werknemers - Van Doorne

advertisement
Artikelen
Vonne Laan en Elisabeth Thole1
Nieuwsgierige werkgevers: Let op privacygrenzen
bij verwerken van gegevens van sollicitanten en
werknemers
ArbeidsRecht 2016/8
bevat basisregels die werkgevers in acht plegen te nemen bij
de werving en selectie van personeel.
Hoe ver mag een werkgever gaan bij het screenen van
sollicitanten? Wanneer mag een werkgever de mailbox en het smartphonegebruik van zijn werknemers
checken, of camera's inzetten om hun bezigheden te
controleren? Aan de hand van verschillende praktijksituaties gaan wij na waar privacy technisch gezien voor werkgevers de grenzen liggen, mede met
oog op de steeds strengere privacyregels.
Grondslag te verwerken gegevens
Voor de gegevensverwerking in het kader van pre-employment screening kan het gerechtvaardigd belang van de werkgever een geschikte rechtvaardigingsgrond zijn. De daarbij
vereiste belangenafweging brengt mee dat de werkgever alleen díe persoonsgegevens mag checken die van belang zijn
voor uitoefening van de functie waarnaar wordt gesolliciteerd.
Standaard screening procedures mogen in principe niet.'
Opmerkingen vooraf
Op 1 januari 2016 treedt de gewijzigde Wet bescherming
persoonsgegevens (Wbp) in werking. Werkgevers dienen
ermee rekening te houden dat vanaf dat moment de Autoriteit Persoonsgegevens, de nieuwe naam van de privacytoezichthouder, forse boetes kan opleggen, oplopend tot
€ 820.000 of 10% van dejaaromzet van de werkgever.' Daarnaast wordt in februari ofmaart 2016 de finale versie van de
EU Privacy Verordening (AVGB) verwacht, waarover op 15
december 2015 in Brussel een akkoord is bereikt.' Werkgevers krijgen dan, net als andere organisaties die persoonsgegevens verwerken, twee jaar de gelegenheid om hun verwerkingsprocessen daarop aan te passen. In deze relatief
korte periode moeten werkgevers dus hun privacyzaken op
orde krijgen om de zo mogelijk nog forsere boetes te vermijden. Op basis van de AVGB kunnen de boetes oplopen
tot € 20 miljoen of in geval van een reehtspersoon 4% van
de wereldwijde jaaromzet van de reehtspersoon indien dat
bedrag hoger is.
1.
Screening van sollicitanten
Hoe weet een werkgever of iemand een geschikte kandidaat is? Diverse vormen van screening van sollicitanten
zijn denkbaar. Van het uitvoeren van keuringen en testen
tot het checken van referenties. In al deze gevallen worden
persoonsgegevens verwerkt en is de Wbp van toepassing,
die, zoals hiervoor beschreven, in de nabije toekomst wordt
vervangen door de AVGB. Daarnaast geeft de NVP Sollicitatiecode (laatste update: oktober 2013) richting." Deze code
Voor sommige functies is een Verklaring omtrent het Gedrag (VaG) vereist of gelden andere specifieke wettelijke
bepalingen, zoals voor politieambtenaren en luchtvaartpersoneel. In die gevallen kan uitvoering van een wettelijke
verplichting de grondslag voor de verwerking vormen.
Bijzondere persoonsgegevens
Bij screening is het uitgangspunt dat geen bijzondere persoonsgegevens mogen worden verwerkt. Bijzondere persoonsgegevens zijn gevoelige persoonsgegevens zoals
gezondheidsgegevens of gegevens over iemands ras. Uitzonderingen zijn alleen toegestaan wanneer bijzondere functieeisen dat noodzakelijk maken. Voorzichtigheid is daarbij geboden, omdat niet zomaar mag worden aangenomen dat de
sollicitant de gegevens in vrijheid verstrekt," Daarnaast moet
de verwerking "ten eigen behoeve" zijn. De uitzondering
biedt daarom geen uitkomst als sprake is van een uitzendrelatie of als een screeningbureau wordt ingeschakeld. Als
deze partij geen recherchebureau is of geen deel uitmaakt
van het concern van de werkgever gelden aanvullende eisen.
