2. Privacy in de
arbeidsrelatie
Workshop 1 november 2011
Copyright 2011. Dirkzwager advocaten & notarissen
3. Verantwoording
In deze presentatie wordt algemene en beknopte informatie verstrekt over
een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee
juridisch advies te geven voor concrete situaties.
Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt
Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de
inhoud ervan.
Copyright 2011. Dirkzwager advocaten & notarissen
5. Wat is privacy?
Relationeel Informationeel
Bescherming intimiteiten Beginselen van zorgvuldige
Vertrouwelijkheid woning, verwerking van gegevens
gezinsleven, communicatie, Altijd van toepassing, dus
etc. zowel bij verwerking
(“Right to be left alone”) publieke als “privé” data
Copyright 2011. Dirkzwager advocaten & notarissen
7. Grondrechten
Werknemer heeft enige ruimte voor onderhouden
privérelaties op het werk
Europees Hof voor de Rechten van de Mens, 16 december 1992, Niemietz-arrest
Het grondrecht op “private life and correspondence” strekt
zich ook uit tot de werkplek. Bij ontbreken van andere
signalen mag werknemer een “reasonable expectation of
privacy” op werkvloer verwachten
Europees Hof voor de Rechten van de Mens, 25 juni 1997, Halfords-arrest
Copyright 2011. Dirkzwager advocaten & notarissen
8. Arbeidsrecht
Artikel 7:611 BW: “De werkgever en de werknemer zijn
verplicht zich als een goed werkgever en een goed
werknemer te gedragen.”
De meeste grondrechten in te roepen via dit wetsartikel
Bovendien algemene vangnetbepaling. Rekening houden
met in Nederland levende rechtsovertuigingen en alle
relevante belangen
Copyright 2011. Dirkzwager advocaten & notarissen
9. Strafrecht
Afluisteren/opnemen met hulpmiddel (139a Sr)
Misbruiken bevoegdheid tot aftappen/opnemen
tele-/datacommunicatie (139c Sr)
Heimelijk cameratoezicht (139f Sr)
Advies: formuleer beleid en maakt dit kenbaar
Copyright 2011. Dirkzwager advocaten & notarissen
10. Medezeggenschapsrecht
Instemmingsrecht ondernemingsraad op:
Privacyreglement
“een regeling omtrent het verwerken van alsmede de bescherming van de
persoonsgegevens van de in de onderneming werkzame personen”, artikel 27 lid 1 k
WOR
Volg-/controle-/registratiesysteem
“een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming
van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming
werkzame personen”; artikel 27 lid 1 l WOR
Copyright 2011. Dirkzwager advocaten & notarissen
14. WBP: algemeen kader 2
Verwerking mag alleen voor:
duidelijk omschreven en bepaald doel
dat kenbaar is en
gerechtvaardigd is.
Gerechtvaardigde verwerking vereist grondslag:
ondubbelzinnige toestemming;
uitvoering overeenkomst; of
wettelijke verplichting; of
noodzakelijk voor gerechtvaardigd belang verwerker, bv.
historisch overzicht personeel (afweging belangen)
Copyright 2011. Dirkzwager advocaten & notarissen
15. Persoonsgegevens?
Adres van werknemer
Foto werknemer
Rapport met statistische gegevens over uw bedrijf
(waaronder gemiddelde salaris per functie)
Klantnummer werknemer bij bijvoorbeeld pensioenfonds
Kenteken auto‟s geparkeerd op uw terrein
Copyright 2011. Dirkzwager advocaten & notarissen
16. Verantwoordelijke en bewerker
Verantwoordelijke
Stelt doel en middelen vast
Bewerker
Uitvoerder namens en in opdracht van verantwoordelijke
Verplichtingen WBP primair bij verantwoordelijke
Waaronder (actief!) toezicht houden op bewerker
In overeenkomst met bewerker afspraken over
geheimhouding
beveiliging
Copyright 2011. Dirkzwager advocaten & notarissen
17. Informatieverplichting
Vooraf informeren over
Identiteit verantwoordelijke
Doel van de verwerking
Andere gegevens, afhankelijk van
Aard gegevens;
Omstandigheden verkrijging;
Gebruik gegevens.
