Column


Privacyjurist Friederike van der Jagt over...

Tijd voor gazpacho…

Vorig weekend ontploften mijn WhatsApp en mailbox. Had ik het al gezien? En wat vond ik ervan? Dit kon toch niet waar zijn??? U vraagt zich vast af: waar heeft ze het over? Precies wat ik dacht… 

Wat bleek: de komkommertijd was aangebroken. De media hadden een al een maand oude opinie van de Artikel 29 Werkgroep (WP29), het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders, opgepikt. Het gaat in dit geval om een opinie over het verwerken van persoonsgegevens op de werkvloer. Volgens verschillende media bleek uit deze opinie dat ‘bedrijven social media van werknemers en sollicitanten niet mogen controleren’. En daar viel dan weer menigeen over, want: hoe handhaaf je deze regels? En waarom zou je als werkgever een LinkedIn-profiel (immers ook social media) niet mogen bekijken? 

Bestaande wetgeving 
Ik kan u geruststellen: de soep wordt niet zo heet gegeten als hij wordt opgediend. De WP 29 heeft onder meer in 2001 en 2002 al adviezen afgegeven over privacy op de werkvloer. Sindsdien is er veel veranderd. Er wordt steeds meer vanuit huis gewerkt en ook het Bring Your Own Device-concept is populair. Door nieuwe technologische ontwikkelingen is het makkelijker geworden om werknemers op grote schaal te controleren, ook zonder dat zij daar iets van merken. Zo kunnen de toetsaanslagen en muisbewegingen van een werknemer met bepaalde software worden bijgehouden. Hierbij worden (veelal) persoonsgegevens van werknemers verwerkt. 

Zoals u wellicht weet, moet een werkgever hier – naast het feit dat hij aan alle andere verplichtingen van de Wet bescherming persoonsgegevens (Wbp) moet voldoen – een wettelijke grondslag voor hebben. In Nederland zijn deze grondslagen limitatief opgesomd in artikel 8 Wbp. Zo kunnen persoonsgegevens worden verwerkt indien iemand hiervoor zijn ondubbelzinnige toestemming geeft. Het verwerken van persoonsgegevens is ook toegestaan wanneer een bedrijf – simplistisch gesteld – kan aantonen dat het een gerechtvaardigd belang heeft en dit belang zwaarder weegt dan de impact op de privacy van de betrokkene. 

Steeds moet worden nagegaan of het wel nodig is om al deze persoonsgegevens te verwerken (proportionaliteitsvereiste) en of er geen andere, minder inbreukmakende manier bestaat om het nagestreefde doel te bereiken (subsidiariteitsvereiste). De WP 29 doet in haar opinie niets anders dan de bestaande wetgeving bevestigen en uitleggen hoe nieuwe technologieën, zoals Mobile Device Management en GPS tracking, privacyvriendelijk kunnen worden toegepast op de werkvloer. 

Gerechtvaardigd belang 
Net als in vorige opinies geeft de WP 29 aan dat het vragen van toestemming in beginsel geen goede grondslag voor de verwerking van persoonsgegevens van een werknemer kan vormen. Een werknemer zal zich namelijk, gelet op de afhankelijkheidsrelatie die er tussen een werkgever en een werknemer bestaat, al gauw gedwongen voelen om te tekenen bij het kruisje. 

Gegevensverwerkingen in arbeidsverhoudingen zullen dus veelal worden gebaseerd op de grondslag van het ‘gerechtvaardigd belang’. Dit betekent niet dat er niets mag, maar dat gekeken moet worden of de balans wel in het voordeel van de werkgever uitvalt, gelet op de privacy-impact van nieuwe technieken. Daarbij moet steeds worden bezien welke maatregelen genomen kunnen worden om deze technieken op een minder inbreukmakende manier in te zetten.
 
Niets nieuws onder de zon 
En nu weer terug naar waar de paniek om begon: het controleren van social media, bijvoorbeeld bij sollicitanten. De WP29 geeft aan dat het feit dat iemands socialmediaprofiel openbaar toegankelijk is nog niet betekent dat werkgevers de informatie op het profiel zonder meer voor eigen doeleinden mogen verwerken. Bij sollicitaties moet gekeken worden of het, gelet op het gevraagde functieprofiel, nodig is om social media te controleren. Het bekijken van meer ‘persoonlijke’ social media, zoals Facebook, zal de toets der kritiek minder snel doorstaan dan het bekijken van ‘zakelijke’ social media zoals LinkedIn. Bovendien moet een sollicitant er van tevoren over worden geïnformeerd dat een socialmediacheck deel uitmaakt van de sollicitatieprocedure. Hoewel je daar tegenwoordig wel van uit kunt gaan, moet een werkgever dit melden, bijvoorbeeld in de vacaturetekst.

Eigenlijk niets nieuws onder de zon dus. Kijk bijvoorbeeld maar naar de eerdere do’s en don’ts van de Autoriteit Persoonsgegevens uit 2014. Oftewel: geen hete soep, maar gazpacho (kunt u trouwens ook perfect van komkommer(nieuws) maken...). Heerlijk bij zomers weer! Mij rest dan ook niets anders dan u een fijne zomer toe te wensen! 
 
Friederike van der Jagt is privacyjurist bij Hunter Legal

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht