Privacy van werknemers: Welke gegevens mogen werkgevers niet opvragen?

In ons digitale tijdperk is informatie de hoogste waarde. Ongeziene algoritmes volgen elke klik die we online maken om ons gedetailleerde portret te bouwen voor gerichte advertenties. Sociale media weten en kunnen meer over ons vertellen dan we willen toegeven. Zelfs onze werkgevers kunnen alles volgen wat we binnen de kantoormuren doen - en soms ook daarbuiten.

In 2022 verloor een Amerikaanse accountant zijn baan nadat hij had deelgenomen aan de World Naked Bike Ride. Zijn hobby had niets te maken met zijn carrière; hij was tijdens het fietsen niet aan het werk en plaatste geen foto's van zichzelf online. Toch besloot zijn baas hem te ontslaan nadat hij een bekend gezicht had gezien op de foto die door een andere deelnemer was geplaatst.

Dit geval is niet uniek. Werknemers kunnen uitgebreide gegevens verzamelen over hun werknemers, van elementaire contactgegevens en vroegere werkervaring tot gezondheidsinformatie en politieke standpunten. Het verzamelen van essentiële gegevens is noodzakelijk voor salarisadministratie, prestatiemanagement of andere legitieme zakelijke doeleinden. Het verzamelen van andere persoonlijke informatie en het nemen van managementbeslissingen op basis daarvan is illegaal en onethisch, maar waar ligt de grens?

Dit artikel probeert deze lijn te trekken en gaat in op de kritieke vraag welke gegevens werkgevers niet mogen verkrijgen. Uiteindelijk is het ons doel om een startpunt te bieden voor het begrijpen van de grenzen die werkgevers moeten respecteren bij het verzamelen van werknemersgegevens.

De grenzen van de gegevens die een werkgever mag verzamelen, worden bepaald door de privacy- en arbeidswetgeving. Deze wetten kunnen echter aanzienlijk verschillen van land tot land. In dit artikel gaan we kort in op een paar belangrijke rechtsgebieden. Om meer te weten te komen over de juridische bijzonderheden van jouw regio, raden we je aan om je advocaat te raadplegen.

Het is vermeldenswaard dat de meeste privacywetten niet specifiek betrekking hebben op het verzamelen van gegevens op de werkplek. In plaats daarvan stellen ze algemene eisen aan de omgang met persoonsgegevens, die later geïnterpreteerd moeten worden voor de relaties tussen werkgever en werknemer. In dit artikel beschrijven we deze wetten met de termen "werkgever" en "werknemer".

• Wet Portabiliteit en Verantwoording Gezondheidsverzekeringen (HIPAA) is de belangrijkste wet die gezondheidsinformatie van werknemers beschermt. De wet beperkt de toegang van werkgevers tot medische dossiers van werknemers en stelt dat deze alleen voor specifieke doeleinden en met toestemming van de patiënt gebruikt en openbaar gemaakt mogen worden.

• Wet voor gehandicapten (ADA) beschermt personen met een handicap tegen discriminatie. Deze wet beperkt ook de toegang van de werkgever tot medische informatie over werknemers. In het bijzonder kan de werkgever alleen medische informatie krijgen als deze werkgerelateerd is of als de werknemer specifieke aanpassingen voor zijn handicap nodig heeft.

• Fair Credit Reporting Act (FCRA) regelt hoe werkgevers kredietinformatie over werknemers verzamelen, gebruiken en openbaar maken. Werkgevers hebben over het algemeen een toegestaan doel (zoals een antecedentenonderzoek) en schriftelijke toestemming van de werknemer nodig voordat ze kredietinformatie kunnen verkrijgen.

• Wet op de arbeidsrelaties (NLRA) beschermt met name het recht van werknemers om werkomstandigheden met elkaar te bespreken, ook via sociale media. Het garandeert echter geen volledige privacy op sociale media en werkgevers kunnen enige speelruimte hebben om werknemers te straffen voor posts die als storend of bedreigend voor de werkomgeving worden beschouwd.

