Een terugblik op 2016: persoonsgegevens in de arbeidsrelatie

Article

Een terugblik op 2016: persoonsgegevens in de arbeidsrelatie

Deel 1 van onze terugblik op de handhaving door de Autoriteit Persoonsgegevens naar aanleiding van haar toezichtsagenda 2016

De Autoriteit Persoonsgegevens (“AP”) - de Nederlandse toezichthouder die toezicht houdt op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens - heeft begin 2016 vijf thema’s op haar toezichtsagenda geplaatst. Eén daarvan is “persoonsgegevens in de arbeidsrelatie”. Het is de vierde keer op rij dat dit thema hoog op het lijstje staat bij de AP. Deze top-5 notering is niet zonder gevolgen gebleven: de AP heeft onderzoeken gedaan, verschillende beleidsregels gepubliceerd en de AP heeft zelfs een last onder dwangsom opgelegd.

Recente richtsnoeren AP

Heeft de AP het over “persoonsgegevens in de arbeidsrelatie” dan doelt zij bijvoorbeeld op de verwerking van persoonsgegevens over de gezondheid van zieke werknemers. De AP heeft daarover in april dit jaar beleidsregels gepubliceerd1. Hierin staan onderwerpen centraal als vragen over de gezondheid bij sollicitatiegesprekken, gegevensverwerking rondom aanstellingskeuringen en bij ziekmeldingen – bijna allemaal onderwerpen die iedere organisatie, van klein tot groot, aangaan en “in de kast” moeten staan bij elke HR-afdeling. Toch kan het nog steeds als een verassing komen dat het niet de bedoeling is om bestanden aan te leggen waarin de reden voor ziekmelding óók wordt geregistreerd – zelfs al is deze regel verre van nieuw.
Omdat rondom dit onderwerp veel vragen zijn ontvangen bij de AP, is op 15 november jl. een artikel gepubliceerd over het opslaan van medische dossiers in verzuimsystemen dat niet alleen de werkgever adresseert, maar ook de bedrijfsarts. Omdat een werkgever geen gegevens over de aard en oorzaak van de ziekte van zijn zieke werknemers mag verwerken, mag een bedrijfsarts of arbodienst de medische dossiers van werknemers ook niet opslaan in een verzuimsysteem dat de werkgever zelf gebruikt én beheert. Wél mag gebruik worden gemaakt van een (extern beheerd) verzuimsysteem dat de werkgever kiest. Let op: in dat geval moet een bewerkersovereenkomst worden gesloten met de beheerder van het verzuimsysteem2.
Naast deze uitgebreide richtsnoeren zijn antwoorden gepubliceerd op andere concrete vragen zoals “Mag een uitzendbureau een kopie van mijn identiteitsbewijs vragen als ik me inschrijf?” en “Wat mag de inlener of aannemer voor wie ik werk met mijn identiteitsbewijs doen?” – deze zijn te vinden op de FAQ pagina op de website van de AP.

Last onder dwangsom

De AP heeft tot slot meerjarig onderzoek gedaan naar twee grote spelers in de uitzendbranche. Zij bleken de Wbp stelselmatig met voeten te treden. Het ging daarbij niet om kleine overtredingen. Zo werd nagelaten om met maximale bewaartermijnen te werken, werden gezondheidsgegevens verwerkt zonder dat er een geldige uitzondering was op het verbod daarop en werden kopieën van identiteitsbewijzen gemaakt van mensen die slechts een intakegesprek met het bureau voerden, maar er nog niet voor werkten. Deze overtredingen, die deels standhielden zelfs na een formele waarschuwing van de AP, leidden bij één van de partijen tot de oplegging van een last onder dwangsom.

Uitdaging voor werkgevers: keeping up!

Ondanks, of juist dankzij, deze nieuwe bulk aan concretiseringen vanuit de AP ten behoeve van werkgevers en arbeidsbemiddelingsbureaus, blijkt het vaak lastig concreet de processen in te richten conform de wet- en regelgeving.

We noemen graag als voorbeeld de doorgifte van het Burgerservicenummer (“BSN”) in het arbeidsbemiddelingsproces. Daarbij zijn vaak twee of meer partijen betrokken: de uitlener, de doorlener en inlener. Stuk voor stuk hebben zij op grond van de Wet Keten Aansprakelijkheid de verantwoordelijkheid om belasting en premies af te dragen. Om primaire aansprakelijkheid te matigen moeten de betrokken partijen – uitlener, eventuele doorlener en inlener – een aantal gegevens, waaronder het BSN, opnemen in hun administratie. Ten minste, wanneer er sprake is van een werkgever-werknemer-relatie. En mogen de in-, uit- en doorlener het BSN dan onderling uitwisselen? Nee, het AP heeft hierop een het verbod van verwerking bevestigd. Dit verbod komt de werkbaarheid niet ten goede omdat de arbeidskracht vaak niet fysiek bij alle drie de partijen aanwezig is. Oplossingen als het (meerdere keren) laten invullen van de gegevens door de arbeidskracht – dus verkrijging van het BSN “bij de bron” - en contractuele afspraken tussen in-, door- en uitlener kunnen dan uitkomst bieden.

Dit zijn hele specifieke regels. En sommige spelers treden op in de hoedanigheid van uitlener, inlener én doorlener. Aangezien verschillende regels gelden voor elk van deze rollen is het van belang om in kaart te brengen welke regels voor welke hoedanigheid gelden. Daarnaast moet de vertaalslag worden gemaakt van regels naar praktijk: hoe kunnen deze regels worden omgezet in een werkbaar, beheersbaar en controleerbaar proces? We zien dat er in de praktijk meer behoefte ontstaat aan een sluitende en op de praktijk toegespitste “privacy dashboards” – het in één hanteerbaar overzicht zetten van alle rechten en plichten ten aanzien van bepaalde gegevensverwerkingen – zie ook de vlog 10 gouden regels voor dashboard design van onze Consulting collega’s

Meer weten over persoonsgegevens in de arbeidsrelatie?

Wilt u meer weten over persoonsgegevens in de arbeidsrelatie? Neem dan contact op met Marloes Dankert via + 31 (0)88 288 7437 en Marlieke Bakker via +31 (0)88 288 4830.

Vond u dit nuttig?

Gerelateerde onderwerpen