Bij het CBP moet in dat geval een voorafgaand onderzoek
worden aangevraagd.' Op basis van deze procedure heeft
het CBP diverse privacyprotocollen voor pre-employment
screening door uitzendorganisaties rechtmatig verklaard."
Bijzondere aandacht verdient de verwerking van gezondheidsgegevens van sollicitanten. Wanneer sprake is van een
wettelijk verplichte medische keuring is dat toegestaan," Of
bij psychologische testen ook gezondheidsgegevens worden
5
Zie www.cbpweb.nl
6
Zie Kamerstukken //1997/98. 25892. nr. 3 p. 65 (MvT). aangehaald in het
CBP rapport met definitieve bevindingen inzake het Onderzoek naar het
Auteurs zijn advocaten bij Van Deerne NV te Amsterdam. Vonne Laan is
verbonden aan de praktijkgroep arbeidsrecht en Elisabeth Thole is partner
2
4
12
gebruik
en hoofd van het Van Doorne Privacy Team. Deze bijdrage werd afgesloten
op 24 december 2015.
Per 1 januari 2016 krijgt het College bescherming persoonsgegevens
(CBP)
7
een nieuwe naam: Autoriteit
Persoonsgegevens.
Wij blijven in dit arrikel
toch nog spreken over het CBP omdat wij verwijzen naar stukken die uit
naam van het CBP zijn gepubliceerd.
8
Zie: http://europa.eu/rapid/press-release_IP-15-6321_en.
Zie: www.nvp-plaza.nl/sollicitatiecode.
h t m.
9
onder 'screening',
van (heimelijke)
camera's door Media Markt-Saturn
Holding Ne-
derland B.V. (21 november 2013). p. 14.
Per 1 januari 2016 krijgt het CBP een nieuwe naam: Autoriteit Persoonsgegevens. Wij blijven in dit arrìkel spreken over het CBP omdat wij verwijzen
naar stukken die uit naam van het CBP zijn gepubliceerd.
Bijvoorbeeld van Randstad en Adecco (5 augustus 2015), en CV-OK (15 januari 2014).
Zie CBP, Screeninggids voor werkgevers en voor werknemers van 28 januari
2014.
Afl.2 - februari 2016
ArbeidsRecht 2016/8
Artikelen
NIEUWSGIERIGE
verwerkt, staat niet zonder meer vast." Ten aanzien van werknemers lijkt het CBP daar in elk geval niet vanuit te gaan."
lijke voor de verwerking van de gegevens van de anderen, en
andersom. Schematisch ziet dit er als volgt uit:
Dataminimalisatie
Uit oogpunt van dataminimalisatie dient de periode waarop
de screening ziet zo beperkt mogelijk te blijven. Het CBP
houdt aan dat het zelden noodzakelijk is gegevens van meer
dan 20 jaar geleden te verwerken.
Bij het benaderen van de referent en het verstrekken van
diens gegevens zullen zowel van de referent als de contactl~ersoon bij de werkgever persoonsgegevens worden
verwerkt (fasen 1 en 2). Voor deze verwerkingshandelingen
kwalificeert de sollicitant als de verantwoordelijke in de zin
van de Wbp. Wanneer de sollicitant de referent vraagt of
deze het goed vindt dat diens gegevens aan de contactpersoon van zijn mogelijk nieuwe werkgever worden doorgegeven, zal dit waarschijnlijk buiten het bereik van de Wbp
blijven, omdat deze gegevensverwerking onder de uitzondering van persoonlijk gebruik kan vallen. Zo niet, dan vindt
dat plaats met de toestemming van de referent.
Informatieplicht en andere privacyverplichtingen
De werkgever moet de sollicitant vooraf informeren over
de screening. Dit kan bijvoorbeeld in de vacaturetekst. De
resultaten moeten vervolgens worden teruggekoppeld aan
de kandidaat. Ook overigens zal de werkgever aan alle privacyeisen moeten voldoen, zoals naar huidig recht nog de
plicht de gegevensverwerking te melden, tenzij de vrijstelling voor het verwerken van sollicitantengegevens van toepassing is.
