Do's & don'ts
De Nederlandse privacytoezichthouder, het College Bescherming Persoonsgegevens (CBP), heeft ter gelegenheid van de Data Privacy Day een aantal ‘do’s & don’ts’ gepresenteerd, zo is te lezen op de website van het CBP. Aanleiding hiervoor is het feit dat uit een reeks onderzoeken van het CBP is gebleken dat veel werkgevers onzorgvuldig met personeelsgegevens omgaan. “In deze tijden van hoge werkloosheid zijn werknemers nog meer dan anders afhankelijk van hun werkgever. De werkplaats is echter geen vrijplaats, het grondrecht op de bescherming van persoonsgegevens geldt ook op de werkvloer”, aldus Jacob Kohnstamm, voorzitter van het CBP. Het CBP geeft drie onderwerpen speciale aandacht:
1. Medische gegevens
“Het CBP constateerde bij een bedrijf dat het zijn medewerkers opriep om medicijndoosjes af te geven om zo te controleren of sprake is van medicijngebruik dat de rijvaardigheid beïnvloedt. Alleen de bedrijfsarts mag vragen naar medicijngebruik. Een ander bedrijf vroeg de medewerkers bij de ziekmelding om welke ziekte het ging en de oorzaak daarvan. Werkgevers mogen echter geen medische gegevens van hun personeel verwerken. Medische gegevens zijn per definitie privacygevoelig en voor het verwerken daarvan gelden extra wettelijke eisen. Een werkgever mag alleen vragen naar de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is om te bezien welke mogelijkheden er voor het doen van (andere) werkzaamheden zijn.”
2.Cameratoezicht
“In een ander onderzocht geval werden werknemers aangesproken naar aanleiding van beelden van beveiligingscamera’s. Dit is in strijd met de wet. Als een werkgever camera’s inzet voor de beveiliging van werknemers en/of bezittingen, dan mag hij de beelden hiervan niet gebruiken om medewerkers aan te spreken of te beoordelen op hun functioneren. De beelden mogen in principe alleen worden gebruikt voor het doel waarvoor ze zijn gemaakt.”
3. Screening, internet en social media
“Een werkgever beoordeelde medewerkers op het feit of zij al dan niet een (bijgewerkt) LinkedIn profiel hadden. Het bedrijf had hiervoor echter geen legitieme reden en handelde daardoor in strijd met de wet. Een werkgever kan een werknemer niet verplichten hun persoonsgegevens op een sociale netwerksite te plaatsen.”
Andere privacy-aspecten
Naast voornoemde onderwerpen is er nog een aanzienlijk aantal privacy-aspecten waaraan uw onderneming dient te voldoen. Gedacht kan worden aan regelgeving met betrekking tot welke informatie mag worden verzameld en voor welke doeleinden, aan welke personen/partijen de informatie mag worden verstrekt, de wijze van beveiliging van informatie et cetera. Het belang van het op de juiste wijze voldoen aan privacy-wetgeving lijkt in sneltreinvaart een actueel thema te worden bij ondernemend Nederland. Wellicht nog eerder ingegeven door het door het grote afbreukrisico bij negatieve publiciteit dan door de boetebevoegdheid van het CBP…(die ook niet mals is). Wij helpen u graag “compliant” te zijn.
Vragen?
Heeft u vragen over privacy, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.