Medewerkers hebben recht op bescherming van hun persoonsgegevens. In verband met de privacy van de werknemers mogen werkgevers niet zomaar alles in personeelsdossiers vastleggen. Ook het verstrekken van dit soort gegevens is aan strikte regels gebonden, zowel intern als naar buiten toe.
Bescherming van de online privacy in een arbeidsrelatie is extra actueel geworden sinds de invoering van de privacywet AVG (Algemene Verordening Gegevensbescherming). In Europa heet deze wetgeving de GDPR (General Data Protection Regulation). Informatiebeveiliging is niet exact hetzelfde als privacybescherming, maar beide begrippen zijn onderling wel sterk verbonden.
Bescherming privacy werknemer
Joseph Kakisina, commercieel product manager bij KPN Security: ‘Ondernemers moeten er voor zorgen dat de gegevens van hun werknemers goed zijn beveiligd. Voor het bewaren van deze data gelden vrijwel dezelfde regels als voor gegevens van klanten en leveranciers. Voor ons is dat niet zoveel anders, alleen de context verschilt.’
Waar mogelijk moeten gegevens versleuteld worden opgeslagen. Een lek hoeft dan niet catastrofaal te zijn. Kakisina: ‘Ook voor werkgevers geldt dat je eerst goed moet nadenken welke gegevens voor een bepaald doel nodig zijn. Hoe minder, hoe te beter. Vervolgens moet je de betrokkene om toestemming te vragen, dan is de verwerking van personeelsgegevens en dus ook de verstrekking rechtmatig.’
Uitzonderingen binnen de privacywetgeving
Er zijn uitzonderingen op deze regel, bijvoorbeeld als de politie of Belastingdienst om bepaalde persoonsgegevens vraagt. Als de rechter heeft uitgesproken dat beslag wordt gelegd op loon, dan is de werkgever verplicht om een aantal gegevens aan een gerechtsdeurwaarder te verstrekken. Verder is het belangrijk om uit te leggen waarom gegevensverstrekking nodig is. De werkgever moet hierover namelijk transparant zijn, stelt de wet.
Voor het invullen van de loonbelasting, salarisuitbetaling en sociale verzekeringen zullen regelmatig persoonsgegevens aan instanties worden verstrekt. Rechten, procedures en werkprocessen dienen conform de AVG te zijn geregeld. Ook de verstrekking aan mensen binnen de eigen organisatie is aan regels gebonden. Gegevens over de salarisuitbetaling zijn in principe alleen voor de betrokkene zelf toegankelijk. Collega's hebben daar natuurlijk niets mee te maken. Chefs mogen niet zomaar even wat gegevens over hun ondergeschikten bij personeelszaken op vragen.
Managers mogen niet zomaar alles opvragen
Neem bijvoorbeeld verzoeken om de namen van werknemers met loonbeslag. De aanvrager zal heel goed moeten aangeven waarom hij dit wil weten en welk doel daarmee is gediend. Ook is belangrijk wie iets vraagt. Kakisina: 'Mensen moeten redelijk hoog in de hiërarchie staan om bepaalde persoonsinformatie te krijgen. Maar dat betekent niet dat managers zomaar alles kunnen opvragen, ook voor hen gelden beperkingen. Om toestemming te krijgen zal zo'n chef bovendien vaak eerst nog de weg naar boven moeten volgen. Soms zal de hoogste leiding er aan te pas komen.'
Het hangt ook af van het type functie van waaruit bepaalde persoonsinformatie wordt ingewonnen en de relatie met de werknemer. Logisch dat een lid van de OR die door een medewerker wordt gevraagd voor zijn belang op te komen, bij HR aanklopt. Ook is dit te rechtvaardigen als een chef door een medewerker om een studiesubsidie wordt gevraagd. Kakisina: 'Werknemers mogen over het algemeen alleen maar informatie over hun directe collega's krijgen als hun functie dat vereist. Ze mogen de verkregen informatie zeker niet delen met andere medewerkers.'
Regels privacy werknemers en klanten hetzelfde
De ene soort informatie is privacygevoeliger dan de andere. Neem het ‘identity access management portal’ waarin precies is vastgelegd wie waar mag komen. Onder meer de toegang tot de applicaties, gebouwen en parkeerruimtes is daarin geregeld. Dit soort informatie zal meer open zijn. Functionarissen die dit soort faciliteiten onder hun hoede hebben, moeten namelijk vrij gemakkelijk toegang krijgen. Vanuit het oogpunt van bedrijfsefficiëntie is dat gewenst.
Qua beveiliging maakt het niet uit of systemen personeelsgegevens dan wel gegevens van klanten en leveranciers bevatten. Kakisina: 'De beveiligingstechnieken en regels zijn dezelfde. Vanuit technologie, beheer en ondersteuning weten we vaak niet eens om welke informatie het gaat, we beschermen systemen. En als iemand toegang wil hebben, kijken we of het de persoon is die hij zegt te zijn en of hij die gegevens daadwerkelijk mag inzien. Als dat het geval is, wordt de vraag actueel wat hij er mee mag. Is het alleen toegestaan de informatie te lezen, of mogen gegevens ook worden verrijkt, toegevoegd, gemodificeerd of weggehaald? Daar zijn allemaal regels voor.'
Wie mag wat?
Elke werknemer heeft een digitale identiteit. Kakisina: 'Het allerbelangrijkste daarvan is dat er duidelijkheid bestaat over de regie. Wie mag welke gegevens inzien van een bepaalde medewerkers? En wat mag de persoon ermee doen? En kan de werknemer bij incorrecte gegevens veranderingen eisen? Soms wil men dat niet. De regie is pas compleet als de betrokkene al die controles mag aansturen. Maar dat is een ideaal.' Op dat punt valt nog veel regelen. De identity- en privacy-diensten die dat mogelijk maken, zijn nog in ontwikkeling.
Privacybescherming heeft vele aspecten. In deze blog is het vrij algemeen gehouden, er zijn veel bijzonderheden en uitzonderingen waar we niet op zijn ingegaan. De AVG hanteert ook strenge regels voor sollicitaties, screening, zieke werknemers en controle van het e-mail-, internet- en telefoongebruik. Bij het laatste is een gerechtvaardigd belang vereist. Een werkgever mag alleen in de mails van een werknemer duiken als die wordt verdacht van ernstig wangedrag of een datalek.
Meer weten?
Kijk hier voor meer informatie over privacy of neem contact met ons op.
Neem contact op