Wanneer de werkgever daarop bij de referent informatie
over de sollicitant opvraagt, zal dit eveneens toegestaan
zijn, omdat de referent voor het verwerken van zijn gegevens zijn toestemming aan de sollicitant had gegeven (fase
3). De sollicitant heeft feitelijk de werkgever vertegenwoordigd door mede namens hem de toestemming te regelen
voor het verwerken van de referentiegegevens. Maar de
toestemming zal waarschijnlijk geen geldige basis bieden
voor verwerking van de gegevens over de sollicitant door
de werkgever (eveneens fase 3). Wel zal dit gelden voor het
verwerken van de sollicitantengegevens door de referent,
wanneer men die ook als verantwoordelijke kan kwalificeren (fase 4). Wat de werkgever daarentegen betreft, is
hier sprake van de situatie dat de sollicitant zichjegens zijn
toekomstige werkgever in een afhankelijke positie bevindt
Een voorbeeld: checken van iemands referenties
Het is niet ongebruikelijk dat sollicitanten uit zichzelf of op
verzoek van hun toekomstige nieuwe werkgever referenties
opgeven. Privacytechnisch gezien zijn in dat geval bij de gegevensverwerking drie partijen betrokken: de sollicitant,
de referent en de potentiële werkgever. Ook worden van
alle drie deze partijen persoonsgegevens verwerkt. Hoewel
daar in de praktijk niet altijd een privacytoets aan te pas zal
komen, betekent dat niet dat op deze "driehoeksrelatie" de
privacyregels niet van toepassing zijn. Bijzonder is dat bij
het checken van iemands referenties de ene partij nu eens
als betrokkene optreedt en dan weer als de verantwoorde-
o
WERKGEVERS: LET OP BIJ HET VERWERKEN VAN GEGEVENS
actie
verantwoordelijke
Betrokkenen
fasel
sollicitant vraagt toestemming aan referent voor het
verstrekken van diens gegevens aan de potentiële
werkgever
sollicitant
- referent
- contactpersoon potentiële
werkgever
fase 2
sollicitant verstrekt gegevens referent aan potentiële
werkgever
sollicitant
- referent
- contactpersoon potentiële
werkgever
fase 3
potentiële werkgever vraagt informatie op bij referent
potentiële werkgever
- sollicitant
- referent
fase4
referent geeft eigen invulling aan verstrekken informatie
referent
- sollicitant,
- contactpersoon potentiële
werkgever
fase 5
potentiële werkgever koppelt terug aan sollicitant
potentiële werkgever
- sollicitant,
- referent
'l O
De MvT biedt geen duidelijkheid:
niet zonder meer psychologische
(fase 3). De sollicitant is immers erop gebrand de baan te
krijgen, en zal daar veel voor over hebben. In plaats van toestemming lijkt het gerechtvaardigd belang van de werkge-
'l .. ]
gezondheidsgegevens
[omvatten]
gegevens. Weliswaar zullen psychologi-
sche gegevens vaak tevens iemands lichamelijke
of geestelijke gezondheid
raken, doch dit behoeft niet altijd het geval re zijn." Zie Kamerstukken /I
1997{98, 25892, nr. 3 p. 102 (MvT).
11
In een onderzoek naar de vetwerking van persoonsgegevens in het kader
van psychologische
tests bij werknemers,
toetste het CBP niet aan het regime voor bijzondere persoonsgegevens. CBP, Onderzoek naar de verwerking van persoonsgegevens door Bureau Jeugdzorg Noord-Brabant
in het
kader van het (verwijderd) Assessment, rapport definitieve bevindingen,
augustus 2012.
ArbeidsRecht 2016/8
':.
