Ga naar de vernieuwde website van Advocaten.nl

Privacy in bedrijf

Inleiding: Ondernemers zijn vanouds gewend aan de omgang met risico’s en mogelijkheden. Nieuw is dat tegenwoordig soms discussie ontstaat over privacy, vooral als het gaat over meeluisteren van telefoongesprekken, het gebruik van videocamera’s op de werkvloer of het gebruik van e-mail en internet door werknemers. Bovendien is er dankzij ‘Brussel’, speciale privacywetgeving gekomen voor de hele Europese Unie. In Nederland is dat de Wet Bescherming Persoonsgegevens, die de oude Wet Persoonsregistraties vervangt. Het voeren van goed privacybeleid is in deze lid daarom geen overbodige luxe. Hierbij is het vooral de kunst om een win-win-situatie te creëren. Dus niet: ‘privacy, omdat het moet’, maar: ‘privacy, want daar worden we allemaal beter van'.
Met een dosis gezond verstand, de bereidheid om na te denken over redelijke en evenwichtige oplossingen, en kennis van de basisprincipes, worden twee vliegen in één klap geslagen: een goede reputatie - wat zich bijvoorbeeld vertaalt in een goede werksfeer of een goede relatie met de klant - en een behoorlijke naleving van de wet. De brochure Privacy in Bedrijf is bedoeld om u op weg te helpen.

1. Inleiding
2. Wat staat er in deze brochure?
3. De privacywet
1. Behoorlijk en zorgvuldig privacybeleid
2. Reikwijdte privacywet
3. Wie is verantwoordelijk voor de naleving?
4. Voorbereiding
1. Redenen voor gebruik
2. Doelomschrijving
3. Mag dat?
5. Operationeel
1. Transparantie: open vizier-aanpak
2. Kwaliteitseisen
3. Kwaliteitscontrole
6. Beperkingen
1. Bijzondere gegevens
2. Internationaal gegevensverkeer
7. Extra’s
1. Vrijwillige maatregelen
2. Voorbeeld internetcontrole
3. De privacyfunctionaris
4. Privacy-audits
8. Controle van werknemers
1. Controle met behulp van ICT
2. De rol van de ondernemingsraad
9. Juridische problemen
1. Toetsing door de rechter
2. Toezicht door het CBP
10. Voor meer informatie

In deze brochure wordt uitgelegd hoe in een bedrijf met privacy kan worden omgegaan in de relatie werkgever-werknemer. De aanbevelingen zijn gebaseerd op de Wet Bescherming Persoonsgegevens (WBP) en andere wetten die privacyvoorschriften bevallen, zoals de Wet op de ondernemingsraden.

Centraal in deze brochure staat de vraag: wat mag ik in mijn bedrijf met personeelsgegevens? Het antwoord is in essentie eenvoudig: alle informatie die een werkgever nodig heeft voor zijn bedrijfsvoering, mag daarvoor worden gebruikt, hoewel dit door de normale omgangsvormen en de privacywet aan enkele beperkingen is gebonden.

Welke dat zijn, wordt besproken in de paragrafen 4 tot en met 6. In paragraaf 7 wordt aandacht besteed aan de voor- en nadelen van vrijwillige extra maatregelen, zoals het aanstellen van een privacyfunctionaris, het opstellen van gedragscodes of het laten uitvoeren van privacy-audits. In paragraaf 8 wordt ingegaan op het controleren van werknemers. Tenslotte wordt in paragraaf 9 ingegaan op eventuele juridische problemen.

In kort bestek geldt steeds het volgende (zie onderstaand schema):

• geen problemen wanneer personeelsinformatie anoniem wordt verwerkt (3.2);
• niet-anonieme personeelsinformatie moet met beleid worden gebruikt:
• formuleren heldere en redelijke doelstelling (4.2);
• noodzaak open vizier-aanpak (5.1), waaronder eventueel aanmelden bij de overheid;
• inachtneming informatie-kwaliteitseisen (5.2);
• voorzien in mogelijkheden voor individuele kwaliteitscontrole (5.3);
• overleg met de ondernemingsraad (8.2).

In deze brochure wordt niet ingegaan op het gebruik van gegevens van externe personen (klanten, leveranciers en overige relaties). Hoewel de basisregels dezelfde zijn, gelden er met name bij het gebruik van consumentengegevens, zodanig afwijkende regels dat een en ander beter apart kan worden behandeld (voor meer informatie zie: www.vno-ncw.nl/privacy/extern ).

Waar wordt gesproken van ‘privacywet’, wordt in deze brochure de Wet Bescherming Persoonsgegevens (WBP) bedoeld. In deze wet wordt uitgewerkt hoe een goed werknemer en een goed werkgever zich op het gebied van privacy ten opzichte van elkaar hebben te gedragen.

Centraal staat de eis dat op een ‘behoorlijke en zorgvuldige wijze’ met personeelsinformatie wordt omgegaan. Wat dit precies betekent, is afhankelijk van de concrete situatie in het bedrijf. Privacy, op het werk is iets anders dan privacy thuis, want wie deelneemt aan het openbare leven, geeft altijd een stukje privacy prijs - dus ook bij het aangaan van een arbeidsrelatie. Het is een misverstand om te menen dat de privacywet voorziet in zoiets als een recht op anonimiteit.

Zo wil een werknemer er in ieder geval zeker van zijn dat hij in de loon-administratie is opgenomen, meedoet in een collectieve verzekering, of bijvoorbeeld in de interne telefoongids staat vermeld.

Voor de werkgever is het bijhouden van persoonsgegevens noodzakelijk om te weten wie zijn werknemers zijn, en over welke kwaliteiten zij beschikken zodat er goed personeelsmanagement kan worden gevoerd, en er kan worden gewaakt over de kwaliteit van de bedrijfsvoering en de bedrijfsveiligheid. Bepaalde informatie moet ook vanwege wettelijke voorschriften worden verkregen, zoals op het terrein van de sociale zekerheid, belastingheffing, of de stimulering arbeidsdeelname door minderheden.