Praktijk: hoofdstuk privacy in personeelshandboek,
privacyreglement, uitleg op intranet, etc.
Copyright 2011. Dirkzwager advocaten & notarissen
18. Informatieverplichting 2
Verbod verwerking onverenigbaar met
verkrijgingsdoeleinden
Kijken naar
Verwantschap doel verwerking en verkrijging
Aard gegevens
Gevolgen voor betrokkene
Wijze van verkrijging
Waarborgen jegens betrokkene
Copyright 2011. Dirkzwager advocaten & notarissen
19. Beveiligingsverplichting
Artikel 13 WBP
Technische maatregelen
Organisatorische maatregelen
Passend niveau (afweging)
Tegen verlies en onrechtmatige verwerking
Dus beveiliging moet op naleving wet zijn gericht!
Copyright 2011. Dirkzwager advocaten & notarissen
20. Bijzondere persoonsgegevens 1
Extra streng regime voor gegevens betreffende
godsdienst of levensovertuiging
ras
politieke gezindheid
gezondheid
seksuele leven
lidmaatschap van een vakvereniging / vakbond
Copyright 2011. Dirkzwager advocaten & notarissen
21. Bijzondere persoonsgegevens 2
Enkele gegeven dat iemand ziek is, is (al) een gezondheidsgegeven
Uitzondering op verbod verwerking voor werkgevers, maar slechts voor zover
noodzakelijk voor:
uitvoering wet, pensioen, collectieve arbeidsovereenkomsten
de re-integratie of begeleiding in verband met ziekte of
arbeidsongeschiktheid.
Alleen verwerking door personeel dat geheimhoudingsplicht heeft. Schending
geheimhoudingsplicht is misdrijf.
Copyright 2011. Dirkzwager advocaten & notarissen
22. Rechten betrokkene
Inzage
Binnen vier weken volledig overzicht!
Correctie
Verbetering, aanvulling, verwijdering, afscherming
Binnen vier weken beslissen op verzoek
Derden aan wie gegevens zijn doorgegeven informeren
Verzet
Bij grondslag “gerechtvaardigd belang”
Tegen commercieel gebruik
Copyright 2011. Dirkzwager advocaten & notarissen
23. Overige eisen WBP
Niet te lang bewaren
Toezien op juistheid gegevens
Geen bovenmatige verwerking
Bij bewerking door derde overeenkomst vereist
Melding bij CBP
Tenzij vrijgesteld
Verbod gegevensexport buiten EER
Copyright 2011. Dirkzwager advocaten & notarissen
24. Sancties WBP
Boete € 4.500,- op schending meldingsplicht
Dwangsommen, bestuursdwang
Betrokkene onderneemt individueel (of collectief) actie
Reputatieschade!
CBP zoekt publiciteit bij handhaving
In de toekomst waarschijnlijk ook boetes overige
schendingen WBP
Copyright 2011. Dirkzwager advocaten & notarissen
25. Privacycheck
Dirkzwager heeft op 7 april
2011 de gratis online
privacycheck gelanceerd op:
www.dirkzwagerieit.nl/priv
acycheck
Copyright 2011. Dirkzwager advocaten & notarissen
26. Conclusies
Bij beide begrippen privacy is transparantie vooraf van groot
belang
Wat mag werknemer verwachten?
Waar liggen grenzen handelen werkgever?
Formuleer beleid en leg dit voor aan de OR
Handel overeenkomstig eigen beleid
Copyright 2011. Dirkzwager advocaten & notarissen
28. en nu de praktijk
Copyright 2011. Dirkzwager advocaten & notarissen
29. Personeelsdossiers
Verwerking gebaseerd op artikel 8
sub b (uitvoering overeenkomst),
c (nakomen wettelijke verplichting), en
f (gerechtvaardigd belang) WBP
en niet zozeer op sub a: toestemming.
Copyright 2011. Dirkzwager advocaten & notarissen
30. Personeelsdossiers: verwerking voor?
Art 7 lid 2 Vrijstellingsbesluit Wbp (VB) geeft een aardige
opsomming.
