Recente veranderingen in wet- en regelgeving voor werknemersmonitoring

Er heeft zich wereldwijd een snelle ontwikkeling voorgedaan in de richting van strengere privacywetten voor gebruikers. Veel hiervan kan worden toegeschreven aan technologieën die wettelijke kaders voorbijstreven. De opkomst en omvang van Generative AI (of Gen AI) is daar een voorbeeld van.

McKinsey rapporteerde in 2023 dat het economisch potentieel van AI-toepassingen van Gen ligt tussen $ 2,6 biljoen en $ 4,4 biljoen jaarlijks. Maar tegelijkertijd is het begrijpen, controleren en garanderen van de veiligheid van Gen AI een grote uitdaging voor risico- en compliancefuncties. Waarom? Omdat er een gebrek is aan functionele transparantie en de gegevens die worden gebruikt voor training, het potentieel voor inbreuken op intellectueel eigendom en een groot aantal zorgen over schending van de privacy van gebruikers - en dat alles op een ongekende schaal en snelheid.

De situatie is niet zo duidelijk op het gebied van het monitoren van werknemers, maar de gemakkelijke toegang tot en het gebruik van werknemersgegevens - dankzij krachtige analyses, het gebruik van AI en de eenwording van gegevens - doet twijfels rijzen over de levensvatbaarheid van regels en voorschriften die zijn ontworpen voor een minder gegevensintensief tijdperk.

Volgens een enquête Volgens Top10VPN steeg de vraag naar oplossingen voor het monitoren van werknemers na de pandemie met maar liefst 75% in maart 2020, 75% in januari 2022 en 73% in het eerste kwartaal van 2022. Veel bedrijven, groot en klein, over de hele wereld vertrouwen op deze oplossingen om ervoor te zorgen dat het werk op schema blijft, dat mensen verantwoording afleggen en dat er geen tijd wordt gestolen, wat schadelijk zou kunnen zijn voor zowel de privacy van werknemers als het bedrijfsresultaat. Maar de medaille heeft twee kanten.

De tools voor het monitoren van werknemers worden steeds krachtiger. Ze zijn in staat om alles te volgen, van conventionele toetsaanslagen tot geavanceerder surfen op het web en zelfs gezichtsuitdrukkingen. De voordelen zijn legio. Bedrijven kunnen de productiviteit verhogen, potentiële beveiligingsleemtes en bedreigingen van binnenuit identificeren, gebieden ontdekken die voor verbetering vatbaar zijn en beleid ontwikkelen ten gunste van werknemers, en zelfs granulair te werk gaan om te begrijpen wat goed werkt voor het welzijn van werknemers.

Maar tegelijkertijd is er een aanzienlijk potentieel voor misbruik. Bedrijven kunnen te opdringerig worden - in die mate dat het leidt tot een giftige werkomgeving en een voedingsbodem wordt voor wantrouwen. In feite kan granulaire toegang tot activiteitsgegevens de weg vrijmaken voor discriminatie en oneerlijke behandeling. De werkmethoden van werknemers kunnen verkeerd worden geïnterpreteerd, alsof ze zich afzijdig houden. En daarom wordt vaak gemeld dat werknemers er niet blij mee zijn dat ze onder de scanner worden gelegd. Over 39% van de werknemers rapporteert dat monitoring een negatieve impact heeft op hun relatie met de werkgever. 43% bevestigt dat een dergelijke praktijk het bedrijfsmoraal aantast.

We hebben het vaak gehad over de bestaande regelgeving, zoals de General Data Protection Regulation (GDPR), de Electronic Communications Privacy Act (ECPA), enz. Deze regelgevingen, met name GDPR, hebben hoge eisen gesteld aan de bescherming van gebruikersgegevens en privacy. Dit omvat ook een duidelijk gedefinieerde focus op werknemersgegevens.

De omvang en schaal van gegevensverzameling overtreffen echter de mogelijkheden van de regelgeving die slechts een paar jaar geleden werd voorzien. Met andere woorden, de kloof tussen wat technologisch mogelijk is en wat wettelijk is toegestaan wordt steeds groter. Het resultaat? Een regelgevend vacuüm dat ruimte laat voor onbedoeld en zelfs opzettelijk misbruik van technologie voor surveillance. Hervormingen van de regelgeving en een voortdurende dialoog over het in stand houden van de bestaande kaders is dus een terechte oproep.

Updates en wijzigingen in wetten voor werknemersmonitoring

Gezien de bovenstaande zorgen realiseren rechtsgebieden over de hele wereld zich dat het dringend noodzakelijk is om wetten te implementeren die regelgeving voor AI-systemen en bescherming van werknemersrechten en gegevens in het vooruitzicht stellen.

Voor een beter begrip en een beter inzicht in de impact, zetten we vier van deze belangrijke updates op een rijtje, samen met de regio's die zullen worden beïnvloed.

De Information Commissioner's Office (ICO) heeft onlangs de regulering van gegevensverstorende activiteiten van bedrijven opgevoerd. De zaak van Serco Leisure Operating Limited in februari 2024 kreeg de Handhavingsbericht van ICO dient als goed voorbeeld. De toezichthouder droeg het bedrijf op om te stoppen met de verwerking van biometrische gegevens. Deze instructie werd ondersteund door de artikelen 5, 6 en 9 waarin wordt gepleit voor een eerlijke en rechtmatige verwerking, een rechtmatige grondslag voor de verwerking en meer.

