Wet bescherming persoonsgegevens (Wbp): verplichtingen van de werkgever

In de wet- en regelgeving staan de verschillende verplichtingen van de werkgever en de rechten van de werknemer vermeld. Zo staat in het Burgerlijk Wetboek dat een werkgever zich als ‘goed werkgever’ moet gedragen. Dat houdt onder meer in dat hij de privacy van zijn werknemers moet respecteren.

op deze pagina

    In de Wet bescherming persoonsgegevens (Wbp) staat wat werkgevers wel en niet mogen doen met persoonsgegevens van personeel. Vanaf 25 mei 2018 vervangt de Algemene verordening gegevensbescherming (AVG) de Wbp.

    Ook bij de werving en selectie van werknemers moeten werkgevers rekening houden met de privacyregels.

    verstrekken van persoonsgegevens

    De werkgever mag persoonlijke gegevens van zijn medewerkers aan derden verstrekken als:

    • het noodzakelijk is voor de uitvoering van een overeenkomst tussen werkgever en werknemer (de arbeidsovereenkomst)
    • sprake is van een wettelijk voorschrift
    • de werknemer ondubbelzinnige toestemming heeft gegeven aan de werkgever

    meldplicht datalekken

    De meldplicht datalekken houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Ook moeten zij het datalek mogelijk melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Voorbeelden van datalekken zijn: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

    melding personeelsadministraties

    In de regel moet iedereen die persoonsgegevens verwerkt deze administratie aanmelden bij de Autoriteit Persoonsgegevens. De meeste personeels-, salaris- of sollicitanten administraties zijn hiervan echter vrijgesteld. Of een werkgever zijn personeelsadministratie bij de Autoriteit Persoonsgegevens moet melden, kan hij zelf beoordelen aan de hand van de Handreiking Vrijstellingsbesluit van de Autoriteit Persoonsgegevens.

    personeelsdossiers

    De werkgever mag persoonsgegevens voor een personeelsdossier verwerken in het kader van een arbeidsovereenkomst met zijn werknemer. Daaraan zijn wel bepaalde voorwaarden verbonden. Zo moet de werkgever:

    • ervoor zorgen dat de gegevens in de personeelsadministratie juist en nauwkeurig zijn
    • niet meer gegevens in het personeelsdossier vastleggen dan nodig en de gegevens moeten ter zake dienend en niet bovenmatig zijn, gelet op het doel waarvoor ze verwerkt worden
    • zijn werknemers informeren over de doeleinden waarvoor hij hun gegevens verzamelt
    • passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking
    • niet langer bewaren dan noodzakelijk is
    • zijn werknemers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

    Met de opkomst van internet en e-mail is de vraag hoe ver werkgevers mogen gaan bij de controle van hun personeel. Waar liggen de grenzen bij het gebruik van deze media? Een gedragscode kan duidelijkheid bieden.

    controle van e-mail en internet

    Werkgevers mogen hun personeel controleren, bijvoorbeeld het e-mail-, internet- en telefoongebruik of via cameratoezicht. Ze moeten daarbij wel rekening houden met de privacy van de werknemers en voldoen aan de voorwaarden uit de wet. Daarbij geldt dat de werkgever:

    • een legitieme reden heeft
    • geen andere (minder ingrijpende) manieren heeft om het doel te bereiken
    • de controle meldt bij de Autoriteit Persoonsgegevens
    • de werknemers informeert over wat toegestaan en wat verboden is, dat controle mogelijk is en op welke manier dat gebeurt. Dit kan bijvoorbeeld met gedragsregels of een protocol
    • rekening houdt met het recht op vertrouwelijke communicatie van de werknemers, bijvoorbeeld bij de controle van e-mail of telefoon
    • vooraf instemming vraagt aan de ondernemingsraad (OR) voor de controle.

    gedragscode gebruik e-mail en internet

    Om het gebruik van e-mail, internet en social media door werknemers in goede banen te leiden, zijn een gedragscode en/of gebruiksregels aan te raden. De ondernemingsraad moet instemmen met de invoering van een gedragscode en/of regeling.

    Het CNV heeft een modelgedragscode voor het gebruik van e-mail en internet gemaakt en een socialmediaprotocol ontwikkeld. Daarnaast heeft de Autoriteit Persoonsgegevens een factsheet gemaakt met de do’s en don’ts voor werkgevers op het gebied van internet en social media.

    boete bij overtreding

    De Autoriteit Persoonsgegevens kan werkgevers een boete opleggen als zij hun verplichtingen rondom gebruik en verwerking van persoonsgegevens niet nakomen. De boete varieert van maximaal € 20.225 in de laagste categorie tot maximaal € 810.000 in de hoogste categorie.

    De art. 29 WP heeft in juni 2017 een opinie geschreven over de privacy op de werkvloer waarin de privacyregels nader worden toegelicht.