CIP Podcast - voor meer kennis over informatieveiligheid

Privacy in de Praktijk II, afl. 4: Personeel volgsystemen en privacy

May 17, 2022 Walter van Wijk
CIP Podcast - voor meer kennis over informatieveiligheid
Privacy in de Praktijk II, afl. 4: Personeel volgsystemen en privacy
Show Notes Transcript

Florianne Hamelink, senior legal consultant bij Considerati, is in deze podcast in gesprek met host Robin Rotman. Florianne legt uit dat er regels zijn om systemen in te richten, waarmee je medewerkers volgen of hun activiteiten registreren. Eén van de piketpaaltjes is ‘gerechtvaardigd belang’, maar er zijn en nog wel een paar. Haar advies: Als het minder ingrijpend kan, doe dat dan.

Personeelvolgsystemen en privacy

 

Waar moet je rekening mee houden bij het controleren van je werknemers?

ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman

en in deze podcast van het Centrum Informatiebeveiliging

en Privacybescherming bespreek ik met deskundigen

de meest interessante vragen rond privacy in de dagelijkse praktijk.

HAMELINK: Als 't minder ingrijpend kan, doe dat dan.

ROTMAN: Dat vind ik een mooie gelijk, Florianne Hamelink, om mee te beginnen.

Jij bent senior legal consultant bij Considerati. Zeg ik dat goed?

HAMELINK: Klopt helemaal. Ja.

ROTMAN: Het gaat over controleren van je werknemers.

Het zijn van die thema's waar ik zelf een beetje kriebelig van word.

Ik word gecontroleerd door de baas. Daar is m'n privacy in het geding.

Dus dat vind ik een spannend onderwerp. Toen ik me voorbereidde op dit gesprek

moest ik meteen denken aan personeelsvolgsystemen.

Ik denk dan: Oké, er wordt een dossier aangelegd van functioneringsgesprekken.

Maar het is eigenlijk meer dan dat als het gaat over privacy

en als het gaat over volgsystemen.

Kun je schetsen: Waar hebben we het over?

HAMELINK: Een personeelsvolgsysteem is eigenlijk een systeem of voorziening

waarmee je de prestaties of aanwezigheid van je werknemer kan controleren.

Daar zijn verschillende voorbeelden van.

Zo kun je denken aan track en trace in vrachtwagens bijvoorbeeld.

Of software waarop je kan zien hoe iemand z'n e-mail gebruikt

hoe vaak hij e-mails verstuurt of iets dergelijks.

En je zou kunnen denken aan een smartwatch

die uitgegeven wordt aan werknemers die bijvoorbeeld bepaalde metingen doen.

ROTMAN: Misschien ook mijn internetgebruik.

HAMELINK: Klopt. Ja, zeker, absoluut.

Ook je internetgebruik en natuurlijk ook...

Je kunt ook denken aan de meer traditionele vormen.

Het opnemen van telefoongesprekken

of het houden van cameratoezicht binnen een bedrijf.

ROTMAN: Wauw, dat is best... Ik vind dat...

Als ik dat zo hoor, denk ik van: Er mag dus van alles.

Ze mogen met camera's me in de gaten houden

en met ze bedoel ik dan de baas. Of misschien, ja...

En ze mogen dus kennelijk m'n mail in de gaten gaan houden.

Maar ik kan me zo voorstellen dat niet elke werkgever...

niet elke baas mag dit allemaal. Het moet waarschijnlijk functioneel zijn.

Dus als ik in dienst ben bij jou als vrachtwagenchauffeur

dan heeft het enige functie om te kijken of ik met die vrachtwagen

niet stiekeme ritjes voor m'n broer doe om hem te helpen verhuizen.

Dus dan is het ergens functioneel.

-Absoluut.

ROTMAN: Niet iedereen mag een tracker.

HAMELINK: Klopt. Er zijn punten

waar je rekening mee moet houden vanuit de privacywetgeving.

In de eerste plaats moet de werkgever een gerechtvaardigd belang hebben.

Dus inderdaad, jij noemde het al, hè:

een duidelijk doel eigenlijk waarom je een controle wil uitoefenen.

Daarbij moet je er rekening mee houden dat 't belang van die werkgever

zwaarder moet wegen dan het belang van de werknemers.

Moet je ook echt bewust en nauwkeurig afwegen.

Verder moet je je houden aan het noodzakelijkheidsvereiste.