O.a.:
*leidinggeven aan werkzaamheden
*behandeling personeelszaken
*vaststellen salarisaanspraken
*verlenen ontslag
*opleiding
*interne controle en bedrijfsbeveiliging
Copyright 2011. Dirkzwager advocaten & notarissen
31. Personeelsdossiers: verwerking voor?
*bedrijfsmedische zorg
*bedrijfsmaatschappelijk werk
*verkiezing leden OR
*het innen van vorderingen, waaronder het in handen van derden
stellen van die vorderingen
*het doen uitoefenen van accountantscontrole
Let wel: VB betekent vrijstelling melding en niet vrijstelling WBP
Copyright 2011. Dirkzwager advocaten & notarissen
32. Personeelsdossiers: wat verwerken?
Art. 7 lid 3 Vrijstellingsbesluit Wbp
O.a.:
*naam, adres, telefoonnummer, bankrekening e.d.
*nationaliteit en geboorteplaats
*gevolgde en te volgen opleidingen
*gegevens betreffende de functie, aard, inhoud en beëindiging
dienstverband
*gegevens betreffende aan- en afwezigheid, ook wegens ziekte
Copyright 2011. Dirkzwager advocaten & notarissen
33. Personeelsdossiers: wat verwerken?
*gegevens, waaronder begrepen gegevens t.a.v. gezinsleden,
noodzakelijk ter uitvoering van een arbeidsvoorwaarde
*gegevens m.b.t. organiseren beoordeling en loopbaanbegeleiding,
“voor zover deze bij de betrokkenen bekend zijn”
Copyright 2011. Dirkzwager advocaten & notarissen
34. Personeelsdossiers: praktische inhoud
Alleen gegevens die noodzakelijk zijn voor het doel waarvoor het
personeelsdossier is ingesteld.
Mutaties dienstverband, salarisgegevens etc. etc.
Maar ook klachten, waarschuwingen, verzuimfrequentie,
beoordelingsgesprekken en persoonlijke werkaantekeningen van de
leidinggevende.
Copyright 2011. Dirkzwager advocaten & notarissen
35. Personeelsdossiers: verplichtingen wg
Werkgever is verantwoordelijk voor juistheid en nauwkeurigheid
gegevens.
Gegevens dienen toereikend, ter zake dienend en niet bovenmatig te
zijn, gelet op het doel waarvoor ze verwerkt worden.
Werknemers moeten geïnformeerd worden over doeleinden waarvoor
verzameld wordt.
Copyright 2011. Dirkzwager advocaten & notarissen
36. Personeelsdossiers: verplichtingen wg
Werkgever dient technische en organisatorische maatregelen te treffen
om persoonsgegevens te beveiligen.
Werknemers moeten mogelijkheid hebben het dossier in te zien;
eventueel verzoek tot correctie, aanvulling, verwijdering.
Gegevens mogen niet langer worden bewaard dan noodzakelijk is
verwezenlijking doel waarvoor verwerkt is.
Copyright 2011. Dirkzwager advocaten & notarissen
37. Personeelsdossiers: bewaartermijnen
Art. 7 lid 5 Vrijstellingsbesluit: persoonsgegevens worden uiterlijk 2
jaren na einde dienstverband verwijderd, tenzij de gegevens
noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Langer bewaren: melden.
Werkgever dient zich af te vragen wat nog relevant c.q. noodzakelijk is
als het om bewaartermijnen ná einde dienstverband gaat.
Copyright 2011. Dirkzwager advocaten & notarissen
38. Personeelsdossier: bewaartermijnen
Voorbeelden wettelijke bewaartermijnen:
* fiscaal relevante gegevens salarisadministratie 7 jaren
* loonbelastingverklaringen en ID-bewijs 5 jaren na einde
dienstverband
Werknemer kan toestemming geven om langer te bewaren.
Copyright 2011. Dirkzwager advocaten & notarissen
39. Personeelsdossier: bewaartermijnen
CBP: als gegevens al eerder niet meer relevant zijn, dan direct
verwijderen en niet 2 jaar na einde dienstverband afwachten (artikel 10
Wbp).
Bijvoorbeeld: beoordelingsgesprekken, arbeidsovereenkomsten,
correspondentie over benoeming, ontslag, administratieve
verzuimgegevens.
CBP o.i. behoorlijk streng, redenen langer bewaren denkbaar (bijv.
werkgeversaansprakelijkheid, loonvordering).