Afl. 2 - februari 2016
13
NIEUWSGIERIGE
WERKGEVERS:
LET OP BIJ HET VERWERKEN
ver daarom een passendere grondslag." Los daarvan, zal de
werkgever de sollicitant een terugkoppeling dienen te verstrekken over de inlichtingen die hij van de referent over
de sollicitant heeft verkregen. Dat vloeit enerzijds voort uit
de in de Wbp opgenomen informatieplicht, en anderzijds
zou men kunnen beargumenteren dat dit ook kan worden
afgeleid uit de algemene eisen van goed (toekomstig) werkgeverschap (fase 5).13 Daarmee is de cirkel rond en is, indien
de sollicitant wordt aangenomen, sprake van een, vanuit de
Wbp bezien, geslaagde driehoeksrelatie.
2.
Monitoring van werknemers
Monitoren van werknemers kan plaatsvinden ten behoeve
van efficiency of voor beveiligingsdoeleinden. Daarvoor
zal het gerechtvaardigd belang van de werkgever meestal
de geëigende grondslag vormen." Beoordeeld moet worden of de toepasselijke doeleinden ook op andere, voor de
werknemer minder belastende, wijze kunnen worden nagestreefd." Tevens geldt dat het aantal medewerkers dat toegang heeft tot de gegevens zo beperkt mogelijk moet zijn.
Ook het voldoen aan de informatieplicht is van groot belang.
Heimelijke monitoring
Soms bestaan valide redenen om werknemers juist niet
te informeren over de monitoring die plaatsvindt. Hoewel
werknemers wel in algemene zin geïnformeerd moeten
worden over het feit dat heimelijke monitoring kan plaatsvinden en de omstandigheden waaronder, bijvoorbeeld bij
herhaalde diefstal, ondergraaft meer specifieke informatieverschaffing in die gevallen het doel van de monitoring. De
betrokken personeelsleden hoeven daarom alleen achteraf
meer specifiek geïnformeerd te worden." Voor toepassing
van heimelijke monitoring gelden verzwaarde vereisten.
De werkgever dient een redelijke verdenking te hebben
dat een medewerker iets doet wat strafbaar of verboden is.
Daarnaast dient hij bij het CBP een voorafgaand onderzoek
aan te vragen." Permanent heimelijk toezicht is nooit toegestaan." Maar ook wanneer de monitoring van beperkte
duur is, zal niet snel aan het vereiste van proportionaliteit
en subsidiariteit zijn voldaan. Zo kunnen voor controle of
12
Dit is in lijn met de visie van de CBP (https:/Iwww.cbpweb.nl/nl/onderwerpen/werk-uitkering/screening),
maar staat haaks op randnummer
van de NVP Sollicitatiecode,
waarin staat dat de potentiële
5.1
werkgever de
sollicitant toestemming moet vragen voor het inwinnen van inlichtingen
bij derden. Zie in dit verband ook E.P.M. Thole/A. Engelfriet.
vacy, social media en de werkplek, ArbeidsRecht 2012/34,
Artikelen
VAN GEGEVENS
Q&A over priwaarin wordt
wordt gerookt op plekken waar dat niet mag ook rookmelders worden gebruikt."
Monitoring: telefoongebruik
Het controleren van telefoongebruik is tot op zekere hoogte
toegestaan." Onder omstandigheden mag ook met telefoongesprekken worden meegeluisterd of mogen deze zelfs
worden opgenomen. Voorbeelden hiervan zijn de verbetering van de telefonische dienstverlening van werknemers in
een callcenter, het bewijzen van een vermoeden van fraude
en het controleren of een klacht van een klant terecht is, aldus het CBP. Ook doorlopende controle kan zijn toegestaan
als dat noodzakelijk is. Het CBP noemt hier vastlegging van
telefonische beursorders om te bewijzen wat afgesproken is.
In principe moet de werkgever de werknemer per gesprek
attenderen op de opname. Dat kan door een geluidssignaal
bij aanvang van het gesprele Ook kan de informatie vooraf
op papier of digitaal worden verschaft." De persoonsgegevens mogen ten slotte niet langer dan noodzakelijk worden
bewaard, bij voorkeur maximaal 6 maanden."