Dus dat houdt in dat je beoordeelt of er middelen zijn

die minder ingrijpend zijn om de werknemer te controleren

of dat het op een andere manier kan.

Verder is het belangrijk dat je op voorhand het personeel informeert.

ROTMAN: Je mag het niet heimelijk doen.

-Nee, inderdaad.

Je moet wel goed de werknemers op de hoogte brengen

van het feit dat een dergelijke controle mogelijk is.

Wat ook belangrijk is, is dat je instemming moet vragen

bij de ondernemingsraad.

-OR moet ook meepraten.

HAMELINK: Klopt, ja.

Als je van plan bent om een personeelsvolgsysteem in te gaan zetten.

En tot slot is het noodzakelijk om een zogenaamde DPIA uit te voeren.

ROTMAN: Een DPIA, ja, ja, ja.

-Data Protection Impact Assessment

waarin je eigenlijk die onderdelen die ik net noemde nauwkeurig behandelt.

Dus je, ja, je bespreekt wat je grondslag is,

dus dat gerechtvaardigd belang komt aan de orde.

En nou, die noodzakelijkheidsvereiste.

Ook belangrijk is dat je in kaart brengt

wat de risico's zijn voor de betrokkenen.

ROTMAN: En ik hoorde in een gesprek dat ik heb gevoerd in deze serie:

Neem je gewoon je personeel mee bij die DPIA?

Gewoon alle stakeholders, betrokken, personeel?

Laat ze maar meedenken:

Oké, wij zijn van plan om inderdaad met camera's bepaalde personeels...

Op bepaalde plekken willen we de boel een beetje in de gaten houden.

Nou, neem je personeel mee, laat ze maar meepraten.

Vinden ze het spannend? Vinden ze het eng?

Dat is transparant eigenlijk, hè?

-Ja, dat is best wel een goeie

om daar eens onderzoek naar te doen hoe het personeel daarnaar kijkt. Ja.

ROTMAN: Moet je toestemming vragen aan je personeel?

Of is het meer: Je mag het niet heimelijk doen?

Als je een goeie overweging hebt, je hebt de OR meegenomen,

kan het als staand beleid en als personeel, je moet op de hoogte zijn

maar je hoeft niet per se toestemming te vragen.

HAMELINK: Nee, toestemming is ook een van de grondslagen van de AVG

net als gerechtvaardigd belang, maar dat kan hier niet van toepassing zijn

omdat het om een werknemer-werkgeverrelatie gaat.

Dus die toestemming kan nooit vrijelijk gegeven worden.

Dus daardoor moet je je beroepen op je gerechtvaardigd belang

en dat moet je nauwkeurig. afwegen zoals ik eerder noemde.

ROTMAN: En jij bent senior legal consultant bij Considerati, hè?

Op welke manier kom jij, zeg maar, in deze mix, zal ik maar zeggen?

Word jij betrokken door werkgevers van: 'Wij willen dit.

Wij hebben bepaalde problemen. Wij vinden het nodig

om het personeel op deze manier in de gaten te gaan houden.

Mag dit eigenlijk wel?' Wat is jouw rol?

HAMELINK: Ja, klopt, eigenlijk verschillende vormen van diensten

bieden wij aan.

We worden ook weleens gevraagd om bijvoorbeeld een DPIA op te stellen.

Of erbij te adviseren in de functie van interim DPO bijvoorbeeld.

Maar als consultant denk je mee over de grenzen van wat wel en niet kan.

En over de mogelijkheden ook.

ROTMAN: Ik kan me voorstellen dat je wordt ingeschakeld

door een werkgever die zegt van: 'Nou, wij willen dit.

Mag dit of wat zijn de grenzen van wat wel of niet mag?

Hoe gaan we dit vormgeven?'

-Ja.

ROTMAN: Ik kan me ook voorstellen dat je benaderd wordt door een ondernemingsraad

die dan zegt van: 'Oké, ze willen dit.

Kun jij ons helpen om te kijken of we de impact zo klein mogelijk kunnen maken

dat ze het wel een beetje doen, maar niet all in? Is dat ook wat jij doet?

HAMELINK: Nou, niet zozeer concreet, maar een DPIA bijvoorbeeld.

En een advies daarover.

Eh ja, onderdelen die je daaruit hebt gehaald,

die leg je ter instemming voor of het reglement.

