Privacywet en ict: bescherm de werknemers

De privacy van werknemers staat onder druk. De ondernemingsraad heeft instemmingsrecht bij de invoering van ict-systemen die persoonsgegevens verwerken. De invoering van de privacywet AVG helpt om de kwaliteit van de medezeggenschap te verbeteren.

Eind mei vervangt de Algemene Verordening Gegevensverwerking (AVG) de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp). Een leek zal tussen beide wetten weinig verschillen zien. Privacy-principes als transparantie en evenredigheid zijn niet veranderd.

Wat privacybescherming betreft is het speelkwartier wel voorbij
Wat de organisatie moet doen om deze principes toe te passen wordt in de AVG echter viel dieper uitgewerkt. Wat betreft de privacybescherming is het speelkwartier nu wel voorbij, ook na de invoering van de meldplicht datalekken, plus de bevoegdheid van de Autoriteit Persoonsgegevens (AP) om hoge boetes op te leggen.
De evaluatie van de Wbp had indertijd de titel Wat niet weet wat niet deert.
De belangrijkste vernieuwing ten opzichte van de Wbp is, dat de werkgever moet kunnen aantonen dat de AVG wordt nageleefd. ‘Accountability’ heet dat.

De meeste gegevens in ict-systemen zijn persoonsgegevens
De Wbp stamt uit een tijd dat de ondernemingsraad zich vooral zorgen maakte over persoonsgegevens in HR-systemen, aanwezigheidsregistratie, al dan niet verborgen camera’s en het opnemen van telefoongesprekken. De ict-context is in al die jaren compleet veranderd.
Ten eerste zijn tegenwoordig vrijwel alle werkprocessen gedigitaliseerd. Door de koppeling aan accounts of email-adressen zijn de meeste gegevens in al die systemen ook persoonsgegevens. Want persoonsgegevens zijn alle gegevens die kunnen worden gerelateerd aan een direct of indirect identificeerbare persoon. Ook al omdat vanwege informatiebeveiliging alle ‘acties’ worden gelogd, vastgelegd.
Aanwezigheid, gedrag of prestaties kunnen zo worden gevolgd. In sommige systemen is dat ook het uitdrukkelijke nevendoel (tracing & tracking, bijvoorbeeld van het vastleggen van alle klikken in een digitale nieuwsbrief). Bijna alle digitale systemen vallen hiermee onder de Wbp en straks de AVG, maar ook onder het instemmingsrecht van de ondernemingsraad. Dat is een natuurlijk een uitdaging.

Steeds meer applicaties worden uitbesteed aan derden
Ten tweede worden steeds meer applicaties, programma’s voor eindgebruikers, uitbesteed aan derden in de ‘cloud’. De verwerking van gegevens draait dan op standaard-software en servers van de dienstverlener via het internet.
Cloudcomputing brengt nieuwe risico’s met zich mee; welke toeleveranciers worden door de dienstverleners ingeschakeld? In welk land staan de servers (de USA?). Wat doet de service provider nog meer met de gegevens? Worden er cookies gebruikt? Is er een privacyverklaring en wat staat erin?
Als derde en laatste noemen we hier de ontwikkeling van systemen voor netwerkbeheer en netwerkbeveiliging. Tegen de achtergrond van het toenemende gevaar van cybercrime is het logisch dat apparatuur en software en daarmee indirect de gebruikers nauwkeurig worden gevolgd. Sommige systemen leggen gedetailleerd vast welke websites worden bezocht, ook als deze niet geblokkeerd zijn (‘blacklisting).

Voorbeeld: declaraties van uitgaven
Een goed voorbeeld van de explosie van verwerkingen is te zien bij de declaraties van privé-uitgaven aan de werkgever in grote internationale ondernemingen. Bij het betalen in het buitenland gebruikt de werknemer hiervoor een verplichte company card (bv van AMEX). Vervolgens wordt de uitgave verwerkt in een onkosten-managementsysteem.

Om alle zakelijke onkosten goed te kunnen managen worden deze gegevens ook nog verwerkt in analysesoftware (‘Business Intelligence’) waarin verschillende databronnen worden gecombineerd. Ook de eerste stappen op weg naar Big Data voor HR worden al gezet, vooral in de sfeer van werving & selectie.

Werkgever mag niet alles
Werkgevers hebben toch het recht om persoonsgegevens te verwerken? Ja en nee. Soms is de verwerking wettelijk verplicht, soms noodzakelijk voor de uitvoering van het arbeidscontract. Voor HR- en andere bedrijfssystemen is verwerking alleen toegestaan als er een gerechtvaardigd belang is met een welbepaald en uitdrukkelijk omschreven doel.
En dan alleen als de verwerking in balans is met het privacybelang van de werknemer en er geen alternatief is dat minder sterk op de privacy ingrijpt. Het recht van de werkgever om persoonsgegevens van werknemers te verwerken is dus gelimiteerd.
Ook de werknemer mag een redelijke verwachting van privacy hebben. De grens tussen zakelijk en privé wordt daarbij steeds vager, bijvoorbeeld door zakelijk gebruik van privé-telefoons en laptops (‘bring-your-own-device’). Zonder dat je het in de gaten hebt, wordt soms opgeslagen wanneer en waar de laptop is uitgezet.

Nevengebruik van applicaties
In verreweg de meeste gevallen roept het primaire doel van een applicatie niet veel discussie op. Veel applicaties zijn handig, maken andere overbodig en maken goede rapportages en kunnen zelfs de privacy verbeteren, doordat de toegang tot de gegevens gecontroleerd plaatsvindt.
Twee ontwikkelingen maken het lastig de privacy te beschermen.
De eerste is dat applicaties vaak veel meer kunnen dan wat het primaire doel van de organisatie vraagt. Naast algemene analyses (het primaire doel) kan dat ook zijn het gedetailleerd volgen van de acties van de gebruikers.
De tweede is dat databestanden (het nieuwe goud) worden gecombineerd en verder geanalyseerd.
Beide toepassingen staan op gespannen voet met dataminimalisatie en datascheiding.

Rol ondernemingsraad
Zoals bekend kan de ondernemingsraad via het instemmingsrecht een belangrijke taak vervullen om te toetsen of de kernbepalingen van de AVG worden nageleefd. En niet alleen of alles juridisch goed is geregeld (denk aan de contracten met de serviceproviders), maar ook of er een balans is tussen gerechtvaardigd belang en privacy.
Maar soms ontbreken bewaartermijnen, of wordt toestemming aan werknemers gevraagd (wat alleen bij hoge uitzondering mag).
Een prima hulpmiddel is de Privacy Impact Assessment (PIA), die in de AVG nu in een aantal gevallen verplicht door de verantwoordelijke gemaakt moet worden. Hierin worden nut en noodzaak getoetst en worden de belangrijkste risico’s genoemd plus de maatregelen om de risico’s te beperken.
De ondernemingsraad kan toetsen of de maatregelen afdoende zijn en worden uitgevoerd. Dat klinkt ingewikkelder dan het is. (Lees ook: ‘Or kan passende keuzes maken‘)

Tot slot
Privacybescherming is meer dan het voldoen aan de wettelijke regels en informatiebeveiliging. Het is niet vanzelfsprekend dat dit allemaal goed is geregeld, ook niet bij organisaties die de privacybescherming van werknemers belangrijk vinden.
Over de vraag wie wat kan en mag met de persoonsgegevens en hoe dit wordt geregeld, kan de ondernemingsraad echter uitstekend meepraten.

Bron: www.ornet.nl
Datum: 9 april 2018