Monitoring: cameratoezicht
Bij de bepaling of het gerechtvaardigd belang als verwerkingsgrandslag bij cameratoezicht in aanmerking komt,
is onder meer van belang of de beelden bijzondere persoonsgegevens zijn. Op Europees niveau bestaat hierover
geen eenduidigheid." In Nederland heeft de Hoge Raad
geoordeeld dat rasgegevens indirect kunnen worden afgeleid uit een foto van een persoon." In zijn concept Richtsnoeren Cameratoezicht van 5 juni 2015 kwalificeert het
CBP de beelden onder omstandigheden niet als bijzondere
persoonsgegevens." Mocht het regime voor bijzondere persoonsgegevens toch van toepassing blijken, dan geldt voor
cameramonitoring dat rekening gehouden moet worden
met het algemene verwerkingsverbod op voor rasgegevens.
De werkgever moet dan bijvoorbeeld kunnen hardmaken
dat de monitoring plaatsvindt ter identificatie van de werknemer en slechts voor zover dit daarvoor onvermijdelijk is."
In zijn concept Richtsnoeren Cameratoezicht noemt het CBP
een privacy impact assessment (PIA) als optie om compliance met de privacyregelgeving te helpen waarborgen. Als
de werkgever overgaat tot cameratoezicht is in elk geval van
belang dat hij aan de werknemers kan uitleggen hoe hun
19
Zie Artikel29-Werkgroep
nagegaan of de toestemming dan wel het gerechtvaardigd belang van de
werkgever de meest aangewezen grondslag is voor het verrichten van een
20
Zie CBP website, het subonderwerp
internet search naar een sollicitant. Naar de huidige maatstaven zou men
kunnen stellen dat het rneer en meer voor de hand ligt het googelen van
21
onderwerp 'werk en uitkering', raadpleegbaar via www.cbpweb.nl.
Het belang van de informatieplicht volgt ook uit de zaak Halford v. het Ver-
22
enigd Koninkrijk (EHRM 25 juni 1997, 20605/92).
Zie CBP website, het subonderwerp
'controle van personeel'
13
een sollicitant te rechtvaardigen op basis van een gerechtvaardigd
belang.
Volgens de NVP Sollicitatiecode hoeft de werkgever alleen de "relevante"
23
14
informarle terug te koppelen. Over wat daaronder verstaan moet worden,
zal van geval tot gevalmoeten worden beoordeeld.
Zie Artikel 29-Werkgroep (WP48), p. 25.
Zie het CBP rapport met definitieve bevindingen inzake het Onderzoek
naar het gebruik van (heimelijke)
camera's door Media Markt-Saturn Holding Nederland B.V. (21 november 2013), p. 15-16 en 22.
Zie www.cbpweb.nl onder 'controle van personeel'.
24
25
final, p. 29; en Artikel29-Werkgroep
(WP192), p.S.
HR 23 maart 2010, NjB 2010, 815.
Zie de conceptversie van 5 juni 2015, p. 20-21. Het CBP heeft dit uitgangs-
26
punt eerder toegepast in een recent onderzoek: zie Onderzoek naar de
verstrekking van persoonsgegevens aan derden door NE DistriService B.V.,
Openbare versie Rapport definitieve bevindingen, Den Haag: CBP 2014, p. 9.
Zie artikel18 sub a Wbp.
15
16
17
18
14
Zie Kamerstukken II 1997/98, 25892, nr. 3 p. 146 (MvT).
Zie wat betreft verborgen cameratoezicht: Do's & Don'ts cameratoezicht
de werkvloer, Den Haag: CBP 2014, p. 2.
(WP217), p. 78.