De privacywet heeft betrekking op (1) ieder gebruik van (2) persoonsgegevens. Aan beide vereisten moet zijn voldaan, wil de wet van toepassing zijn. De privacywet heeft géén betrekking op de arbeidsomstandigheden zelf, zoals problemen rond ongewenste intimiteiten op het werk of roddelen. Natuurlijk is ook dan wel degelijk iemands privacy in het geding, maar zolang daarover geen informatie wordt vastgelegd, valt dit niet onder de privacywet. Van gebruik (in de privacywet wordt gesproken van ‘verwerken’), is in de praktijk vooral sprake bij ICT-toepassingen. Met andere woorden, het gebruik van pc’s, computernetwerken, internet, e-mailservers, laptops, organizers, printers, faxen, (mobiele) telefoons, beveiligingscamera’s, toegangscontrolesystemen, enzovoorts. Van gebruik is ook sprake bij papieren bestanden, zoals dossiers en lijsten. Voorwaarde is dan wél dat informatie volgens een bepaalde zoekstructuur moet zijn gerangschikt.

Onder 'gebruik' valt ongeveer alles wat met gegevens kan worden gedaan. In de privacywet staat een niet-limitatieve opsomming: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen.

Persoonsgegevens zijn gegevens die betrekking hebben op (a) een bekende persoon of (b) een onbekende persoon, die aan de hand van de bijgehouden gegevens zonder al teveel moeite toch kan worden geïdentificeerd. Met andere woorden, persoonsgegevens vertellen iets wezenlijks over een persoon.

Als gegevens niet gemakkelijk tot identificatie leiden, is er sprake van anonieme informatie. De privacywet is in die gevallen dus niet van toepassing. Vanuit bedrijfsoptiek is het zinvol om de mogelijkheden van anonieme gegevensverwerking te onderzoeken. In 7.2 wordt hiervan een voorbeeld gegeven in het kader van surfen op internet. Maar denk bijvoorbeeld ook aan het gebruik van gegevens op geaggregeerd niveau, zoals het bijhouden van statistische informatie voor de jaarverslagen.

Gevolgen niet-nakoming privacywet
Overtreding van de privacywet kan leiden tot interne conflicten, aansprakelijkheid, negatieve publiciteit, en zelfs overheidsingrijpen en boetes. De personeelsadministratie valt onder de privacywet.

Degene die formeel optreedt als werkgever, is wettelijk verantwoordelijk voor het voeren van goed privacybeleid. Bij verenigingen, stichtingen, coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen en besloten vennootschappen, ligt de verantwoordelijkheid bij de rechtspersoon. In de praktijk komt het voor dat bedrijfsactiviteiten worden uitbesteed aan een derde. Dit ontslaat de werkgever niet van zijn verplichtingen. Maar ook deze derde heeft volgens de wet bepaalde verantwoordelijkheden, zoals de verplichting om gegevens goed te beveiligen (5.2). De loonadministratie wordt uitbesteed bij een extern bedrijf. Dit kan zelfstandig worden aangesproken op zijn wettelijke verplichtingen.

Concerns en samenwerkingsverbanden

Binnen een concern bestaat een zekere vrijheid om te bepalen wie als verantwoordelijke wordt aangemerkt. Via statuten of speciale overeenkomsten kan bijvoorbeeld aan de holding of een werkmaatschappij verantwoordelijkheid worden overgedragen. Dit kan van belang zijn voor gegevensverwerkingen die voor meerdere bedrijfsonderdelen relevant zijn.

Ook binnen een groep van ondernemingen die met elkaar samenwerken zonder dat sprake is van een concern, kan gezamenlijke verantwoordelijkheid worden afgesproken. Het is hierbij van belang dat goede afspraken worden gemaakt over de wederzijdse verplichtingen op het gebied van informatiebeheer.

Niet-Europese bedrijven

Als een onderneming niet in de Europese Unie is gevestigd, maar op Nederlandse bodem wel personeelsinformatie bijhoudt, zal deze in Nederland een verantwoordelijke moeten aanwijzen. Dit geldt niet als er slechts sprake is van doorvoer van gegevens. Denk aan het verzenden van personeelsinformatie via een Nederlands deel van het bedrijfsnetwerk.

Goed privacybeleid begint met nadenken over de redenen waarom personeelsinformatie moet worden bijgehouden (concrete aanleiding). De privacywet geeft met zoveel woorden aan dat gegevens mogen worden gebruikt:

1. voor de totstandkoming en uitvoering van de arbeidsovereenkomst;
2. om de ‘vitale belangen’ van werknemers te beschermen;
3. om een wettelijke verplichting na te komen;
4. wanneer een werknemer zijn ondubbelzinnige toestemming heeft gegeven; of
5. in het kader van het gerechtvaardigd (werkgevers)belang.

In de meeste gevallen zal personeelsinformatie nodig zijn voor reden a. Bij vitale belangen kan worden gedacht aan gegevens die noodzakelijk zijn voor fysieke bedrijfsbeveiliging of bedrijfshulpverlening. De wettelijke verplichtingen van c spreken voor zich. Individuele toestemming (d) leent zich vooral voor oplossingen in bijzondere gevallen. Het gerechtvaardigd belang bij e is een wettelijk vangnet voor andere redenen.

Al bij sollicitaties heeft een werkgever informatie nodig zoals cv's en diploma's. In overleg met de sollicitant kunnen referenties worden nagegaan. Ook komt het voor dat de werkgever om een verklaring van goed gedrag vraagt bij de overheid. In sommige gevallen zal een werkgever willen screenen (onderzoek naar onaanvaardbaar gedrag in het verleden).

