Privacy op de werkvloer

Niet alleen websitebezoekers of klanten hebben recht op privacy. Ook werknemers hebben dit recht. Voor werkgevers is het dan ook belangrijk om privacy op de werkvloer goed in te richten. Waar moet je als werkgever dan aan denken?

Meer informatie

Welke persoonsgegevens verwerkt een werkgever?

Een werkgever verwerkt veel persoonsgegevens van werknemers. Denk bijvoorbeeld aan NAW-gegevens, contactgegevens, maar ook salarisgegevens en informatie over verlof en verzuim. Deze gegevens heeft een werkgever nodig in het kader van de arbeidsovereenkomst.

Er zijn ook situaties waarin de werkgever persoonsgegevens verwerkt omdat de werkgever werknemers in de gaten houdt. Denk aan:

  • Camerabeelden van videobewaking op kantoor of in een magazijn
  • Informatie van software die het gebruik van internet- en e-mailverkeer bijhoudt en analyseert
  • Tracking- of locatiegegevens van bedrijfsauto’s of apparatuur
  • Opnames van telefoongesprekken
  • Op afstand beheren van mobiele apparatuur, zoals laptops en telefoons
ICTRECHT Illustratie 2 vrouwen - Oker RGB

In welke gevallen mag een werkgever persoonsgegevens verwerken?

Een werkgever mag persoonsgegevens verwerken van werknemers als daar een wettelijke grondslag voor is. In de Algemene verordening gegevensbescherming (AVG) zijn zes grondslagen opgenomen:

  • Toestemming
  • Uitvoering van de overeenkomst met de betrokkene
  • Voldoen aan een wettelijke plicht
  • Vitale belangen
  • Vervulling van een taak van algemeen belang of in uitoefening van openbaar gezag
  • Gerechtvaardigd belang

In een werkgever-werknemer relatie kan de grondslag toestemming vrijwel nooit gebruikt worden. Dat komt doordat toestemming onder andere vrij moet zijn gegeven, en door de gezagsrelatie tussen een werkgever en werknemer is dat niet mogelijk.

Een werkgever verwerkt diverse persoonsgegevens op basis van uitvoering van de arbeidsovereenkomst, maar dit geldt bijvoorbeeld niet wanneer een werkgever gebruik maakt van camera’s of gps-tracking in bedrijfsauto’s plaatst. In de meeste situaties geldt de grondslag gerechtvaardigd belang. Voor het toepassen van deze grondslag is een zorgvuldige belangenafweging nodig, waarbij de noodzaak en proportionaliteit van de verwerking moeten kunnen worden aangetoond. Wanneer een werkgever hier niet aan voldoet, kunnen boetes en aansprakelijkheid het gevolg zijn.

Lees meerLees minder

Wat is een DPIA?

Persoonsgegevens van werknemers zijn nodig voor de uitvoering van de arbeidsovereenkomst. Dat betekent niet dat elke verwerking zomaar is toegestaan. Wanneer de verwerking waarschijnlijk een hoog risico oplevert voor de privacy van de werknemer, is eerst een Data Protection Impact Assessment (DPIA) nodig. Denk bijvoorbeeld aan het monitoren van de apparatuur van de werknemer, maar ook het plaatsen van camera’s in of om de bedrijfsruimte, of het overstappen naar een nieuw HR-systeem.

Aan de hand van een DPIA maakt de werkgever een afweging tussen zijn eigen legitieme belangen en de inbreuk op de privacy van de werknemers. De specifieke technologie die wordt gebruikt moet noodzakelijk zijn, in verhouding staan tot het na te streven doel en geïmplementeerd zijn op een manier die zo min mogelijk inbreuk maakt op de privacy van werknemers.

Welke verwerkingen zijn (bijna) nooit toegestaan?

Een aantal verwerkingen moet, ondanks dat er een DPIA is uitgevoerd, altijd worden vermeden. Hier weegt de privacy van de werknemer altijd zwaarder:

  • Monitoring in gevoelige ruimten, zoals sanitaire of religieuze ruimten
  • Geautomatiseerde beslissingen over bijvoorbeeld prestaties
ICTRECHT iconen petrol 2022 RGB_Computer

Welke verplichtingen heeft een werkgever om privacy op de werkvloer te waarborgen?

Bij het verwerken van persoonsgegevens moet de werkgever ervoor zorgen dat privacy zo veel mogelijk wordt gewaarborgd. De werkgever heeft daarom een aantal verplichtingen:

  • Gegevens moeten adequaat, relevant en niet te vergaand voor het legitieme doel zijn.
  • Ondernemingsraad inschakelen daar waar nodig.
  • Persoonsgegevens moeten worden verwijderd en niet langer bewaard dan nodig.
  • Persoonsgegevens moeten worden beveiligd door passende technische en organisatorische maatregelen te treffen.

Interne privacyverklaring

Een werkgever is verplicht om werknemers te informeren over de verwerking van hun persoonsgegevens. Het informeren gebeurt via de interne privacyverklaring. In dat document legt de werkgever onder andere uit welke persoonsgegevens van werknemers worden verwerkt, waarom dat gebeurt en hoelang de gegevens bewaard blijven. Ook is in de interne privacyverklaring uitgelegd naar welke derde partijen (bijvoorbeeld het salarisadministratiekantoor, UWV en de arbodienst) persoonsgegevens worden doorgestuurd. Verder hebben werknemers bepaalde rechten. Denk aan het recht op inzage en recht op verwijdering. Over de rechten dient een werkgever ook te informeren.

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Laat je gegevens achter

 
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram