De Europese privacywet AVG is ingevoerd, maar hoe staat het met de privacy?

Erik van Triest CursOR

Door Erik van Triest

In mei 2018 werd nieuwe Europese privacywetgeving ingevoerd: de AVG. AVG staat voor Algemene verordening gegevensbescherming. Veel organisaties worstelen er nog flink mee.

De wet draait om de registratie van persoonsgegevens, dus om iedere tot personen herleidbare, min of meer systematische opslag van gegevens. Van een loonadministratie tot een schoenendoos met telefoonnotities.

Een HR-manager vertelde me dat zijn bedrijf alleen al meer dan 50 registraties van persoonsgegevens had om de productie te plannen en uit te voeren: wie zit waar in het rooster, wie zit waar op de locatie, op welk moment, wie vervoert wat, wie gebruikt welk voertuig, wie heeft welke voorlichtingsbijeenkomst gehad over de werkprocedure, wie heeft welk diploma, wie is wel en wie niet opgeleid om gevaarlijke taken te verrichten of om bepaalde machines te bedienen, wie heeft getekend voor een werkbon, wie is als BHV’er op welke momenten aanwezig, wie mag van de dokter geen nachtdiensten draaien? Dat zijn er pas 11.

Tip:  Vraag je bestuurder om de complete lijst met persoonsregistraties (daar heb je als OR recht op), want dan krijg je een beeld van alles wat geregistreerd en bewaard wordt. Zit de lijst met deelnemers aan het personeelsuitje in 2002 er ook nog bij?

Voldoen aan wat in de wet staat is belangrijk. Maar de belangrijkste vraag is natuurlijk:

Hoe staat het met de feitelijk privacy van werknemers in jouw organisatie?

We lezen de extreme incidenten in de krant:

  • camera’s ophangen in de WC;
  • gegevens van een assessmentbureau die één op één worden doorgespeeld aan de werkgever, inclusief gegevens over ras en godsdienst;
  • een medewerkster van wie het contract niet wordt verlengd omdat het gerucht gaat dat ze is gestopt met de pil…

Zulke dingen gebeuren bij jullie natuurlijk niet!

Maar er zijn wel een paar onderwerpen, die in iedere organisatie spelen, en waar grote privacy-risico’s op de loer liggen. Dat zijn:

– verzuimbeleid en de omgang met zieken

– camera’s

– volgsystemen

als iets geregistreerd kan worden, zal het ook geregistreerd worden, en als gegevens gebruikt kunnen worden, zullen ze ook gebruikt worden! Ook al was dat niet afgesproken.

Privacy-risico’s bij verzuimbeleid en omgang met zieken

Laten we beginnen bij verzuimbeleid. De autoriteit persoonsgegevens heeft hier al voordat de nieuwe privacywetgeving van toepassing was, de noodklok over geluid en nieuwe regels gesteld. De basisgedachte is, dat in de relatie werkgever – werknemer de werknemer de kwetsbare partij is. Dat betekent dat er heel zorgvuldig met gegevens over de gezondheid van de werknemer moet worden omgegaan.

Zorgvuldig omgaan met gegevens over de gezondheid houdt in  dat de werkgever niets hoeft te weten, en dus ook niets mag vragen, over de aard van de ziekte en de mate van arbeidsgeschiktheid van de werknemer.

Het laatste, niets vragen over de mate van arbeidsgeschiktheid,  wordt stelselmatig overtreden. Leidinggevenden worden namelijk vaak getraind in het voeren van verzuimgesprekken. Eén van de vragen die ze dan moeten stellen is: ‘Wat denk je nog wel te kunnen doen?’ .

De Autoriteit Persoonsgegevens vindt dat dit een vraag is waarmee de werkgever inhoudelijk vraagt naar de aard van de ziekte, en dat mag niet. Tenzij de bedrijfsarts al heeft beoordeeld wat de zieke eventueel wel zou kunnen doen.

Let wel: niet de casemanager, niet de verzuimconsulent, maar uitsluitend de bedrijfsarts beoordeelt dus.

Tip: check het verzuimprotocol of verzuimreglement. Kijk bij de instructie aan leidinggevenden voor het ziekmeldingsgesprek en stel vast of er gevraagd wordt wat de zieke nog wel kan doen. Als het niet op papier staat, vraag dan waar ze in getraind zijn.

Je kunt het natuurlijk best treurig vinden dat het zo moet. Anderzijds: ook jij kent vast wel voorbeelden van leidinggevenden die direct bij de ziekmelding op de stoel van de arts gaan zitten: ‘Joh, met een schouder uit de kom kun je nog prima met één hand typen…’. Dat is helaas een uitvloeisel van wijdverbreid modern HR-beleid.

Privacy-risico’s camera’s

Dan de camera’s. Camera’s worden steeds goedkoper, kleiner, beter. Waar vroeger mensen toezicht hielden op het productieproces en op elkaar, kunnen camera’s dat nu doen. Op de parkeerplaats, in het fietsenhok, in de kleedruimtes, in de gangen, in de productiewerkplekken, op de desktops, in de vervoermiddelen.

Argumenten voor het gebruiken van camera’s zijn:

  • het bewaken van veiligheid,
  • diefstalpreventie,
  • werking van het productieproces,
  • kunnen vaststellen van de schuldvraag bij ongevallen,
  • enzovoorts, enzovoorts.

De AVG stelt twee belangrijke eisen.

  1. Mensen mogen niet heimelijk gevolgd worden.
  2. Elke camera geldt als een aparte registratie. Dat betekent dat voor elke geplaatste camera moet worden vastgesteld
  • wat het doel van de registratie is,
  • wat de privacy-effecten zijn,
  • welke personen worden opgenomen,
  • wie toegang heeft tot de data,
  • wat de bewaartermijn is.

Tip: vraag een lijst van alle camera’s.

Tip: beoordeel of de doelstellingen van die camera-registraties nauwkeurig genoeg zijn geformuleerd. Zo niet, start de discussie!

Privacy-risico’s volgsystemen

Een gebied waar de mogelijkheden de laatste jaren enorm zijn toegenomen zijn de volgsystemen: de ‘druppels’ of badges, de voertuigtrackers, maar ook de trackers die je kunt activeren of plaatsen in smartphones en smartwatches. Werkgevers kunnen meten hoe hard jij loopt, of rijdt, hoe vaak je naar de WC gaat, hoeveel kroketten je eet in het bedrijfsrestaurant, hoe vaak je gebruik maakt van de sportfaciliteiten.

Allemaal gegevens die niet zomaar mogen worden opgeslagen of gebruikt. Toestemming van de OR is nodig.

Maar we weten ook: als iets geregistreerd kan worden, zal het ook geregistreerd worden, en als gegevens gebruikt kunnen worden, zullen ze ook gebruikt worden! Ook al was dat niet afgesproken.

Tip: Vraag als OR een lijst van volgsystemen die in jouw organisatie gebruikt worden.

Als je wilt beoordelen of de grenzen van de privacy overschreden worden, kom je in een grijs gebied. Je mag wat mij betreft eerst je intuïtie volgen over de mate waarin een registratie of een volgsysteem ‘eng’ is. Vervolgens kun je in de discussie stelling nemen op de volgende punten (die ook in de AVG als beoordelingscriterium worden genoemd):

– is het doel van de registratie nauwkeurig en beperkt genoeg omschreven?

– kan het doel ook met minder ingrijpende middelen bereikt worden?

– is iedereen op de hoogte van wat en hoe er geregistreerd wordt?

Bedankt voor je leestijd (die heb ik gemeten), en druk ook even op de like-knop, anders kom je op mijn zwarte lijst!