Belangenafweging

Wanneer wordt gekozen voor ‘gerechtvaardigd belang’, geldt steeds de voorwaarde dat tevens voldoende rekening moet worden gehouden met de privacybelangen van werknemers. De werkgever zal zich dus in de werknemers moeten verplaatsen, en zich moeten afvragen of zijn oplossing wel een redelijke oplossing is. Hierbij behoren alle factoren te worden meegewogen, waaronder ook de kosten.

Een werkgever ziet het belang van controle op de werkvloer. Hij besluit tot het ophangen van camera's (zie ook 8.1): bij de afweging van belangen en alternatieven was de kostprijs doorslaggevend.

Een individuele werknemer mag in dit soort situaties bezwaar maken tegen het feit dat zijn gegevens worden verwerkt (recht van verzet). De werkgever zal moeten afwegen of er in het specifieke geval een uitzondering kan worden gemaakt. Vandaar dat de privacywet aan de uitoefening van het recht op verzet door de werknemer, ook de voorwaarde verbindt dat hij ‘bijzondere persoonlijke omstandigheden’ aanvoert. Dit stelt de werkgever op zijn beurt in staat om een goede inschatting te maken.

Naast een goede reden, stelt de privacywet de eis dat de werkgever concreet aangeeft waarvoor hij de personeelsinformatie gebruikt.

Een werkgever geeft aan dat hij personeelsinformatie gebruikt voor de aansturing van productieprocessen, kwaliteitsbewaking, personeelsmanagement en bedrijfsbeveiliging.

De doelomschrijving moet in alle gevallen van tevoren plaatsvinden en is voor de werkgever een belangrijk moment: op dat ogenblik definieert hij zijn speelruimte, die bestaat uit het doel en al het informatiegebruik dat daaruit voortvloeit. Hierbuiten mogen de gegevens niet worden gebruikt. Uit oogpunt van flexibiliteit en efficiency, is het verstandig om de doelomschrijving voldoende ruim te doen - hoewel deze ook weer niet te vaag mag zijn. In de praktijk komt het immers regelmatig voor dat dezelfde informatie op verschillende manieren wordt benut. Met een ruimere doelomschrijving wordt voorkomen dat de al beschikbare gegevens om technisch-juridische redenen opnieuw moeten worden verzameld.

Nog afgezien van wat hierna aan bod komt, valt op basis van de twee vorige paragrafen al aan te geven of handelingen van de werkgever wel of niet wettelijk zijn toegestaan - hoewel deze vraag eigenlijk breder moet worden gesteld (zie 9.1 over rechtmatigheidstoet). Een concreet voorbeeld kan dit verduidelijken:

Een werkgever voert employee benefits-beleid, waardoor werknemers korting kunnen krijgen op producten of diensten van andere bedrijven. Hij wil daarvoor aan die bedrijven naam-, adres- en woonplaatsgegevens uit de personeelsadministratie verstrekken. Mag dat?

1. Aangenomen dat de werkgever voor zijn personeelsadministratie inderdaad voor het doel ‘personeelsmanagement’ heeft gekozen (4.2), valt de verstrekking hierbinnen: employee benefits-beleid is een vorm van personeelsmanagement.
2. En omdat werknemers meestal zelf willen bepalen of hun gegevens bij andere bedrijven terechtkomen, kan waarschijnlijk het beste via een invulstrookje onder aan een circulaire over de personeelskortingen, ondubbelzinnig toestemming worden verkregen. Hierdoor voldoet de werkgever ook aan de voorwaarde in 4.1.

Met andere woorden, het antwoord op de vraag is: ja, dat mag. Maar er moet wel naar een juiste aanpak worden gezocht. Natuurlijk zou iedereen die gebruik wil maken van het aanbod, ook zélf met een bedrijf contact kunnen opnemen. Het hele vraagstuk is dan niet aan de orde. Tegelijkertijd kan dat echter ten koste gaan van de personeelsdienstverlening. En misschien wordt deze in het kader van het employee benefit-beleid juist ook belangrijk gevonden. De privacywet biedt zekerheid waar privacy ter discussie staat.

Ga ervan uit dat iedere reden waarom informatie over het personeel wordt bijgehouden, ook bij iedereen binnen de onderneming bekend moet zijn. De werkgever maakt zo zichtbaar dat zorgvuldig met de privacy van het personeel wordt omgegaan. Wie iets goed doet, mag dat ook best laten zien.

Als vuistregel kan worden aangehouden dat voldoende bekend moet zijn wie precies over welke gegevens beschikt en waarom (4.2). Ook moet duidelijk worden gemaakt wie verantwoordelijk is in de zin van de privacywet.

Voor die informatieverschaffing is de indiensttreding het beste moment. Op dat ogenblik kan het privacybeleid uiteen worden gezet, en worden aangegeven waar men terecht kan met vragen of klachten (zie ook 5.3). Werknemers die al in dienst zijn, kunnen worden geïnformeerd via bijvoorbeeld circulaires of publicatie via het bedrijfsnetwerk (intranet).

Een werknemer ontvangt bij zijn aanstelling een A4-tje waarop het privacybeleid uiteen wordt gezet, en wie hiervoor het aanspreekpunt is.

Vrijstelling van aanmelding

Over het algemeen moet het gebruik van persoongegevens worden aangemeld bij de overheid, wat kosteloos kan bij het College Bescherming Persoonsgegevens (GBP, zie 9.2). Hiervoor kan een meldingsformulier worden aangevraagd bij het CBP. Ook is elektronische aanmelding mogelijk (zie hoofdstuk 10 voor adresinformatie).