• Privacywet van 1974: Deze wet is voornamelijk van toepassing op de manier waarop federale instanties omgaan met persoonlijke informatie, maar biedt ook enkele inzichten. Het stelt principes vast zoals "eerlijke informatiepraktijken", die vereisen dat agentschappen transparant zijn over het verzamelen van gegevens en het gebruik ervan beperken tot legitieme doeleinden.

Dit zijn slechts enkele belangrijke regels met betrekking tot gegevensbescherming. Daarnaast zijn er enkele staatswetten, zoals de California Consumer Privacy Act (CCPA), die werknemers bepaalde rechten geven met betrekking tot het verzamelen van hun persoonlijke gegevens door werkgevers.

De General Data Protection Regulation, of GDPR, is de belangrijkste regelgeving voor gegevensbescherming en privacy in de EU. Het legt de lat hoog voor privacyrechten, beperkt de omvang van gegevens die werkgevers kunnen verzamelen en geeft werknemers aanzienlijke controle over hun gegevens die door werkgevers worden verzameld.

Hoewel GDPR niet duidelijk aangeeft welke persoonlijke gegevens wel en niet verzameld mogen worden, verplicht het werkgevers om zich te houden aan de principes van transparantie en noodzakelijkheid. Met andere woorden, ze moeten een geldige wettelijke basis hebben voor het verzamelen van elk type informatie, bijvoorbeeld contractuele noodzaak, veiligheid op de werkplek of prestatiebeoordelingen. Bovendien moeten werkgevers open zijn tegenover hun werknemers over welke gegevens worden verzameld, hoe ze worden gebruikt en hoe lang ze worden bewaard.

De GDPR verplicht werkgevers om passende technische en organisatorische maatregelen te nemen om werknemersgegevens te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging of vernietiging.

In het geval van een datalek dat een hoog risico inhoudt voor de rechten en vrijheden van werknemers, moeten werkgevers de relevante gegevensbeschermingsautoriteit en mogelijk getroffen personen op de hoogte brengen.

De Braziliaanse Lei Geral de Proteção de Dados (LGPD) is een recente uitgebreide privacywet die is gemodelleerd naar de GDPR en in 2020 van kracht wordt.

Net als GDPR geeft LGPD niet aan welke werknemersgegevens werkgevers niet mogen verzamelen. Het stelt echter wel een kader vast voor de manier waarop werkgevers persoonlijke gegevens van werknemers moeten verzamelen, gebruiken en opslaan. Werkgevers zijn verplicht om toestemming van werknemers te krijgen voor het verzamelen van hun gegevens. Ze mogen alleen gegevens verzamelen die strikt noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, het waarborgen van de veiligheid op de werkplek, het onderzoeken van wangedrag of andere legitieme zakelijke doeleinden. Ze moeten ervoor zorgen dat de verzamelde gegevens veilig worden opgeslagen en worden beschermd tegen ongeoorloofde toegang, bekendmaking, wijziging of vernietiging. Tot slot moeten werkgevers, in het geval van een datalek die een hoog risico inhoudt voor de rechten en vrijheden van werknemers, de Braziliaanse nationale autoriteit voor gegevensbescherming (ANPD) en mogelijk getroffen personen op de hoogte stellen.

Persoonlijke gegevens worden in China beschermd door de Personal Information Protection Law (PIPL). De PIPL definieert "persoonlijke informatie" ruim als alle gegevens waarmee een persoon kan worden geïdentificeerd, op zichzelf of in combinatie met andere informatie. Deze informatie omvat werknemersgegevens zoals naam, contactgegevens, arbeidsgeschiedenis, prestatiebeoordelingen en gezondheidsdossiers (met extra beperkingen).

Volgens de PIPL mogen werkgevers alleen gegevens van werknemers verzamelen en verwerken nadat ze daarvoor toestemming hebben gekregen. De wet staat ook andere rechtsgronden toe, waaronder contractuele noodzaak, naleving van wettelijke verplichtingen (gevallen waarin het verzamelen van gegevens verplicht is volgens de Chinese wet) en legitieme belangen.

Net als de GDPR en de LGPD verplicht de PIPL werkgevers om transparant te zijn over gegevensverzamelingspraktijken, met name door een duidelijk en toegankelijk privacybeleid op te stellen en redelijke beveiligingsmaatregelen te nemen om werknemersgegevens te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging of vernietiging.