En dan zou je wel daarbij een advies kunnen toevoegen

wat de risico's zijn aan de ondernemingsraad.

ROTMAN: Kun je zeggen dat met het oprukken van de technologie

en de digitalisering dat er steeds meer mogelijkheden komen

en dat het steeds trickier wordt? Dat het steeds...

HAMELINK: Absoluut, ja.

Dat denk ik wel, doordat er inderdaad meer mogelijkheden zijn.

Ook op het gebied van kunstmatige intelligentie

zijn er allerlei ontwikkelingen waarmee je mogelijk mensen kan monitoren.

Dus ik denk wel dat dat steeds verder zich ontwikkelt

en daardoor ook het belangrijk blijft om de privacy in acht te nemen.

ROTMAN: Wat denk jij eigenlijk als we over 20 jaar terugkijken op deze tijd?

We leven nu in 2022, dat we denken van:

Ach, toen hadden we nog privacy op de werkvloer.

Of blijven er krachten van:

'Ja, we hebben we hebben altijd een vorm van privacy.

Je mag heus wel eens een privémailtje sturen of zo.'

Hoe zie jij dat ontwikkelen? HAMELINK: Nou, het is zo dat je ook...

Privacy wordt niet gereduceerd tot nul op de werkvloer.

Op zich is het toegestaan om een privémailtje te sturen

of een privételefoontje te plegen

tenzij er duidelijk in een reglement is opgesteld dat dat expliciet niet mag.

Maar als dat niet zo is, dan ben je niet per se fout als je dat wel doet

af en toe een mailtje sturen, privé of telefonisch.

Maar je moet dat binnen de perken houden.

ROTMAN: Daar komt ook dat, hoe noemde je dat, rechtvaardig belang.

Je mag niet zomaar zeggen: Ik wil niet dat ze privémailtjes sturen.

Er is altijd een soort afweging in redelijkheid van:

Ja, als werkgever, je kan niet alles zomaar doen.

Je kan niet overal camera's gaan ophangen.

HAMELINK: Dat gerechtvaardigd belang zit meer

op het doel wat je wil bereiken met die ingreep, met die controle

en ja, in hoeverre dat belang wat je daarbij hebt zwaarder weegt.

ROTMAN: Heb je een concreet voorbeeld dat belangrijk is in de jurisprudentie?

Waaruit blijkt: Ja, zie je... Hier hebben we 't een beetje over.

HAMELINK: In 2017 is 'n uitspraak gedaan door het EHRM in de zaak Barbulescu

en daar ging het om een Roemeense man die bij een bedrijf werkte

en voor negen dagen gecontroleerd werd op zijn internetgebruik.

En daar kwam uit dat hij privéberichten stuurde naar familieleden

en daaropvolgend werd hij ontslagen.

Het Europees Hof van de Rechten van de Mens

heeft uiteindelijk geoordeeld dat vanwege het feit

dat die persoon niet op de hoogte was gesteld op voorhand

dat zo'n controle mogelijk was

dat hij daarom niet ontslagen had mogen worden.

En in die uitspraak is ook nog eens bevestigd

dat privacy niet volledig tot nul gereduceerd kan worden.

ROTMAN: Dus je hebt toch echt als werknemer...

Ja oké. Dus dat is een belangrijke.

Laten we kijken. Als je nou als werkgever hiermee rondloopt...

Dat je denkt van: Goh, ik vind dat ik goede redenen heb

om toch iets meer grip op mijn personeel te krijgen.

Wat nou de stappen zijn. Er zullen ongetwijfeld

wat juridische stappen zijn waar je aan moet voldoen.

Je moet inderdaad dus de OR erbij halen, die moet je inspraak geven.

Ehm, het mag sowieso dus niet heimelijk, hè.

Dus de mensen moeten op de hoogte zijn. 'Dit is het beleid.

Dit is hoe we met jou om wensen te gaan. Dit is wat we doen.'

HAMELINK: In sommige gevallen mag het heimelijk overigens,

maar om heel even terug te komen op de punten die jij net noemde

waar je rekening mee moet houden als werkgever.

Dat zijn dus de punten die ik net noemde uit de AVG.

Dat je een grondslag moet hebben, het gerechtvaardigd belang

en dat moet je heel goed onderbouwen.

Daarnaast moet je rekening houden met de noodzaak.

Dus ja, kan het ook op een minder ingrijpende manier?

Of zijn er andere middelen voorhanden om personen te controleren

of je doel te bereiken in ieder geval?