In een speciale regeling onder de privacywet, staat echter dat informatie over sollicitanten, uitzendkrachten of personeel van aanmelding is vrijgesteld. Hieraan zijn wel voorwaarden verbonden zoals bijzondere eisen voor de verschillende soorten gegevens die gebruikt mogen worden, het gebruik en de bewaartermijnen. Let goed op: wanneer het informatiegebruik verder gaat dan een specifieke vrijstelling, is aanmelding toch vereist.

Een werkgever wil gegevens van oud-personeelsleden drie jaar bewaren in de personeelsadministratie. Vrijstelling van aanmelding geldt echter alleen wanneer die gegevens na twee jaar worden verwijderd. De werkgever zal de hele personeelsadministratie dus toch moeten aanmelden.

Bovendien, zoals ook werd opgemerkt bij 4.2, is er in de praktijk vaak sprake van gecombineerd gebruik. Denk aan een geïntegreerde personeels- en loonadministratie. Ook voor gecombineerd gebruik kunnen vrijstellingen gelden, maar als ook maar een kiem deel van de gegevens wordt gebruikt voor een niet-vrijgesteld doel, bijvoorbeeld verstrekking in het kader van employee benefits-beleid, moet het hele gebruik toch worden aangemeld.

Wie zeker wil zijn van zijn zaak, doet er het beste aan om gewoon aan te melden. Bij elektronische aanmelding wordt meteen duidelijk of er wel of niet een vrijstelling geldt. Vrijstelling van aanmelding betekent niet dat men is vrijgesteld van de overige wettelijke verplichtingen die hier worden besproken.

Voor personeelsinformatie geldt dat gegevens altijd ter zake dienend, juist, volledig en niet bovenmatig mogen zijn. Bovendien mogen gegevens niet langer worden bewaard dan dat nodig is in het kader van de geformuleerde doelstellingen (4.2). Uitzonderingen zijn langere wettelijke bewaarplichten, zoals op basis van de fiscale wetgeving.

Het mag duidelijk zijn dat in niet ter zake dienende, onjuiste, onvolledige of bovenmatige gegevens, het praktische gevaar schuilt van verkeerde beslissingen. Dit kan (ernstige) nadelige effecten hebben voor werknemers en het bedrijf. In 5.3 wordt besproken hoe de kwaliteit van informatie kan worden bewaakt.

Informatiebeveiliging

Ook moet goed worden nagedacht over de beveiliging van de personeelsinformatie. Zo moet worden voorkomen dat gegevens verloren kunnen raken, of er zich situaties in strijd met de privacywet kunnen voordoen.

De werkgever is dan ook wettelijk verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen, voor zover dat gegeven de omstandigheden redelijk is. Hierbij moet rekening worden gehouden met de stand van de techniek en de privacyrisico’s voor de werknemer. Het is raadzaam om in het kader van de informatiebeveiliging in ieder geval de volgende maatregelen te nemen (zie ook 7.1):

• een regeling over de bevoegdheden ten aanzien van het gebruik van personeelsinformatie: wie mag bij welke informatie;
• een regeling over de bevoegdheden uit oogpunt van systeembeheer (zie bijvoorbeeld 7.2);
• een regeling over de controlemaatregelen en procedures voor verwijdering of vernietiging van personeelsinformatie;
• passende beveiliging van hard- en software.

De werkgever heeft zijn personeelsadministratie zodanig ingericht dat onbevoegden niet van de informatie kennis kunnen nemen. Zo kan een werknemer die verzoekt om inzage in de eigen gegevens (5.3), niet tegelijkertijd informatie over collega's zien.

Informatiebeveiliging zal voor veel bedrijven niet nieuw zijn. Dit is ook om andere redenen dan de privacywet belangrijk. Meer informatie is te vinden in de Nederlandse Code voor Informatiebeveiliging. De website www.informatiebeveiliging.nl bevat eveneens nuttige informatie.

Gegevens verouderen. Bijvoorbeeld omdat een werknemer is verhuisd waardoor de adresinformatie niet meer klopt. De werkgever moet dan ook zo af en toe nagaan of zijn informatie nog wel klopt. Om de kwaliteit te

waarborgen, kan de werknemer periodiek worden gevraagd om zijn gegevens te checken en aan te geven waar correcties nodig zijn.

De werknemer heeft ook recht op inzage in zijn gegevens. Als hij er zelf

om vraagt, moet de werkgever binnen vier weken aangeven:

1. het doel van informatieverwerking (4.2);
2. de categorieën gegevens die hiervoor nodig zijn;
3. wie de informatie precies gebruikt;
4. waar informatie vandaan komt;
5. en welke informatie eventueel buiten het bedrijf terechtkomt.

Het recht op inzage gaat overigens niet zover dat een werknemer inzage mag eisen in bedrijfsgevoelige informatie, bijvoorbeeld op het gebied van personeelsplanning. Als dit soort gegevens voortijdig bekend raken, kan dat de bedrijfsvoering immers behoorlijk schaden.

Werknemers hebben recht op verbetering, aanvulling, verwijdering of afscherming van hun gegevens. Aanpassingen behoren direct te worden doorgegeven aan eventuele derden bij wie gegevens terecht zijn gekomen.

Aanspreekpunt

Om een en ander te kunnen faciliteren, doet de werkgever er verstandig aan om aan te geven waar men binnen de organisatie terecht kan met vragen of verzoeken. Hierbij kan het een praktische oplossing zijn om een kopie van de stukken, of een uitdraai van de computergegevens te verstrekken.

De privacywet heeft als uitgangspunt dat het bijhouden van ‘bijzondere gegevens’ verboden is. Hieronder wordt verstaan: informatie over godsdienst of levensovertuiging, etnische herkomst, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, of strafrechtelijke gegevens uit veroordelingen, arrestaties of processen-verbaal.