Copyright 2011. Dirkzwager advocaten & notarissen
40. Personeelsdossier: bewaartermijnen
Verwijderen hoeft niet altijd vernietigen te zijn. Gegevens kunnen
bijvoorbeeld gearchiveerd worden voor statistische doeleinden of uit
de actieve administratie gehaald worden.
Copyright 2011. Dirkzwager advocaten & notarissen
41. Verder verwerken van gegevens
Verstrekken gegevens aan derden = verwerken.
Art. 9 Wbp: gegevens niet verder verwerken op wijze die
onverenigbaar is met doel waarvoor ze verkregen zijn.
*doorgeven verjaardag aan afdeling communicatie voor maken verjaardagskalender
op intranet mag (tenzij uitdrukkelijk bezwaar).
*doorgeven gegevens aan verzekeraar voor het doen van een aanbieding aan
werknemers mag niet.
Copyright 2011. Dirkzwager advocaten & notarissen
42. Verstrekken gegevens aan derden
Verstrekken aan derden mag indien dat noodzakelijk is voor uitvoering
van de arbeidsovereenkomst.
*bijvoorbeeld: aan de leasemaatschappij of Arbo-dienst.
Verstrekking die niet noodzakelijk is kan o.b.v. toestemming
werknemer plaatsvinden. Let wel: duidelijk informeren waarvoor
toestemming wordt gevraagd en wat gevolgen zijn. Toestemming in
arbeidsrelatie niet te snel aannemen.
Copyright 2011. Dirkzwager advocaten & notarissen
43. Verstrekken gegevens aan derden
Er kan ook een wettelijke plicht bestaan:
Fiscale wetgeving (art. 47 Algemene wet inzake rijksbelastingen, Wet
inkomstenbelasting 2001).
Loonbeslag (art. 475g lid 3 Rechtsvordering). CBP: in veel gevallen
zullen leidinggevende en P&O over gegevens loonbeslag mogen
beschikken.
Copyright 2011. Dirkzwager advocaten & notarissen
44. Verstrekken gegevens aan derden: politie
Verstrekken gegevens aan de politie:
De Wbp verplicht niet tot verstrekken maar geeft regels voor
zorgvuldig gebruik. Plicht tot verstrekken kan wel uit andere wetten
voortvloeien.
Vraag politie aan te geven o.b.v. welke regeling gegevens verstrekt
moeten worden.
Copyright 2011. Dirkzwager advocaten & notarissen
45. Verstrekken gegevens aan derden: politie
Blijft antwoord uit, dan is wg niet verplicht te verstrekken. En mag dat
vaak ook niet: gegevens worden niet bewaard ten dienst van politie.
Vraagt politie om vrijwillige medewerking, dan moet afweging
worden gemaakt tussen opsporingsbelang en privacybelang. Let wel:
informatieplicht jegens werknemer!
Copyright 2011. Dirkzwager advocaten & notarissen
46. Verstrekken gegevens aan derden: fusie of
overname
Fusie of overname:
Geen persoonsgegevens in data room, tenzij het werknemers betreft
van bijzonder belang voor onderneming.
Geaggregeerde gegevens mogen wel. Groepjes van 5 of meer
werknemers bijvoorbeeld.
Personeelsdossiers opschonen vóór overgang. Betrokken werknemers
gelegenheid geven dossier in te zien, eventueel op verzoek gegevens
verwijderen.
Copyright 2011. Dirkzwager advocaten & notarissen
47. Controle werknemers: 3 uitgangspunten
Werknemer heeft onder omstandigheden een “reasonable
expectation of privacy”.
Privacyinbreuken moeten kenbaar zijn voor werknemer.
Werkgever dient zich als goed werkgever te gedragen.
Copyright 2011. Dirkzwager advocaten & notarissen
48. Controle: cameratoezicht
Het plaatsen van camera‟s is toegestaan als het noodzakelijk is voor de
behartiging van een gerechtvaardigd belang.
Er is wel een privacytoets nodig: belangenafweging wg/wn.
Beveiliging eigendommen, bescherming werknemers en klanten
kunnen een gerechtvaardigd belang zijn. Maar stel altijd de vraag of
het noodzakelijk is.
Copyright 2011. Dirkzwager advocaten & notarissen
49. Controle: cameratoezicht
Cameratoezicht dient kenbaar te zijn.