'controle van personeel'
onderwerp 'werk en uitkering', raadpleegbaar
kel 34 van het Vrijstellingsbesluit Wbp.
op
onder hoofd-
onder hoofd-
via www.cbpweb.nl
en arti-
Zie Artikel 29-Werkgroep (WP163), p. 9; European Commission, Commission Staff Working Paper Impact Assessment, Brussels 2012, SEC(2012) 72
Afl. 2 - februari 2016
ArbeidsRecht 2016/8
1
Artikelen
NIEUWSGIERIGE
WERKGEVERS:
LET OP BIJ HET VERWERKEN
VAN GEGEVENS
Voor zover de beelden worden opgeslagen, mag dit niet Ianger dan noodzakelijk is ter verwezenlijking van het doel en
bij voorkeur maximaal4 maanden."
privacybelang is afgewogen tegen het bedrijfsbelang van
de werkgever." Uit opinies van de Artikel 29-Werkgroep
- het onafhankelijke advies- en overlegorgaan van de Europese Commissie voor privacy-aangelegenheden - volgt
dat als de verwerking op het gerechtvaardigd belang wordt
gestoeld, werknemers sowieso dienen te worden geïnformeerd over waarom werkgever van mening is dat de belangenafweging in zijn voordeel uitpakt." Daarnaast noemt
de Artikel 29-Werkgroep voorbeelden van aanvullende informatieplichten, zoals: in welke gevallen de beelden door
de bedrijfsleiding worden onderzocht, de duur van de opnamen en de gevallen waarin de opnamen aan de rechtshandhavingsautoriteiten ter beschikking worden gesteld. In
de concept Richtsnoeren Cameratoezicht staat dat ook het
gebied waarin cameratoezicht plaatsvindt moet worden gecommuniceerd. Het is echter niet nodig te informeren over
waar de camera's exact geïnstalleerd zijn of om zichtbaar te
maken of de camera's zijn aan- of uitgeschakeld.
Monitoring: email en internet
De werkgever moet zijn werknemers ook informeren over
zijn émail- en internetbeleid. Hij informeert in elk geval
over in hoeverre persoonlijke communicatie is toegestaan
en welke beperkingen daarop gelden, zoals het verbod op
bezoek van bepaalde websites. Ook moet de werkgever de
werknemers infameren over de aanwezigheid, het gebruik
en het doel van opsporingsvoorzieningen en/of apparatuur die in verbinding staan met de werkstations van de
werknemers en de toepasselijke handhavingsprocedures."
Als de werkgever een overtreding constateert, moet hij de
werknemer eveneens meteen daarover informeren. Dat kan
bijvoorbeeld door gebruik te maken van automatische notificatiesystemen.
Een zekere controle kan nodig zijn om de digitale omgeving
te beschermen tegen virussen en andere malware. Aangezien de werkgever de beveiliging van de verwerking dient te
waarborgen (mede met het oog op de aanstaande meldplicht
datalekken), kan het automatisch scannen van e-mails en
verkeersgegevens om die reden gerechtvaardigd zijn fa lang
de werkgever daarbij passende maatregelen treft ter waarborging van de privacy van de werknemers. Daarnaast kan
controle van email- en internetgebruik noodzakelijk zijn ter
bevestiging van een vermoeden van ongeoorloofde activiteiten van de werknemer in kwestie. De controle dient in
eerste instantie zoveel mogelijk op de metadata van het gegevensverkeer (bijvoorbeeld tijdstip, soort en hoeveelheid)
te zien en niet op de inhoud. Daarnaast moet het monitoren
van privé-e-mailszoveelmogelijkwordenvermeden.De
verwerking moet worden stopgezet als tijdens de bestudering van de inhoud van de e-mails alsnog blijkt dat het
privéberichten betreft. Wat de bewaartermijn betreft, geeft
de Artikel 29-Werkgroep als richtsnoer een bewaartermijn
van maximaal drie maanden aan."
Live cameramonitoring zal een minder verregaande inbreuk
op de privacy van de werknemer opleveren dan de opname
daarvan." Cameratoezicht ter controle van de kwaliteit en
omvang van de prestaties van de werknemers, mag verder
niet standaard plaatsvinden. Dit kan anders liggen wanneer
het toezicht dient ter naleving van productie- en/of veiligheidsvoorschriften. Een creatieve werkgever zou plaatsing
van de camera's daarop kunnen baseren, om de beelden vervolgens alsnog ook voor het beoordelen van werknemers te
gebruiken. Gezien het doelbindingsprincipe
is dat echter
niet toegestaan."