De reden hiervoor is dat ervan wordt uitgegaan dat er bij bijzondere gegevens grotere privacyrisico’s bestaan. Om praktische redenen mag werkgever echter wel van bijzondere gegevens gebruik maken. Zo kan het belangrijk zijn om te weten dat iemand vanwege zijn godsdienst prijs stelt op bijzondere voorzieningen zoals een gebedsruimte. Of vanuit medisch oogpunt gebonden is aan speciale voedingsvoorschriften.

Zorg voor toestemming (zie 4.1). Bij strafrechtelijke gegevens die worden gebruikt ter bescherming van het bedrijf, ligt het vragen van toestemming echter niet voor de hand. In dit soort gevallen is toestemming dan ook niet nodig.

De informatiebeveiliging (5.2) verdient extra aandacht bij het gebruik van bijzondere gegevens. Met name is een goed ‘need to know-beleid’ belangrijk. Zo hoeft een bedrijfskantine alleen maar te weten dat iemand geen varkensvlees eet (geen bijzonder gegeven), en niet de reden daarvoor, hoewel de werkgever hiervan wel op de hoogte kan zijn.

Tijdens een sollicitatieprocedure blijkt dat iemand last heeft van zijn rug. De werkgever vraagt of de informatie mag worden opgenomen in het personeelsdossier, zodat hiermee bij de inrichting van de werkplek rekening kan worden gehouden.

Andere wetten: medische informatie

Ook andere wetten kennen beperkingen op het gebied van bijzondere gegevens. Zo mag vanwege de Wet op de Medische Keuringen, een werkgever alleen nog maar een aanstellingskeuring verlangen als voor de functie bijzondere medische eisen worden gesteld. De Wet Gelijke Behandeling brengt met zich mee dat zwangerschap geen rol mag spelen in een sollicitatieprocedure.

Uitwisseling van personeelsinformatie tussen bedrijven binnen de Europese Unie is onbeperkt mogelijk, zolang de regels uit 4 t/m 6.1 in acht worden genomen. Buiten de EU is een ander verhaal, en is pas toegestaan als:

1. uitwisseling nodig is voor de totstandkoming van een arbeidsovereenkomst;
2. uitwisseling essentieel is voor de naleving van de arbeidsovereenkomst;
3. de werknemer zijn ondubbelzinnige toestemming heeft gegeven.

Een werknemer die bij een multinational in dienst treedt, gaat in de arbeidsovereenkomst akkoord met het feit dat zijn gegevens mogelijk ook bij de buitenlandse (niet-Europese) vestigingen terecht komen.

Als hiervan geen sprake is, is uitwisseling met landen buiten de EU nog steeds toegestaan als de werkgever zich er tenminste van kan vergewissen dat er sprake is van een ‘passend beschermingsniveau’. Hij heeft dit op grond van de omstandigheden zelf te beoordelen.

Daarnaast kan ook de Minister van Justitie bepalen in welke gevallen er voldoende privacybescherming wordt geboden. Dit gebeurt in Europees verband, zoals bijvoorbeeld de safe harbor-regeling, die speciaal is gemaakt voor het gegevensverkeer met de Verenigde Staten. De werkgever hoeft het beschermingsniveau dan niet meer zélf te onderzoeken.

In de vorige paragrafen werd besproken hoe de privacywet vanuit werkgeversperspectief optimaal wordt nageleefd. Hierbij wordt een hoog niveau van privacybescherming geboden. Het is dan ook volkomen legitiem om de bedrijfsinspanningen hiertoe te beperken.

Dat neemt niet weg dat er redenen kunnen zijn om vrijwillig extra maatregelen te nemen als dit bijdraagt aan, bijvoorbeeld, een grotere winstverwachting, een beter imago, een betere werksfeer en/of meer duidelijkheid over de (juridische) situatie.

Extra maatregelen kunnen op vele manieren totstandkomen: van feitelijk handelen - al dan niet op (mondelinge) instructie - tot formele, op schrift gestelde collectieve afspraken met de werknemers. In alle gevallen gelden er geen bijzondere eisen, zolang er maar geen wettelijke regels worden overtreden (zie 8.2 over de ondernemingsraad!). Ten behoeve van de duidelijkheid, kan het nuttig zijn om de extra maatregelen op schrift te stellen via bedrijfsregelingen, protocollen - welke naam er ook aan wordt gegeven. Wees bij het opstellen hiervan kort, helder, praktisch en evenwichtig.

De term gedragscode wordt in de privacywet gereserveerd voor aanvullende privacyregelingen, die vooral op brancheniveau kunnen worden vastgesteld. Op verzoek kan het GBP (9.2) verklaren dat zo’n gedragscode in overeenstemming is met de wet.

De term reglementen herinnert aan de tijd dat de overheid verplicht was om privacyreglementen op te stellen. Dit kreeg vrijwillige navolging binnen sommige branches. Tegenwoordig bestaat er echter geen reglementsplicht meer. Ook is het niet vanzelfsprekend dat de bedrijfsreglementen nog passen in de huidige privacywet. Deze moeten dan ook goed tegen het licht worden gehouden, rekening houdend met de hierboven gegeven overwegingen voor het nemen van extra maatregelen.

Een regeling zou betrekking kunnen hebben op het controleren van internet-surfgedrag door werknemers. Bijvoorbeeld; een werkgever wil in zijn bedrijf het internetgebruik stimuleren, maar er ook zeker van zijn dat die vrijheid niet wordt misbruikt. Hij neemt daarvoor de volgende maatregelen:

Anonimiseren

Strikt genomen valt het anonimiseren door de systeembeheerder onder de privacywet (zie 3.2). In dit stadium is immers nog wel sprake van persoonsgegevens, maar tegelijkertijd worden deze van hun identificerende eigenschappen ontdaan. Vandaar dat er van mag worden uitgegaan dat de privacywet geen effect heeft zolang de gegevens ook werkelijk anoniem blijven. Bedenk hierbij dat wanneer de werkgever, zonder dat de geanonimiseerde lijst hiertoe aanleiding geeft, toch de identiteit van een werknemer achterhaalt, hij in strijd met zijn eigen afspraak handelt en hierop kan worden aangesproken.

