Privacy en de Wet Bescherming Persoonsgegevens

Privacy en de Wet Bescherming Persoonsgegevens

Privacy en de Wet Bescherming Persoonsgegevens

Uw verantwoordelijkheid
De wet stelt dat u als werkgever een ‘deugdelijk privacybeleid’ moet voeren. Dit houdt in dat u verantwoordelijk bent voor de bescherming van de persoonlijke gegevens van uw werknemers. Die plicht strekt zich uit als u bijvoorbeeld een loonadministratiekantoor in dienst heeft dat de salarissen verzorgt. Neem uw verantwoordelijkheid en leg afspraken vast over de wederzijdse verplichtingen op het gebied van informatiebeheer vast in uw privacybeleid.

Waar gaat het om?
Als u uw personeel om persoonlijke gegevens vraagt, moet u toelichten waar u die gegevens voor gaat gebruiken. De Wet Bescherming Persoonsgegevens stelt dat u die gegevens mag gebruiken voor de volgende doelen:

  • Voor de totstandkoming en uitvoering van de arbeidsovereenkomst.
  • Om de ‘vitale belangen’ van werknemers te beschermen. Denk hierbij aan gegevens die noodzakelijk zijn voor toegangspasjes of bedrijfshulpverlening.
  • Als een werknemer ‘ondubbelzinnige toestemming’ heeft gegeven, bijvoorbeeld door mee te doen aan een bedrijfsspaarregeling.
  • In het kader van een ‘gerechtvaardigd belang’. Dit is een wettelijk vangnet voor de hierboven opgesomde andere reden. Het gaat om een belangenafweging tussen wat goed is voor het bedrijf en wat goed is voor (de privacy) van het personeel.

Een praktijkvoorbeeld
Uw werknemers krijgen employee  benefits, bijvoorbeeld in de vorm van korting op producten of diensten van andere organisaties. Die organisaties willen daarvoor over gegevens uit uw personeelsadministratie beschikken. Dat mag als u in uw privacybeleid hebt omschreven dat u deze gegevens wilt gebruiken voor het voeren van uw personeelsbeleid. Omdat employee benefits onder personeelsbeleid vallen heeft u dit afgedekt.

Niettemin is het verstandig om toch aan het personeel te vragen of ze hiermee akkoord zijn. Dat kan op twee manieren: u vraagt uw medewerkers om bezwaar te maken als zij niet willen dat hun gegevens worden doorgegeven aan derden (en past vervolgens het principe toe ‘wie zwijgt stemt toe’) of u vraagt expliciet om toestemming.

Recht van verzet
Werknemers mogen per definitie, dus ook ongevraagd, bezwaar maken tegen het gebruik dat een werkgever in een bepaalde situatie of met een bepaald doel van persoonsgegevens wil maken. Dit wordt recht van verzet genoemd. De werknemer moet wel bijzondere persoonlijke omstandigheden aanvoeren wil hij van dit recht gebruik kunnen maken. U bent als werkgever in zo’n geval verplicht om af te wegen of u in dit specifieke geval een uitzondering kunt maken. Het ligt voor de hand dat u uw overwegingen meedeelt aan de betrokken werknemer.

Tref maatregelen

  • U moet aantonen dat u zorgvuldig met de privacy van uw werknemers omgaat. Als vuistregel kan worden aangehouden dat voldoende bekend moet zijn wie precies over welke gegevens beschikt en waarom. Ook moet u aangeven wie verantwoordelijk is voor het beheer en gebruik van de gegevens zodat werknemers weten bij wie ze terecht kunnen met vragen en/of klachten.
    U kunt aan deze informatieplicht voldoen bij het indiensttreden van medewerkers. Werknemers die al langer voor u werken houdt u op de hoogte via bijvoorbeeld de personeelsgids of een (elektronische) nieuwsbrief.
  • U bent verplicht bij het College Bescherming Persoonsgegevens (CBP) op te geven welke persoonsgegevens u registreert en waarvoor u die gebruikt. Informatie over sollicitanten en uitzendkrachten is hiervan uitgezonderd, mits u de gegevens na twee jaar uit uw personeelsadministratie verwijdert.
  • Het CBP houdt ook toezicht en kan een onderzoek instellen bij uw bedrijf. Komt het tot de conclusie komt dat u in strijd handelt met de wet, dan kan het ingrijpen en een boete opleggen.
  • Uw personeelsadministratie moet ‘ter zake dienende, juiste, volledige en niet bovenmatige’ gegevens bevatten. U bent dus verplicht de gegevens regelmatig te controleren op juistheid. U mag in principe niet vragen naar godsdienst of levensovertuiging, etnische herkomst, politieke gezindheid, gezondheid, lidmaatschap van een vakbond of strafrechtelijke gegevens. Is dat om praktische redenen wel noodzakelijk, dan moet u dit melden bij het CPB.
  • U bent wettelijk verantwoordelijk passende technische en organisatorische maatregelen te treffen ter beveiliging van de gegevens. De stand van de techniek en de situatie in uw organisatie zijn daarbij richtinggevend. U moet in elk geval reglementeren wie toegang heeft tot welke informatie (een werknemer heeft recht op inzage in zijn eigen gegevens) en hoe het systeembeheer is geregeld. Ook het verwijderen van gegevens moet met waarborgen omgeven zijn.
  • Gegevensuitwisseling binnen de EU is onbeperkt mogelijk mits u aan alle reeds genoemde voorwaarden voldoet. Daarbuiten moet u zich vergewissen dat er sprake is van een ‘passend beschermingsniveau’.

Internet- en emailgebruik controleren mag

  • U mag het internetgebruik van uw personeel checken, maar wel binnen bepaalde voorwaarden:
  • U mag bijhouden welke websites uw medewerkers bezoeken, maar alleen via een geanonimiseerde lijst. U mag niet nagaan wie welke sites bezoekt.
  • U mag een internetbeleid opstellen. U kunt uw personeel bijvoorbeeld verbieden om bepaalde websites te bezoeken die de reputatie van uw organisatie schaden.
  • U mag technische maatregelen nemen waardoor werknemers bepaalde websites niet kunnen openen. Wilt u niet dat u personeel de hele dag zit te MSN-en, dan kunt u bijvoorbeeld die mogelijkheid blokkeren.
  • U mag controleren of iedereen zich aan de afspraken houdt. Echter alleen aan de hand van geanonimiseerde lijsten.
  • Ontdekt u een grove schending van de gemaakte afspraken, dan mag u de dader achterhalen. Geef duidelijk aan hoe en wanneer u dat gaat doen en wat de sanctie is.
  • Uw systeembeheerder heeft in deze kwestie uiteraard een vertrouwensfunctie.

Camerbewaking en meeluisteren
U mag verborgen camera’s plaatsen als beveiligingsmiddel of om fraude op te sporen, maar u moet uw personeel hiervan wel altijd op de hoogte stellen. In kantines, kleedkamers, douches en toiletten mag niet worden gefilmd.

Het meeluisteren met telefoongesprekken is geoorloofd in de volgende situaties: bij het trainen en begeleiden van personeel, individuele beoordeling, bewijs van telefonische transacties, beheersing van telefoonkosten, het tegengaan van privégebruik en het opsporen van fraude.

    0
    Je winkelwagen