de screening, tenzij een medische keuring wettelijk verplicht is voor de betreffende functie;
  • bedenk dat de informatie die u op internet vindt over een sollicitant niet waar hoeft te zijn en ga er dus zorgvuldig mee om.

Tijdens dienstverband:

  • stel duidelijke regels op voor het gebruik van e-mail en internet op het werk en informeer uw werknemers hierover, let op: u kunt privégebruik van e-mail en internet onder werktijd niet helemaal verbieden, uw werknemers hebben namelijk recht op een bepaalde mate van privacy op hun werk;
  • controleer het gebruik van e-mail en internet van uw werknemers alleen bij een vermoeden van misbruik en zorg dat u aan de (wettelijke) voorwaarden voldoet die hiervoor gelden;
  • controleer alleen wat werknemers op sociale media doen als u een legitieme reden heeft en de controle hiervoor noodzakelijk is;
  • laat uw werknemers weten dat controle mogelijk is, bijvoorbeeld in de vorm van interne richtlijnen;
  • plaats niet zomaar gegevens van uw werknemers, zoals naam, functie en foto, op uw (bedrijfs)website;
  • verplicht uw werknemers niet om hun persoonsgegevens op een sociale netwerksite te plaatsen, zoals LinkedIn.

De jaarlijkse Dag van de Privacy is in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag (28 januari) is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Inmiddels is het ook de Dag van de Privacy in een aantal niet-Europese landen waaronder Canada en de Verenigde Staten.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.