Bij het opstellen van de lijst, moet er steeds goed op worden gelet dat de identificerende gegevens voor de werkgever onzichtbaar blijven. De systeembeheerder die toegang heeft tot alle gegevens over internetgebruik, dus ook de persoonsgegevens, behoort zich daarom goed van zijn privacyverantwoordelijkheden bewust te zijn. Ook hierover moeten binnen het bedrijf duidelijke afspraken worden gemaakt. Mogelijk zijn er ook technische oplossingen denkbaar (privacy enhancing technologies).

Een werkgever en systeembeheerder spreken duidelijk de privacyverantwoordelijkheden op ICT-gebied af.

In de wet staat dat ondernemingen of brancheorganisaties vrijwillig privacyfunctionarissen kunnen aanstellen. Zo’n privacyfunctionaris is een wettelijk beschermde privacy-inspecteur; iemand die binnen het bedrijf of binnen de sector er toezicht op houdt dat de wettelijke voorschriften en eventuele extra opgestelde regelingen wel goed worden nageleefd. Werknemers kunnen zich bij hem beklagen, of een verzoek tot hem richten. Treft een functionaris onregelmatigheden aan, dan moet hij de werkgever adviseren over de te nemen maatregelen, eventueel in overleg met het CBP.

De aanstelling van een privacyfunctionaris heeft als voordeel dat bedrijven het gebruik van persoonsgegevens kunnen aanmelden bij iemand die bekend is met de organisatie, in plaats van bij het CBP (zie ook 5.1). Ook heeft het CBP toegezegd om bij haar onderzoeken (9.2) meer terughoudendheid te betrachten, mocht blijken dat een bedrijf een privacyfunctionaris heeft aangesteld.

Maar in essentie wordt voorzien in dubbel toezicht, want het CBP blijft als toezichthouder volledig bevoegd. Bovendien opereert een privacyfunctionaris onafhankelijk van de werkgever. Hij heeft recht heeft op toegang tot alle systemen waar mogelijk gegevens worden verwerkt en geniet dezelfde ontslagbescherming als een lid van de ondernemingsraad.

Het is maar vraag of een privacyfunctionaris voor bedrijven voldoende meerwaarde heeft. Mocht een werkgever zo iemand willen aanstellen, valt ook te overwegen om een privacycoördinator te benoemen: iemand die op voldoende hoog management-niveau verantwoordelijk is voor de privacykwaliteitszorg binnen de onderneming. Omdat de privacycoördinator niet wettelijk geregeld is, biedt deze figuur méér flexibiliteit.

Privacy-audits zijn controles aan de hand van checklijsten waarin de verplichtingen uit de privacywet op een rijtje zijn gezet. Hiermee kan men zelf, of met behulp van een onafhankelijke deskundige (externe auditor), nagaan of wordt voldaan aan de wettelijke verplichtingen. Net als bij de voorgaande maatregelen, is ook het uitvoeren van zo’n controle niet verplicht.

Bij een privacy-audit, wordt het bedrijf technisch-procedureel doorgelicht. Hierbij is van belang of de beoordeling plaatsvindt op basis van de minimumeisen (4 t/m 6), of ook op basis van extra genomen maatregelen, zoals die in dit hoofdstuk worden besproken (zie met name 7.1). Hierover moet duidelijkheid bestaan voordat een audit wordt uitgevoerd.

De vraag of een bedrijf ‘goed’ of ‘slecht’ privacybeleid voert, is met een audit nog niet meteen beantwoord. Goed werkgeverschap vraagt om een bredere inschatting (vgl. de rechtmatigheidstoets in 9.1). Bij een goede audit-rapportage wordt hiermee rekening gehouden.

Een werkgever kan gebruik willen maken van technische voorzieningen om werknemers te controleren. Hierbij valt bijvoorbeeld te denken aan camera’s, telefonisch meeluisteren of het controleren van e-mail en internet-surfgedrag van werknemers, waarop hierna dieper wordt ingegaan. Bedenk dat steeds moet worden voldaan aan de eisen van hoofdstukken 4 t/m 6, en dat soms ook de ondernemingsraad moet worden betrokken (8.2).

Videocamera’s

Bij camera’s moet steeds goed in de gaten worden gehouden of personen gemakkelijk kunnen worden geïdentificeerd. Bij controle van werknemers zal dit weliswaar al snel het geval zijn, maar er zijn situaties denkbaar waarin personen onherkenbaar blijven (3.2).

Een camera registreert dat iemand over een bedrijfsterrein loopt, zonder at de persoon in kwestie kan worden herkend. De privacywet is niet van toepassing.

Het is een kwestie van fatsoen om camera’s zichtbaar te installeren. Verborgen camera’s kunnen echter ook nodig zijn. Bijvoorbeeld omdat er veel gestolen wordt en verborgen camera s nodig zijn om boosdoeners op heterdaad te betrappen. Niet onbelangrijk is dat de rest van het personeel zo gevrijwaard blijft van verdenking.

Werknemers moeten weten waar zij aan toe zijn. Bij verborgen camera’s is het een prima methode om bordjes te plaatsen met de mededeling dat er binnen het bedrijf videobewaking plaatsvindt. Ook moet duidelijk worden gemaakt waar géén videobewaking plaatsvindt (bijvoorbeeld niet in het bedrijfsrestaurant of op de toiletten), zodat werknemers zich ook onbespied kunnen voelen.

