CBP publiceert do’s & don’ts bij gebruik persoonsgegevens werknemers

Bedrijven gaan niet altijd zorgvuldig om met de persoonsgegevens van hun werknemers. Het College bescherming persoonsgegevens (CBP) concludeert dit na een reeks onderzoeken bij verschillende organisaties. Naar aanleiding van de onderzoeksbevindingen publiceert het CBP vandaag, op de internationale Dag van de Privacy, ‘do’s & don’ts’ voor bedrijven en hun werknemers. “In deze tijden van hoge werkloosheid zijn werknemers nog meer dan anders afhankelijk van hun werkgever. De werkplaats is echter geen vrijplaats, het grondrecht op de bescherming van persoonsgegevens geldt ook op de werkvloer”, aldus Jacob Kohnstamm, voorzitter van het CBP. Alle vier onderzochte bedrijven hebben na het optreden van het CBP hun werkwijze aangepast en de overtredingen beëindigd.

Het CBP ontving in 2013 900 signalen die te maken hebben met de verwerking van persoonsgegevens in de arbeidsrelatie. Het toenemend aantal signalen was eerder al reden voor het CBP om dit onderwerp hoog op de agenda te zetten en een aantal onderzoeken te starten. De onderzochte bedrijven gingen op diverse punten in de fout. Een aantal organisaties verwerkte in strijd met de wet medische gegevens van werknemers. Een ander bedrijf maakte gebruik van of beveiligingscamera’s om het personeel te controleren terwijl dat in die situaties niet was toegestaan. Tot slot bleek een werkgever zijn medewerkers te verplichten deel te nemen aan social media.

Medische gegevens
Het CBP constateerde bij een bedrijf dat het zijn medewerkers opriep om medicijndoosjes af te geven om zo te controleren of sprake is van medicijngebruik dat de rijvaardigheid beïnvloedt. Alleen de bedrijfsarts mag vragen naar medicijngebruik. Een ander bedrijf vroeg de medewerkers bij de ziekmelding om welke ziekte het ging en de oorzaak daarvan. Werkgevers mogen echter geen medische gegevens van hun personeel verwerken. Medische gegevens zijn per definitie privacygevoelig en voor het verwerken daarvan gelden extra wettelijke eisen. Een werkgever mag alleen vragen naar de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is om te bezien welke mogelijkheden er voor het doen van (andere) werkzaamheden zijn.

Cameratoezicht
In een ander onderzocht geval werden werknemers aangesproken naar aanleiding van beelden van beveiligingscamera’s. Dit is in strijd met de wet. Als een werkgever camera’s inzet voor de beveiliging van werknemers en/of bezittingen, dan mag hij de beelden hiervan niet gebruiken om medewerkers aan te spreken of te beoordelen op hun functioneren. De beelden mogen in principe alleen worden gebruikt voor het doel waarvoor ze zijn gemaakt.

Screening, internet en social media
Een werkgever beoordeelde medewerkers op het feit of zij al dan niet een (bijgewerkt) LinkedIn profiel hadden. Het bedrijf had hiervoor echter geen legitieme reden en handelde daardoor in strijd met de wet. Een werkgever kan een werknemer niet verplichten hun persoonsgegevens op een sociale netwerksite te plaatsen.

Dag van de Privacy
De jaarlijkse Dag van de Privacy is in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag (28 januari) is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Inmiddels is het ook de Dag van de Privacy in een aantal niet-Europese landen waaronder Canada en de Verenigde Staten.