privacy: bescherming persoonsgegevens

op deze pagina

    Werkgevers verwerken personeelsgegevens en krijgen daarom te maken met persoonsgegevens van hun werknemers. Deze zijn veelal opgeslagen in een personeelsdossier. Werkgevers hebben hierbij te maken met verplichtingen die voortvloeien uit uiteenlopende wet- en regelgeving. Zo staat in het Burgerlijk Wetboek dat een werkgever zich als ‘goed werkgever’ moet gedragen. Dat houdt onder meer in dat hij de privacy van zijn werknemers moet respecteren.

    Wat mag en niet mag met persoonsgegevens, is geregeld in de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels.

    De Autoriteit Persoonsgegevens is per 1 januari 2016 de nieuwe naam geworden van het College bescherming persoonsgegevens (CBP).

    Wet bescherming persoonsgegevens (Wbp)

    In de Wbp staat onder meer op welke gronden de werkgever persoonlijke gegevens van zijn medewerkers aan derden mag verstrekken. Dit kan het geval zijn als:

    • het noodzakelijk is voor de uitvoering van een overeenkomst tussen werkgever en werknemer (de arbeidsovereenkomst)
    • sprake is van een wettelijk voorschrift
    • de werknemer ondubbelzinnige toestemming heeft gegeven aan de werkgever

    Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

    melding personeelsadministraties

    In de regel moet iedereen die persoonsgegevens verwerkt deze administratie aanmelden bij de Autoriteit Persoonsgegevens. De meeste personeels-, salaris- of sollicitantenadministraties zijn hiervan echter vrijgesteld. Of een werkgever zijn personeelsadministratie bij de Autoriteit Persoonsgegevens moet melden, kan hij zelf beoordelen aan de hand van de Handreiking Vrijstellingsbesluit van de Autoriteit Persoonsgegevens.

    personeelsdossiers

    De werkgever mag persoonsgegevens voor een personeelsdossier verwerken in het kader van een arbeidsovereenkomst met zijn werknemer. Daaraan zijn wel bepaalde voorwaarden verbonden.

    • De werkgever is verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in de personeelsadministratie.
    • De gegevens in het personeelsdossier moeten toereikend, ter zake dienend en niet bovenmatig zijn, gelet op het doel waarvoor ze verwerkt worden.
    • De werkgever moet zijn werknemers informeren over de doeleinden waarvoor hij hun gegevens verzamelt.
    • De werkgever moet passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
    • De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is.
    • De werkgever moet zijn werknemers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

    rechten werknemer: inzage en wijziging personeelsgegevens

    De werknemer heeft het recht inzage te vragen in het gebruik van zijn persoonsgegevens. De werkgever moet in dat geval binnen vier weken een overzicht van die gegevens verstrekken. Hij moet ook informatie geven over het doel van de verwerking, de ontvangers van de gegevens en de herkomst van de gegevens.

    Nadat de werknemer inzage heeft gevraagd, kan hij zijn werkgever verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dat kan als de gegevens die gebruikt worden feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor de doeleinden van de verwerking. De werkgever moet binnen vier weken reageren op het verzoek.

    De werknemer moet met vragen en klachten altijd eerst naar de werkgever gaan. Als deze niet of niet naar tevredenheid reageert, kan de werknemer op verschillende manieren actie ondernemen:

    • hij kan naar de Nationale Ombudsman gaan met een klacht
    • hij kan de rechter vragen om een verbod, herstel van de (nadelige) gevolgen of een schadevergoeding
    • hij kan een zogeheten signaal afgeven (via een formulier) bij de Autoriteit Persoonsgegevens, dat naar aanleiding hiervan een onderzoek kan starten

    Bij een sollicitatieprocedure gelden specifieke regels die de privacy van de sollicitant beschermen. Organisaties die zich als een goed werkgever willen gedragen, houden zich aan de sollicitatiecode van de Nederlandse Vereniging Personeelsbeleid (NVP).

    regels voor controle van personeel

    Werkgevers mogen hun personeel controleren, bijvoorbeeld het e-mail-, internet- en telefoongebruik of via cameratoezicht. Ze moeten daarbij wel rekening houden met de privacy van de werknemers en voldoen aan de voorwaarden uit de wet. Daarbij geldt dat de werkgever:

    • een legitieme reden heeft
    • geen andere (minder ingrijpende) manieren heeft om het doel te bereiken
    • de controle meldt bij de Autoriteit Persoonsgegevens
    • de werknemers informeert over wat toegestaan en wat verboden is, dat controle mogelijk is en op welke manier dat gebeurt. Dit kan bijvoorbeeld met gedragsregels of een protocol
    • rekening houdt met het recht op vertrouwelijke communicatie van de werknemers, bijvoorbeeld bij de controle van e-mail of telefoon
    • vooraf instemming vraagt aan de ondernemingsraad (OR) voor de controle

    Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens de bevoegdheid om meer boetes uit te delen. Voor die datum mocht de instelling alleen een boete opleggen bij overtreding van een administratief voorschrift. Nu kunnen werkgevers ook een boete krijgen bij het schenden van meer algemene verplichtingen rondom gebruik en verwerking van persoonsgegevens. De boete varieert van maximaal € 20.225 in de laagste categorie tot maximaal € 810.000 in de hoogste categorie.

    gedragscode voor gebruik e-mail, social media en internet

    In een gedragscode staan de normen en waarden van de organisatie en regels over wat wel en wat niet mag.

    Het CNV heeft een modelgedragscode voor het gebruik van e-mail en internet gemaakt en een social media protocol ontwikkeld. Daarnaast heeft de Autoriteit Persoonsgegevens een factsheet gemaakt met de do’s en don’ts voor werkgevers op het gebied van internet en social media.

    Met de opkomst van internet en e-mail is een gedragscode haast noodzakelijk geworden. Want waar liggen de grenzen bij het gebruik van deze media?

    E-mail, internet en social media zijn binnen organisaties niet meer weg te denken en bieden zowel werkgevers als werknemers veel voordelen, zoals productiviteit, bereikbaarheid en snelheid. Om het gebruik ervan in goede banen te leiden, zijn een gedragscode en/of gebruiksregels aan te raden. De ondernemingsraad moet instemmen met de invoering van een gedragscode en/of regeling.