Ehm, ja, instemming van de OR noemde jij al.

Het op voorhand je personeel informeren.

En tot slot het opstellen van een DPIA.

Dat zijn punten waar je rekening mee moet houden.

Waar ook het privacyteam van je onderneming bij kan adviseren

of een consultant.

Ehm, en over het heimelijk controleren gesproken.

In sommige gevallen is dat wel mogelijk.

Eigenlijk naast dat je moet voldoen aan de vereisten die ik zonet noemde

moet je er ook rekening mee houden dat er een concrete verdenking moet zijn

van dat een werknemer fraude pleegt of een strafbaar feit pleegt.

ROTMAN: Mag ik je even onderbreken?

Heb je daar wat meer voorbeelden van? Fraude? Dat zijn de zaken.

Oké, nou, soms moet je gewoon je boel in de gaten houden.

Wat zijn redenen waardoor je zegt: Er ontstaat wel ruimte nu.

HAMELINK: Als jij het idee hebt dat iemand jouw bedrijfsgeheimen lekt

dat je daar aanleiding voor hebt om dat te denken.

Dus interne vertrouwelijke informatie

of bijvoorbeeld dat er diefstal wordt gepleegd

en dat je daarvoor een camera nodig hebt om dat te achterhalen.

Als je dat echt op geen andere manier kan achterhalen

dan zijn dat mogelijkheden. Ja.

ROTMAN: Als ik je zo hoor... Kijk, dit heeft voor mij...

Ik krijg hier een beetje jeuk van: Oh, de baas gaat mij in de gaten houden.

Het voelt altijd een beetje agressief ook.

'Ze pakken me m'n privacy af en ik ben niet meer...'

Het geeft een heel onveilig gevoel.

Is eigenlijk ook niet een hele belangrijke gewoon:

Haal je personeel er gewoon bij, man, ga gewoon met z'n allen in gesprek.

Wees transparant over je intenties. Anders krijg je zo'n wij-zijgevoel.

Dat willen we toch ook niet hebben?

-Dat is een goed punt.

Dat lijkt mij ook niet een hele prettige omgeving om in te werken

op het moment dat je weet dat elk moment je e-mail gecontroleerd kan worden.

En ik denk dat in sommige gevallen er best wel middelen zijn

waarbij je wel hetzelfde doel bereikt.

Bijvoorbeeld als jij wil weten wat jouw werknemer eigenlijk op een dag uitvoert.

Ja, dan kun je in theorie screenshots maken van z'n beeldscherm

of 'm via de webcam blijven volgen. Je kunt ook van tevoren afspraken maken:

'Ik wil dat je deze dag deze en deze taken uitvoert

en aan het einde van de dag bespreken we of dat gelukt is.

ROTMAN: Dat zeg ik. Je kan het ook vragen:

Wat heb je zitten doen de hele dag? Dan gaan ze in gesprek met elkaar.

HAMELINK: Ja. Dus dat, nee, dat is denk ik een belangrijke.

Als het minder ingrijpend kan, dan is dat altijd goed om te doen.

ROTMAN: Dat was een beetje de slogan waarmee je deze podcast aftrapt.

Als het minder ingrijpend kan, doe dat dan.

Dat is wat de AP ook eigenlijk zegt, hè. Kijk even of dit echt het middel is

de enige manier om erachter te komen. Dus in die zin is een belangrijke.

HAMELINK: Zeker. Dat is een van de eisen van de AVG.

ROTMAN: Precies. Het is een van de vereisten van de AVG,

maar het is ook gewoon voor het intermenselijke contact.

Op een menselijk niveau is het ook verstandig om op die manier te kijken:

Willen we zo met elkaar omgaan en kunnen we dit niet op een andere manier doen?

HAMELINK: Ja.

ROTMAN: En als mensen twijfelen of ze dit mogen doen?

Zullen we al laatste tip toevoegen: Florianne bellen bij twijfel?

HAMELINK: Heel goed idee. Ja, zeker weten.

ROTMAN: Oké, nou dat is dan Florianne Hamelink.

Senior legal consultant bij Considerati.

Dank je wel voor je tijd.

-Graag gedaan.

ROTMAN: Als je het interessant vindt,

luister dan andere afleveringen van Privacy in de Praktijk

en ga hiervoor naar cip-overheid.nl/uitgelicht.

Dank je wel.