Veelal is monitoring ook onrechtmatig omdat de werkgever
het doel dat hij nastreeft even goed kan vervullen zonder dat
daar cameratoezicht aan te pas komt. Denk aan (papieren)
dossieropbouw waaruit bijvoorbeeld blijkt dat de werknemer dagelijks te laat op kantoor arriveert. Verder mag het
cameratoezicht niet zien op ruimten die bestemd zijn voor
privégebruik voor de werknemers, of die niet bedoeld zijn
voor de uitvoering van de taken van werknemers."
3.
o
27
28
Do's &don'ts cameratoezicht op de werkvloer, Den Haag: CBP 2014, p. 2.
Zie Artikel 29-Werkgroep
(WP217), p.65 en 67, en (WP 89), p.27-28.
Bring Your Own Device (BYOD)
Steeds meer werkgevers hanteren een BYOD regeling, hetgeen privacytechnische eonsequenties heeft, zeker indien
daarop wordt gemonitord.
In
Grondslagen
relatie tot werknemers is het alleen via een symbool of sticker informeren
onvoldoende, zie de conceptversie van 5 juni 2015, p. 23.
29
Overigens
signaleert
Zwenne
dat het CBP in zijn concept
Het verwerken van naam, telefoonnummer, MAC-adres,
telefoontype, type abonnement, en gerelateerde administratienummers in het kader van de BYOD-regeling kunnen
over het algemeen worden gebaseerd op uitvoering van de
arbeidsovereenkomst. Als de arbeidsovereenkomst een kostenregeling bevat, kan dit eveneens de grondslag vormen
Richtsnoeren
Cameratoezicht (5 juni 2015) stelt dat het monitoren zonder vastlegging van de beelden geen gegevensverwerking
in de zin van de Wbp
vormt(zwennebIog.webIog.Ieidenuniv.nI).
uitkijken van camerabeelden genoemd
Als voorbeeld wordt het live
(p. 14). Het is de vraag of dit juist
is. Dat zou bijvoorbeeld anders zijn indien de monitoring zonder vastlegging plaatsvindt
zonder enige menselijk tussenkomst of de mogelijkheid
30
daartoe. Zie de MvT (Kamerstukken II 1997/98, 25892, nr. 3 p. 51-52),
Dit wordt ook als voorbeeld van onverenigbaar
gebruik genoemd in de
concept Richtsnoeren Cameratoezicht
(conceptversie
van 5 juni 2015),
31
p.18.
Zie Artikel 29-Werkgroep (WP89), p.27. Het CBP stelt in dit kader overigens alleen dat cameratoezicht
op het toilet niet is toegestaan. Do's &
don'ts cameratoezicht op de werkvloer, Den Haag: CBP 2014, p. 1-2.
ArbeidsRecht
2016/8
32
33
':' 34
''t.
In de concept Richtsnoeren Cameratoezicht refereert het CBP aan de termijn van 4 maanden van artikel 38 lid 6 van het Vrijstellingsbesluit
Wbp
(conceptversie
van 5 juni 2015, p. 19).
Artikel 29-Werkgroep (WP55).
Artikel 29-Werkgroep (WP55),
p.20. Dit is beduidend
maanden van artikel 32 lid 6 Vrijstellingsbesluit
AfI.2 - februari 2016
korter dan de 6
Wbp.
15
NIEUWSGIERIGE
WERKGEVERS:
LET OP BIJ HET VERWERKEN
VAN GEGEVENS
voor verwerking van het dataverbruik. Voor zover verwerkingshandelingen niet onder deze grondslag vallen, kan het
gerechtvaardigd belang uitkomst bieden.
Beveiligingseisen
Omdat het device in eigendom
en beheer van de werkne-
mer is, kan de werkgever minder invloed uitoefenen op het
gebruik daarvan. Dit brengt extra beveiligingsrisico's
mee.