Voor zover videobeelden onder de privacywet vallen, moet met name rekening worden gehouden met de wettelijke kwaliteitseisen van 5.2, met name de bewaartijden. Een veel gestelde vraag is hoe lang videobeelden mogen worden bewaard.

Hier bestaan veel misverstanden over. In de praktijk worden beelden vaak een week bewaard. Maar als fraude bijvoorbeeld kan worden opgespoord met videobeelden van twee weken oud, is twee weken een betere oplossing. Met andere woorden, zowel doelstelling (4.2) als effectiviteit gelden als maatstaf.

Meeluisteren aan de telefoon

De werkgever kan er om uiteenlopende redenen behoefte aan hebben om met telefoongesprekken van werknemers mee te luisteren of deze op te nemen (call monitoring):

• training en begeleiding;
• individuele beoordeling;
• bewijs van telefonische transacties;
• beheersing van telefoonkosten en tegengaan privé gebruik;
• opsporing van fraude.

Werknemers moeten goed worden geïnformeerd waarvoor en op welke wijze de controle plaatsvindt (en wat er niet met de gegevens gebeurt). Hierbij hoeft niet op alle details te worden ingegaan. Zo volstaat het om bijvoorbeeld in een bedrijfsregeling of arbeidsovereenkomst voor een callcenter, de mededeling op te nemen dat steekproefsgewijs wordt meegeluisterd om de prestaties van de werknemer te kunnen beoordelen.

Een werkgever wil weten of zijn klanten behoorlijk te woord worden gestaan voor de telefonische helpdesk-diensten die hij aanbiedt. De privacywet verbiedt niet dat hij soms meeluistert met de telefoongesprekken van zijn werknemers, en zijn conclusies vastlegt voor toekomstige functioneringsgesprekken. Wel behoren de werknemers hierover voldoende te worden geïnformeerd. En voorkom dat feiten omstreden worden. Een voorval kan bijvoorbeeld snel vergeten zijn zodat het misschien zaak is om een werknemer kort na een voorval, hierop aan te spreken.

Als een gesprek wordt opgenomen, kan dat in ieder geval worden bewaard totdat die beoordeling ook werkelijk heeft plaatsgevonden (en ook langer als het materiaal moet worden gebruikt als bewijs in een juridische procedure of bij een klacht).

Internetgebruik en e-mail

Voor het controleren van internetgebruik en e-mail gelden dezelfde redenen en regels als bij het telefonisch meeluisteren. In 7.2 werd bovendien al aangegeven hoe de techniek goede oplossingen kan bieden. Dat werkgevers eerst een ‘dringende reden’ moeten hebben, voordat zij mogen overgaan tot het controleren van internetgebruik en e-mail - zoals wel wordt beweerd - berust op een misverstand.

Wat ook wel voorkomt zijn discussies over het briefgeheim, wat doorgaans nogal overtrokken is. Natuurlijk is het wél zo dat een goed werkgever uit respect voor dit beginsel, voorzichtig met privé-mail moet omgaan. Het verdient aanbeveling om hierover via een regeling duidelijkheid te verschaffen (zie voor een modelregeling: www.vno-ncw.nl/privacy/intern).

De Wet op de Ondernemingsraden verdient bijzondere aandacht. Deze geeft ondernemingsraden een instemmingsrecht bij de invoering van systemen om werknemers technisch te controleren. Overleg met de ondernemingsraad kan leiden tot op maat gesneden (ieder bedrijf is verschillend), evenwichtige oplossingen. Bovendien past overleg in het kwaliteitsbeleid en de open vizier-aanpak (5.1).

Overleg met de ondernemingsraad is bijvoorbeeld nodig voor een toegangscontrolesysteem met magneetpasjes. Ook in bredere zin biedt overleg met de ondernemingsraad, die hiertoe trouwens het initiatief mag nemen, voordelen. Zo wordt immers draagvlak gecreëerd bij het personeel, hoewel het feit dat een ondernemingsraad ergens mee instemt, nog niet meteen wil zeggen dat ook individuele werknemers akkoord zijn.

In de praktijk komt het voor dat ondernemingsraden vragen om het beleid in een reglement vast te leggen. Zoals in 7.1 werd uitgelegd, is de werkgever hiertoe niet verplicht. Het vastleggen van privacybeleid kan echter wel nuttig zijn: de afspraken bieden immers zekerheid aan zowel de werkgever als de werknemers.

De meest werkbare aanpak is waarschijnlijk om met de ondernemingsraad tot raamafspraken te komen: als het de bedoeling is om een systeem te gebruiken voor het controleren van werknemers, zal daarmee binnen het bedrijf volgens een afgesproken protocol worden omgegaan. ICT-toepassingen die hiervoor niet zullen worden gebruikt, passen dus niet binnen de afspraken.

In principe zijn pc's die zijn aangesloten op een netwerk, te gebruiken om werknemers te controleren. Als zoiets niet in de bedoeling van de werkgever ligt, is het ook niet zinvol om overleg te voeren over het gebruik van pc's voor controledoeleinden.

In deze brochure is aangegeven hoe de werkgever op een behoorlijke en zorgvuldige manier met zijn personeelsgegevens kan omgaan, en daarbij ook de privacywet naleeft. Maar de praktijk is nog wel eens weerbarstiger dan de theorie. Ook goed privacybeleid kan stranden op de realiteit dat de wereld niet perfect is, en dat waar mensen werken soms fouten worden gemaakt.

Mocht dit tot discussie leiden, kan het beste zo snel mogelijk binnen het bedrijf naar een voor iedereen bevredigende oplossing worden gezocht. Als dat niet mogelijk is, kan de zaak voor de rechter komen, mogelijk vergezeld van veel negatieve publiciteit. De werknemer kan dan schadevergoeding eisen (de werkgever is aansprakelijk voor schade door niet-naleving van de privacywet).