De beschreven regels lijken werkgevers de vrijheid te geven om bijna alle persoonlijke gegevens te verzamelen, zolang ze het maar kunnen verklaren met zakelijke doeleinden. In de praktijk is dit echter niet waar.

Werkgevers hebben niet het recht om bepaalde gegevens te verzamelen zonder een legitieme rechtvaardiging en toestemming van de werknemer. Deze gegevens vallen over het algemeen in de volgende categorieën:

Gevoelige gegevens zijn persoonlijke gegevens die kunnen worden gebruikt om iemand te discrimineren of om privé-aspecten van zijn of haar leven te onthullen. Deze gegevens omvatten maar zijn niet beperkt tot ras en etniciteit, religie, filosofische overtuigingen, seksuele geaardheid, genderidentiteit en politieke meningen.

Het verzamelen en gebruiken van deze gegevens kan leiden tot discriminatie bij het aannemen, promoveren of andere managementbeslissingen. Het kan ook een ongemakkelijke of vijandige werkomgeving creëren voor werknemers.

Veel rechtsgebieden beperken de toegang van werkgevers tot gezondheidsinformatie over werknemers. Er zijn echter een paar uitzonderingen:

• De werknemer geeft schriftelijk toestemming.

• De informatie is nodig om een gezondheidsplan uit te voeren of omwille van de veiligheid op het werk (bv. evaluaties van de geschiktheid voor het werk of het regelen van speciale aanpassingen voor de handicap).

• De openbaarmaking is wettelijk verplicht (bijv. claims voor werknemerscompensatie of verlofaanvragen).

Er is geen legitieme reden voor werkgevers om uitgebreide financiële gegevens over werknemers te verzamelen, behalve basisinformatie voor salaris- en belastingdoeleinden. Tot de verboden gegevens behoren in dit geval bankgegevens, kredietscores en beleggingsportefeuilles.

Hoewel werkgevers een legitiem belang kunnen hebben bij het monitoren van het gedrag van werknemers, kunnen ze hun monitoring niet uitbreiden naar persoonlijke sociale media-accounts. Werkgevers kunnen bijvoorbeeld niet eisen dat werknemers vriendschap met hen sluiten op sociale media of toegang krijgen tot privéaccounts, omdat werknemers recht hebben op privacy bij het gebruik van sociale media.

Het recht van de werknemer op privacy beschermt hem tegen toezicht door de werkgever tijdens zijn vrije tijd. Werkgevers mogen over het algemeen alleen toezicht houden op werkuren en werkgerelateerde activiteiten. Het verzamelen van gegevens over de activiteiten van werknemers buiten werktijd is in de meeste rechtsgebieden beperkt, tenzij er een legitieme zakelijke rechtvaardiging is en het niet in strijd is met de privacyrechten.

Volgens de Harvard Business Review, 67,6% van de Noord-Amerikaanse bedrijven met 500+ werknemers volgt de werkactiviteiten van werknemers met speciale software. Een ander onderzoek samengevat door WifiTalenten stelt dat bijna 96% van de ondervraagde organisaties een vorm van technologie voor het monitoren van werknemers gebruikt.

Software voor het monitoren van werknemers kan van nature uitgebreide gegevens over werknemers verzamelen. De meest gebruikte functies zijn e-mailmonitoring, monitoring van internetactiviteiten, schermopname, app-gebruik bijhouden en zelfs video- en geluidsbewaking. Personeelsmonitoring streeft nobele doelen na, zoals het waarborgen van een goede bedrijfscommunicatie, het voorkomen van beveiligingsrisico's en het verbeteren van de productiviteit. Het kan echter af en toe verboden persoonlijke gegevens verzamelen als het niet wordt geïmplementeerd met in het achterhoofd wettelijke en ethische overwegingen.

De rechtmatigheid van het monitoren van werknemers kan per locatie verschillen. Sommige regelgevingen, zoals GDPR, schrijven strengere privacyrechten voor werknemers voor, waardoor de toegestane reikwijdte van monitoring wordt beperkt. Daarom moeten werkgevers de toepasselijke wetgeving in hun regio bestuderen en begrijpen voordat ze enige vorm van werknemersmonitoring implementeren.