Het is zelfs de vraag of een BYOD-regeling überhaupt in
overeenstemming met de Beveiligingsrichtsnoeren van het
CBP kan worden vormgegeven, omdat de richtsnoeren impliciet uitgaan van een vetwerking waarop de verantwoordelijke vat heeft." Duidelijk is in elk geval dat in de regel
striktere beveiligingseisen voor BYOD-devices gelden. Het
CBP noemt BYOD als voorbeeld van een grote verandering
Artíkelen
zeker ook met het oog de aanstaande wijzigingen van de
Wbp en de verwachte komst van de AVGB. Werkgevers
moeten steeds checken welke privacyeisen per situatie
van toepassing zijn. Denk aan de toepasselijke grondslag
en het in acht nemen van passende beveiligingsmaatregelen. Ook kan vanuit het medezeggenschapsrechtelijk
kader
het instemmingsrecht van de OR of het adviesrecht van de
personeelsvergadering een rol spelen. Hoe dan ook zullen
werkgevers steeds goed in beeld moeten brengen welke
persoonsgegevens zij waarvoor verwerken, en de afweging
moeten maken of dat ook anders kan. Doen zij dat niet, dan
kunnen zij daarop worden aangesproken, niet alleen door
de betrokkenen, maar ook door het CBP. Doen zij dat wel,
dan kunnen zij zich daarop juist laten voorstaan.
in de organisatie of informatiesystemen, op grond waarvan
de werkgever als de verantwoordelijke moet beoordelen
of het bestaande pakket aan beveiligingsmaatregelen nog
steeds voldoet aan het vereiste beveiligìngsniveau."
Introductie van een BYOD-regeling kan daarom implementatie
van zwaardere beveiligingsmaatregelen noodzakelijk maken, hetgeen ook relevant is met het oog op de meldplicht
datalekken. 37
Een voorbeeld van een op de BYOD-regeling toegespitste
beveiligingsmaatregel is een beveiligingsapp. Vanuit privacyrechtelijk perspectief kan soms van werknemers worden
verlangd zo een app te installeren waardoor op beveiligde
wijze toegang wordt verkregen tot de digitale werkomgeving.
Bewerkersovereenkomst
Indien een beveiligingsapp onderdeel uitmaakt van de
BYOD-regeling, kan de beheerder van app kwalificeren als
bewerker omdat de beheerder vaak ook toegang heeft tot
bepaalde persoonsgegevens van de werknemers. In dat geval is een bewerkersovereenkomst vereist." Gezien de verregaande impact die dergelijke apps op de privacy van de
werknemer kunnen hebben door bijvoorbeeld "remote wiping" mogelijk re maken waarbij alle data op het device vanaf
afstand door de werkgever kunnen worden gewist, is het
sluiten van een bewerkersovereenkomst privacy technisch
gezien des te relevanter. Daarin moeten afspraken over de
beveiliging van de persoonsgegevens worden gemaakt.
4.
I
Altijd checken
Duidelijk is dat werkgevers rekening moeten houden met
het recht op privacy van hun sollicitanten en werknemers,
36
Zie ook J. Terstegge. Noot bij de Richtsnoeren
Beveiliging
vens, Privacy & Compliance 2013, nr. 2, p. 32-33.
Zie de CBP richtsnoeren Beveiliging van Persoonsgegevens,
37
ook brief van]. de Zeeuw van het NFGF aan het CBP, d.d.Sdecember
2012.
Ook de Artikel 29-Werkgroep gaat uit van verhoogde beveiligingsrisico's
35
Persoonsgege2013, p. 28. Zie
bij BYOD-regelingen.
Zie de bijlage bij de brief van de Artikel 29-Werkgroep van 7 juli 2015, gericht aan M.T. Fabregas-Fernandez
(Head of Unit
Securities Markets DG FISMA), p. 5, over artikel16.7 van Richtlijn 2014/65/
EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende
markten voor financiële instrumenten en tot wijziging van Richtlijn
38
16
2002/92/EG en Richtlijn 2011/61/EU
Zie de CBP richtsnoeren
Beveiliging
(MiFlD Il).
van Persoonsgegevens,
2013, p. 28.
Afl. 2 - februari 2016
ArbeidsRecht 2016/8
Download
Random flashcards
Rekenen

3 Cards Patricia van Oirschot

Create flashcards