• Nieuws

Verduidelijking regels voor screening en monitoring van sollicitanten en werknemers

27 juli 2017
Arbeidsrecht - Privacy

Nieuwe opinie over de privacy van werknemers

De Artikel 29-Werkgroep, waarin alle Europese privacytoezichthouders verzameld zijn, heeft een nieuwe gezaghebbende opinie uitgebracht over de privacy van werknemers. De Werkgroep richt zich hierin met name op de regels omtrent screening en monitoring van sollicitanten en werknemers. Wat is hiervan de relevantie voor de praktijk? Wij lichten de interessantste punten uit.

Nieuwe risico’s? Tijd voor een nieuwe opinie

De aanleiding voor deze opinie is het feit dat met nieuwe technologieën ook nieuwe risico’s opduiken voor zowel werkgever als werknemer. Denk bijvoorbeeld aan wearables, Bring Your Own Device (BYOD) en social media. Al deze technologieën maken het mogelijk om toezicht te houden op de werknemer op een manier die veel minder transparant is dan bijvoorbeeld cameratoezicht. Bovendien worden de bepalingen van de Algemene Verordening Gegevensbescherming op 25 mei 2018 van kracht. Reden genoeg om de privacy van de werknemer weer eens tegen het licht te houden.

De Artikel 29-Werkgroep benadrukt een aantal bestaande uitgangspunten. Zo is de toestemming van een werknemer vrijwel nooit een geldige verwerkingsgrondslag, gezien de machtsverhoudingen in de arbeidsrelatie en de inkomensafhankelijkheid van de werknemer. Verwerkingsgrondslagen die wel geschikt kunnen zijn, zijn ‘uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang werkgever’.

Opvallend is dat de Artikel 29-Werkgroep er vanuit gaat dat alle arbeidsrelaties onder deze opinie vallen, en niet slechts personen met een arbeidsovereenkomst. De uitgangspunten van de opinie zijn dus ook van toepassing op andersoortige arbeidsverhoudingen, zoals uitzendkrachten, gedetacheerden, stagiairs en vrijwilligers. In de opinie wordt nog specifiek verwezen naar freelance werk, zodat mogelijk ook zzp’ers worden bedoeld. Wij wijzen er echter op dat er aanmerkelijke verschillen (kunnen) zijn tussen een werknemer die onder gezag van één werkgever werkt en een zzp’er die geen gezagsrelatie heeft met zijn verschillende opdrachtgevers. Om die reden lijken de regels in deze opinie over werknemers dan ook niet altijd één op één toepasbaar op zzp’ers.

Social media

De opinie gaat onder andere in op het controleren van social media van sollicitanten en werknemers. Er wordt duidelijk aangegeven dat het checken van social media van een sollicitant in beginsel niet is toegestaan, tenzij dit strikt noodzakelijk is voor de vacature, bijvoorbeeld om bepaalde risico’s te onderzoeken. Is dit het geval, dan moet de sollicitant van tevoren worden geïnformeerd dat screening door middel van een social media-onderzoek mogelijk is, mag alleen relevante informatie worden bekeken en moet de afweging worden gemaakt of een profiel zakelijk of privé bedoeld is. LinkedIn controleren mag dus, vakantiekiekjes op Instagram zijn uit den boze.

Is de sollicitant eenmaal aangenomen, dan mag hij ook als werknemer in beginsel niet gemonitord worden op social media door zijn werkgever. Daar zijn wel uitzonderingen op. De opinie geeft het voorbeeld van controle op het overtreden van een concurrentie- en/of relatiebeding door middel van het controleren van LinkedIn. In dit geval heeft een werkgever een gerechtvaardigd belang om de LinkedIn-profielen te controleren gedurende de looptijd van de bedingen. Voorwaarde is wel dat hij de betreffende ex-werknemers hierover heeft geïnformeerd en dat er geen controlemogelijkheid is die een minder vergaande inbreuk maakt op de privacy.

Monitoring ICT-gebruik tijdens het werk

Inmiddels is wel duidelijk dat werknemers gedurende werktijd ook privédingen moeten kunnen doen – zij het in beperkte mate. Daarbij kan een risico ontstaan: wat als de werkgever tijdens het monitoren van ICT-gebruik ook privégegevens verwerkt? De opinie geeft aan dat moet worden onderzocht of de wijze van monitoren wel noodzakelijk is. In het geval van een Data Loss Prevention tool waarmee datalekken kunnen worden tegengegaan heeft de werkgever een gerechtvaardigd belang om alle uitgaande e-mails te scannen, maar kan bijvoorbeeld beter een waarschuwing worden weergegeven indien een (persoonlijke) e-mail mogelijk een datalek zou veroorzaken. In het geval dat een werkgever wil controleren of zijn werknemers bepaalde verboden websites bezoeken tijdens werktijd, is het beter om deze websites te blokkeren dan te controleren wie welke websites bezoekt.

Bring Your Own Device (BYOD)

Een populair concept is ‘bring your own device’, waarbij werknemers hun eigen telefoon, laptop of tablet meenemen naar kantoor. Het risico hierbij is uiteraard wel dat deze devices ook privé worden gebruikt. Een laptop kan bijvoorbeeld vol staan met persoonlijke gegevens, zeker als ook anderen in het gezin van de werknemer gebruikmaken van de laptop. De opinie waarschuwt dan ook dat bij het monitoren van deze devices of bij het gebruikmaken van een bedrijfsnetwerk zoals een VPN, moet worden gewaarborgd dat geen verwerking plaatsvindt van de persoonlijke gegevens van de werknemer.

Wearables

Ook wearables worden steeds populairder. Denk aan de stappenteller, hartslagmeter of smartwatch. Voor de werknemer een leuke gadget, voor de werkgever een privacyrisico. Indien de gegevens immers worden gedeeld met de werkgever, verwerkt deze immers gezondheidsgegevens en dat is niet toegestaan. Ook indien de werkgever alleen inzicht heeft in geanonimiseerde, geaggregeerde data, is er nog steeds sprake van een verboden verwerking van gezondheidsgegevens van werknemers. Bovendien valt niet uit te sluiten dat ondanks anonimisering toch valt aan te wijzen om welke werknemer het gaat. Alleen de werknemer zelf mag dus toegang hebben tot de gegevens.

Conclusie

Met de hoge boetebevoegdheid die de Autoriteit Persoonsgegevens zal krijgen met de inwerkingtreding van de Algemene Verordening Gegevensbescherming, is het voor werkgevers van belang om nog eens na te lopen of de privacy van sollicitanten en werknemers goed geborgd is en of werknemers op de juiste wijze worden geïnformeerd over de verwerking van hun persoonsgegevens. Dit geldt zeker indien er een nieuwe technologie in gebruik wordt genomen binnen de onderneming. Uiteraard kunnen wij hierbij assisteren, bijvoorbeeld door het uitvoeren van de Ploum Privacy Quickscan.

Vragen over werknemers, privacy of de privacy van werknemers? Neem dan contact op met onze sectie Arbeidsverhoudingen & Medezeggenschap of IT & Privacy. Of bel de Ploum Privacy Hotline!