Bewaartermijn in beginsel 24 uur. Wetsvoorstel: 4 weken. langer
bewaren: melden
Normen voor verborgen cameratoezicht zijn anders.
Copyright 2011. Dirkzwager advocaten & notarissen
50. Controle: cameratoezicht
Heimelijk cameratoezicht is strafbaar tenzij het gebruik kenbaar is
gemaakt.
Kenbaar maken dient het „opsporingsbelang‟ veelal niet.
Oplossing: met instemming OR beleid invoeren en in organisatie
kenbaar maken: “in voorkomende gevallen kan werkgever gebruik
maken van heimelijk cameratoezicht”.
Privacyinbreuk is groot, verborgen camera is laatste redmiddel.
Copyright 2011. Dirkzwager advocaten & notarissen
51. Controle: e-mail en internet
Privétisering van de werkplek: werknemer heeft in zekere mate recht
op vertrouwelijke communicatie op de werkplek, zonder inmenging
werkgever.
Anderzijds is controle op e-mail en internetgebruik van werknemers
toegestaan.
Verstandig om beleid te formuleren en dit kenbaar te maken. Dit sterkt
een eventuele ontslagzaak in grote mate!
Copyright 2011. Dirkzwager advocaten & notarissen
52. Controle e-mail en internet: vuistregels
Algemene vuistregels:
Behandel zaken online op dezelfde manier als off line. Privé telefoontje
wel, privé e-mail niet?
Stel heldere regels op met instemming OR.
Maak regels kenbaar voor werknemers. Pop up tijdens opstarten computer?
Copyright 2011. Dirkzwager advocaten & notarissen
53. Controle e-mail en internet: vuistregels
Stel vast in hoeverre privé-gebruik is toegestaan. Totaal verbod op privé
van e-mail en internet in zijn algemeenheid niet aanvaardbaar.
Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk.
Blokkeren sociale netwerksites?
.
Anonimiseer rapportages en gebruiksstatistieken.
Copyright 2011. Dirkzwager advocaten & notarissen
54. Controle e-mail en internet: vuistregels
Houdt rekening met back-ups van het systeem. Onzorgvuldig en onbevoegd
gebruik van een back up kan even schadelijk zijn voor persoonlijke levenssfeer.
Garandeer de integriteit van de systeembeheerder. Geheimhoudingsplicht
opleggen (art. 12 lid 2 Wbp)
Copyright 2011. Dirkzwager advocaten & notarissen
55. Controle e-mail en internet: vuistregels
Hoe wordt controle ingestoken? Wederom een aantal vuistregels:
Probeer zakelijke en privé-mail te scheiden en ontzie privémail zoveel
mogelijk. Voor controle privé-mail is een gewichtigde reden nodig.
Beperk de controle tot het vooraf geformuleerde doel.
* begeleiding en/of individuele beoordelingen. Controle zakelijke mails indien er rechtstreeks
verband met de functie bestaat, bijvoorbeeld helpdesk;
Copyright 2011. Dirkzwager advocaten & notarissen
56. Controle e-mail en internet:vuistregels
*systeem- en netwerkbeveiliging;
*beschermen bedrijfsgeheimen;
*voorkomen negatieve publiciteit;
*tegengaan seksuele intimidatie;
*controle op verboden gebruik
Pas maatwerk toe bij controle in geval van verdenking. Wie controleren,
hoe lang, welke mails openen?
Copyright 2011. Dirkzwager advocaten & notarissen
57. Zwarte lijsten
Een waarschuwings- of signaleringslijst, zijnde een registratie van
personen die door een bedrijf of bedrijfstak is aangelegd.
Doel: het kunnen beschikken over gegevens die noodzakelijk worden
geacht voor een goede beoordeling van de persoon waarmee een
overeenkomst zal worden aangegaan.
Wbp is van toepassing.
Copyright 2011. Dirkzwager advocaten & notarissen
58. Zwarte lijsten
Zwarte lijst ex-werknemers?
Op grond van Wbp niet ondenkbaar, formuleren criteria vergt
aandacht!
Meldingsplicht
Delen met derden: voorafgaand onderzoek
Copyright 2011. Dirkzwager advocaten & notarissen