2 november 2017

AVG: het verwerken van data op de werkvloer

Slotje op computerscherm

Onder de nieuwe privacywet moeten alle webshops vanaf 25 mei 2018 aan striktere regels op het gebied van informatiebeveiliging en de bescherming van persoonsgegevens voldoen. Als webshop verwerk je naast de persoonsgegevens van klanten en bezoekers ook vaak gegevens van je werknemers. Ook op dat gebied moet rekening worden gehouden met de nieuwe vereisten van de Algemene verordening gegevensbescherming (AVG).

De Artikel 29-werkgroep (WG29), een samenwerkingsverband van Europese toezichthouders, heeft een opinie geschreven waarin de AVG wordt uitgelegd in het kader van de verwerking van persoonsgegevens op de werkvloer. Op basis hiervan beantwoorden we hieronder de vraag wat als werkgever is toegestaan met betrekking tot het monitoren van je personeel, het lezen van e-mails en het gebruik van andere controlemiddelen. Snelle technologische innovatie op de werkplek, in bijvoorbeeld de ict-infrastructuur, applicaties en slimme apparaten, maakt het systematisch en potentieel in verregaande mate monitoren van je werknemers namelijk steeds gemakkelijker.

Welke regels gelden voor het verwerken van persoonsgegevens van werknemers?

Officieel spreken we over werknemers als je mensen tegen loon gedurende een zekere tijd arbeid voor je laat verrichten. Van hen verwerk je ook altijd persoonsgegevens, zoals naam, adres en woonplaats, maar ook rekening- en salarisinformatie. Daarnaast kan je denken aan het monitoren van telefooncentrales, toegangspoorten (al dan geen cameratoezicht) en computersystemen.

Dergelijke controles door werkgevers zijn niet altijd verboden, maar voor een rechtmatige verwerking gegevens van je werknemers is wel een wettelijke grondslag nodig. De wettelijke gronden waarop je de persoonsgegevens van je werknemer mag verwerken, zijn als het noodzakelijk is:

  • voor de uitvoering van de arbeidsovereenkomst (bijvoorbeeld het uitbetalen van salaris);
  • om te voldoen aan een wettelijke verplichting die op je organisatie rust (bijvoorbeeld de salarisadministratie bewaren);
  • om de vitale belangen van je werknemers of anderen te beschermen;
  • voor de vervulling van een taak van algemeen belang (of van een taak in het kader van de uitoefening van openbaar gezag dat aan de onderneming is opgedragen);
  • voor de gerechtvaardigde belangen van je organisatie (of van een derde), behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van uw werknemer of klant, zwaarder wegen.

Onder de AVG is toestemming van de betrokkenen altijd een van de belangrijkste grondslagen. In het geval van controles door werkgevers is toestemming door een werknemer geen juiste grondslag voor het verwerken van persoonsgegevens. Gezien de afhankelijke situatie die een werknemer ten opzichte van een werkgever heeft (voornamelijk financieel), kun je stellen dat een verklaring van zijn zijde niet geheel als vrijelijk gegeven, ondubbelzinnige toestemming kan worden gezien. Dit is echter wel een eis die de AVG aan toestemming stelt.

Wanneer mag je werknemers controleren?

Als je als webwinkelier een legitieme reden hebt (een ‘gerechtvaardigd belang’), mag je wel persoonsgegevens van je werknemers verwerken. Dit belang moet dan zwaarder wegen dan het privacybelang van werknemers. In dat geval gelden er overigens nog steeds een aantal eisen. Als het belang van je organisatie bijvoorbeeld ook op een andere, minder ingrijpende wijze kan worden behartigd, kan de verwerking van persoonsgegevens alsnog onrechtmatig zijn. Het is daarom belangrijk om te kijken naar de gevoeligheid van de gegevens en in hoeverre de organisatie rekening heeft gehouden met de privacy van de werknemers. Hiernaast gelden nog de volgende eisen:

  • Je moet je werknemers informeren over wat toegestaan en wat verboden is, dat hierop wordt gecontroleerd en op welke manier dit gebeurt. Dit kun je bijvoorbeeld doen via het opstellen van een protocol.
  • De verwerking moet (als er geen vrijstelling voor is) worden gemeld bij de Autoriteit Persoonsgegevens.
  • Je moet rekening houden met het recht op vertrouwelijke communicatie van je werknemers. Dit is in ieder geval verplicht als je hun telefoon- en/of internetverkeer wilt monitoren.
  • Wanneer je een ondernemingsraad hebt, moet je hier toestemming aan vragen voor het monitoren van werknemers.

Legitieme redenen

Te verduidelijking geven we hieronder een aantal voorbeelden van legitieme redenen:

Bij cameratoezicht

Een gerechtvaardigd belang is het tegengaan van diefstal of het beschermen van werknemers of bezoekers. Een verborgen camera mag alleen als er een verdenking is op het plegen van strafbare feiten door een werknemer. In andere gevallen moet de werknemer worden geïnformeerd over het cameratoezicht (zie bovenstaande eisen).

Bij controle van e-mail- en internetverkeer

Een gerechtvaardigd belang is hier het beveiligen van informatiesystemen, het beschermen van bedrijfsgeheimen, het verminderen van kosten en het minimaliseren van tijdsverlies bij je werknemers. Er mag gerichte controle plaatsvinden bij een vermoeden van misbruik door de werknemer. Werkgevers mogen alleen steekproefsgewijs monitoren of werknemers verboden handelingen uitvoeren ten opzichte van het gebruik van e-mail, internet of social media. Daarbij kan bijvoorbeeld worden gekeken of er pornosites worden bezocht of dat er muziek- of filmbestanden worden gedownload via het bedrijfsnetwerk. Privégebruik van e-mail en internet kun je niet helemaal verbieden; je werknemers hebben het recht op een bepaalde mate van privacy op de werkvloer.

Bij controle van social media

Je mag op social media monitoren wat (oud-)werknemers over je organisatie zeggen, zolang je alleen openbare informatie raadpleegt. Ook mag je werknemers niet verplichten persoonsgegevens op sociale media te zetten.

Bij controle van telefoons

Werknemers mogen hun werktelefoon af en toe privé gebruiken, zolang dit incidenteel gebeurt. Als werkgever mag je wel de kosten hiervan in de gaten te houden. Als deze niet binnen redelijke perken blijven, kan dat een rechtvaardig belang zijn om steekproefsgewijs te controleren. Bij het maken van opnamen kan het verbeteren van de telefonische dienstverlening door werknemers in een callcenter een gerechtvaardigd belang zijn. Daarbij dient dit wel aan de werknemers (en aan degene aan de andere kant van de lijn) te worden medegedeeld. Geheime opnamen mogen alleen worden gemaakt bij de verdenking van strafbare feiten.

Bij gps-tracking

Een gerechtvaardigd belang kan hierbij zijn dat je als webwinkel kunt nagaan welke vervoerder zich het dichtst in de buurt van de klant bevindt. Op deze manier kun je deze dan naar de klant sturen of de meest effectieve routes bepalen.

Bij alle bovenstaande methoden dient u zich overigens altijd te houden aan de eisen van de AVG.

Meer weten?

Vincent Romviel Wil je meer weten over het rechtmatig verwerken van persoonsgegevens op de werkvloer of andere privacygerelateerde onderwerpen, neem dan contact op met Vincent Romviel (), jurist bij Thuiswinkel.org.