Rechtmatigheidstoets

De rechter zal onderzoeken of er inderdaad sprake is van geleden schade, en of dit komt door verwijtbaar onrechtmatig handelen door de werkgever. Cruciaal is de vraag of werkgever en werknemer zich op een behoorlijke wijze hebben gedragen. De privacywet is hierbij een belangrijke maatstaf, maar de rechter zal de situatie in z’n geheel willen beoordelen, en dus ook kijken naar andere factoren die een rol hebben gespeeld.

Een werknemer lijdt schade door het uitlekken van zijn gegevens. Hij beklaagt zich bij de rechter over het feit dat de informatiebeveiliging ontoereikend was. Uit onderzoek blijkt dat de getroffen maatregelen toch in overeenstemming waren met wat volgens de privacywet van een goed werkgever mag worden verwacht (zie ook 5.2). De werkgever is niet aansprakelijk.

Behalve de rechter, speelt ook het College Bescherming Persoonsgegevens (CBP - voorheen de Registratiekamer) een prominente rol. Het CBP is aangewezen als toezichthouder op de naleving van de privacywet. In dat kader is deze instelling bevoegd om ‘ambtshalve of op verzoek’ een onderzoek in te stellen bij het bedrijf.

Als het CBP van oordeel is dat in strijd met de wet wordt gehandeld, heeft zij de bevoegdheid om in te grijpen en boetes op te leggen. Zo kan het CBP, wanneer niet wordt voldaan aan de aanmeldingsverplichting, een boete opleggen van maximaal 10.000 gulden. Naast de boete bestaat ook hier het risico van negatieve publiciteit.

In enkele gevallen kan het CBP een voorafgaand onderzoek verlangen. In de tijd die zo’n onderzoek in beslag neemt (maximaal 13 weken), mag het onderzochte systeem niet gebruikt worden. Of voorafgaand onderzoek nodig is, moet het CBP binnen vier weken na de melding (5.1) laten weten.

Naast het wettelijk toezicht, wil het CBP ook nadrukkelijk ondersteunend te werk gaan. Zo kan voor bemiddeling op het CBP een beroep worden gedaan, verleent het advies en publiceert het regelmatig rapporten waarin wordt aangegeven hoe het CBP tegen bepaalde ontwikkelingen aankijkt.

Laatste woord aan de rechter

Bij al haar activiteiten opereert het CBP primair vanuit het belang van handhaving van de privacywet. Hierbij behoort altijd voldoende rekening te worden gehouden met de bedrijfsbelangen. Werkgevers die het gevoel hebben dat het CBP hen tekort doet, doen - zo werd duidelijk aangegeven bij de behandeling van de privacywet in de Tweede Kamer - er verstandig aan om naar de rechter te stappen.

Deze brochure is een praktijkhandleiding voor het management. Meer gedetailleerde informatie zoals model-gedragscodes voor het bedrijfsleven, is beschikbaar via de websites van AWVN en VNO-NCW.

Voor de leden van FME-CWM is de gedragscode beschikbaar via de FME-CWM helpdesk: 0900 821 21 91.

AWVN Postbus 568 2003 RN Haarlem telefoon: 023 510 11 01 fax: 02 3-510 11 00 e-mail: info@awvn.nl internet: www.awvn.nl	FME-CWM Postbus 190 2700 AD Zoetermeer telefoon: 079 353 11 00 fax: 079 353 13 65 e-mail: com@fme.nl internet: www.fme.nl
VNO-NCW Postbus 93002 2509 AA De Haag telefoon: 070 349 03 49 fax: 070 349 03 00 e-mail: informatie@vno-ncw.nl internet: www.vno-ncw.nl/privacy/intern	College Bescherming Persoonsgegevens Postbus 93374, 2509 Al Den Haag telefoon: 070 381 13 00 fax: 070 381 13 01 e-mail: mail@cbpweb.nl internet: www.cbpweb.nl

Ook zijn er nuttige documenten beschikbaar via de website van het Ministerie van justitie: www.minjust.nl

De Vereniging FME-CWM is de bedrijfstakorganisatie voor de metaal-, kunststof-, elektronica- en elektrotechnische industrie. De 2.850 aangesloten bedrijven hebben een gezamenlijke jaaromzet van 75 miljard gulden (waarvan 50 miljard uit export) en bieden werk aan ruim 300.000 personen.

Bij FME-CWM zijn 145 brancheorganisaties gehuisvest. De Vereniging FME-CWM heeft regionale kantoren in Apeldoorn, Barendrecht, Haren (Gn), Tilburg en Uithoorn.

De werkgeversvereniging AWVN behartigt de belangen van en adviseert werkgevers in de marktsector op sociaal-economisch gebied. Namens 850 leden-ondernemingen en 65 bedrijfstakorganisaties is de AWVN betrokken hij de totstandkoming van 500 CAO’s in de industrie, commerciële dienstverlening, handel en not-for-profitsector

De Vereniging VNO-NCW is de grootste centrale ondernemingsorganisatie van Nederland. Zij behartigt de gemeenschappelijke belangen van 150 brancheverenigingen met hun ruim 80.000 aangesloten ondernemingen.

De vijf bij VND-NCW aangesloten regionale werkgeversverenigingen en Jong Management vertegenwoordigen 8.500 persoonlijke leden.

VNO-NCW representeert 80 procent van de werkgelegenheid in de marktsector.

Deze brochure is tot stand gekomen in samenwerking met Singewald Consultanta Group. De tekst van deze brochure is afgestemd met het College Bescherming Persoonsgegeven.

andere brochures links

Hoewel hij de samenstelling van deze brochure grote zorgvuldigheid is betracht, kunnen de makers geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede) gebaseerd zijn op de informatie in deze brochure.