Vanuit ethisch oogpunt moeten de principes van transparantie, proportionaliteit en rechtvaardiging de leidraad vormen voor het gebruik van software voor het monitoren van werknemers. Werkgevers moeten het verzamelen van gegevens beperken tot strikt noodzakelijke aspecten en een evenwicht vinden tussen het verzamelen van gegevens en de privacyrechten van werknemers. De beste manier om dit te doen is te kiezen voor aanpasbare oplossingen voor werknemersmonitoring die gemakkelijk kunnen worden aangepast om te voorkomen dat er buitensporig veel gegevens worden verzameld.

In dit geval kunt u onnodige trackingfuncties uitschakelen om te voorkomen dat er te veel gegevens worden verzameld en om te voldoen aan de geldende voorschriften.

Overweeg ook bewakingsprogramma's waarmee werknemers de bewaking handmatig kunnen starten en stoppen. Met deze optie kunnen werknemers de gegevens beschermen waarvan ze niet willen dat ze worden opgenomen. Dit is vooral handig voor werknemers die op afstand werken of persoonlijke apparaten gebruiken voor hun werk.

Inzicht in privacyrechten is niet alleen van vitaal belang voor werkgevers, maar ook voor werknemers. Het stelt hen in staat om controle te krijgen over hun persoonlijke gegevens in alle aspecten van hun leven, ook op het werk. De specifieke rechten die werknemers hebben en de wetten die hierop van toepassing zijn, verschillen per locatie. GDPR, LGPD en PIPL kennen werknemers bijvoorbeeld verschillende belangrijke rechten toe met betrekking tot hun gegevens:

Het recht op toegang: Werknemers kunnen toegang vragen tot hun persoonlijke gegevens die in het bezit zijn van de werkgever.

Het recht op rectificatie: Werknemers kunnen correcties aanvragen voor onjuiste of onvolledige gegevens.

Het recht op wissen (ook bekend als het "recht om vergeten te worden"): In bepaalde omstandigheden kunnen werknemers vragen om verwijdering van hun persoonlijke gegevens.

Het recht om de verwerking te beperken: Werknemers kunnen het gebruik van hun gegevens beperken.

Het recht op gegevensportabiliteit: Werknemers kunnen vragen om hun persoonlijke gegevens in een gestructureerd, algemeen gebruikt formaat te ontvangen en deze over te dragen aan een andere werkgever (als dit technisch haalbaar is).

Het is belangrijk op te merken dat dit slechts algemene voorbeelden zijn. We raden werknemers aan om advies in te winnen bij juridische bronnen of privacyprofessionals om hun specifieke rechten met betrekking tot gegevensprivacy op de werkplek te begrijpen.

In het digitale tijdperk zijn de grenzen tussen werk en privé vervaagd. Werkgevers kunnen enorme hoeveelheden gegevens van hun werknemers verzamelen en inzien, wat kritische vragen oproept over privacy en ethische grenzen. De legitieme zakelijke belangen van werkgevers, zoals veiligheid, productiviteit en naleving van de wet, mogen de grens tussen de noodzaak en het privéleven van werknemers niet overschrijden. Bedrijven moeten de wettelijke grenzen begrijpen en hun belangen afwegen tegen respect voor de rechten van werknemers.

Bedrijven raden we aan advies in te winnen bij de juridische afdeling om er zeker van te zijn dat de manier waarop ze gegevens verzamelen in overeenstemming is met de relevante wetgeving. Overweeg om een duidelijk en toegankelijk privacybeleid te implementeren waarin staat welke soorten gegevens u verzamelt, hoe deze worden gebruikt en welke rechten werknemers hebben met betrekking tot hun gegevens.

Voor werknemers adviseren we om zich op de hoogte te stellen van hun privacyrechten op het werk. In veel rechtsgebieden hebben werknemers het recht om hun persoonlijke gegevens in te zien, te corrigeren of zelfs te verwijderen. Aarzel niet om juridisch advies in te winnen of contact op te nemen met privacyprofessionals als je je zorgen maakt over je gegevens die door je werkgever worden verzameld.