Dit alles tegen de achtergrond van ICO's bijgewerkte richtlijnen voor rechtmatige monitoring in het Verenigd Koninkrijk suggereert dat de toezichthouder gelijke tred houdt met de technologische vooruitgang in de surveillanceruimte. Hun idee is om meer rechtszekerheid te bieden, de rechten van werknemers op het gebied van gegevensbescherming te beschermen en een zakelijk ecosysteem op te bouwen dat het vertrouwen tussen werknemers en klanten bevordert.

Hier zijn de belangrijkste updates van ICO's richtlijnen voor arbeidspraktijken en gegevensbescherming die relevant zijn voor het gebruik van software voor het monitoren van werknemers:

• Werknemers rechtmatig controleren: ICO verplicht bedrijven om de zes wettelijke grondslagen in overweging te nemen en er één uit te kiezen om werknemers wettelijk te monitoren. Deze grondslagen zijn Toestemming, Contract, Wettelijke verplichting, Vitale belangen, Publieke taak en Legitieme belangen. Elke grondslag omvat procedures die leiden tot wettige controle en die alles onder controle houden.

• Informeren over geautomatiseerde besluitvorming: ICO definieert het actieplan voor bedrijven die software voor het monitoren van werknemers gebruiken die helpt bij rechtmatige geautomatiseerde besluitvorming. In dat geval moeten bedrijven de werknemers informeren over de informatie die wordt verwerkt en de onderliggende logica van die verwerking. De werknemers moeten ook de mogelijkheid krijgen om menselijke tussenkomst te vragen.

• Checklists: Om de wettelijke vereisten gemakkelijk te kunnen afstemmen op de praktijken binnen het bedrijf, biedt ICO checklists die bedrijven kunnen gebruiken om hun gegevens te beschermen.

De Nationale Commissie voor Informatica en Vrijheid (CNIL) in Frankrijk heeft een aanpak die vergelijkbaar is met die van de ICO om ervoor te zorgen dat bedrijven verantwoordelijk worden gehouden voor misbruik van personeelsgegevens - precies wat hun recente 32 miljoen euro boete op Amazon France Logistique vertelt.

De Franse autoriteit voor gegevensbescherming oordeelde dat Amazon een illegaal monitoringsysteem had opgezet waarin het bedrijf granulaire werkonderbrekingen meet voor het micromanagen van werknemers. De overkoepelende reactie van de autoriteit tegenover Amazon was een sanctie tegen verschillende GDPR-overtredingen, waaronder die met betrekking tot het monitoren van werknemers met behulp van scanners, het niet garanderen van rechtmatige verwerking volgens artikel 6 van de GDPR, en meer.

Dit gezegd hebbende, zijn hier de recente updates van CNIL's antwoord op werknemersmonitoring die betrokken bedrijven in de gaten moeten houden:

• De aggregatie en bewaartijd van gegevens: Een belangrijk gegeven uit de recente uitspraak van de CNIL is dat ze zich strikt richten op hoe lang bedrijven gegevens van werknemers bewaren en of die periode te rechtvaardigen is. Om het voorbeeld van Amazon te gebruiken: de CNIL merkte op dat de gegevens van de magazijnscanner die een maand lang werden verzameld, werden gebruikt voor statistische analyses. De toezichthouder oordeelde in plaats daarvan dat een week voldoende is voor het beoordelen van prestaties en het vaststellen van trainingsbehoeften.

• Transparante informatie: Hoewel het geen nieuw facet is, heeft de beslissing van de CNIL de wenkbrauwen doen fronsen over hoe bedrijven vermijden om werknemers (inclusief uitzendkrachten) te informeren over de praktijk en de omvang van het toezicht - iets waar de regelgevers niet op zitten te wachten.

De Digital Personal Data Protection Act van 2023 is nog in afwachting van wetgeving en openbare raadpleging, maar er wordt verwacht dat deze een reeks belangrijke veranderingen teweeg zal brengen in het Indiase landschap voor het monitoren van werknemers.

De wet biedt een evenwichtige benadering van toestemming voor het gebruik van werknemersgegevens. Volgens de wet moeten werkgevers toestemming van hun werknemers krijgen voor het verwerken van gegevens. Dit beperkt het onvrijwillige gebruik van gegevens door HR-medewerkers van bedrijven. De wet behoudt werkgevers echter het recht voor om toestemming te negeren in het geval van scenario's die "bepaalde legitieme vormen van gebruik" zijn. Hieronder vallen situaties die verband houden met verlies of aansprakelijkheid.

De Europese Unie past ook het GDPR-beleid aan dat het monitoren van werknemers in de hele EU regelt en dat in feite een basispakket aan regels is voor het reguleren van surveillance wereldwijd. Enkele belangrijke wijzigingen hebben betrekking op:

• Bevordering van een betere werking van grensoverschrijdende zaken, met een betere ontvankelijkheid van klachten en stroomlijning van de geschillenbeslechting
• Een beter podium bieden aan partijen waartegen een onderzoek loopt, zodat hun stem wordt gehoord en er snelle oplossingen worden geboden

Dit zijn meer kwalitatieve updates om het regelgevingslandschap te verfijnen, maar hun impact zou aanzienlijk kunnen zijn als het gaat om consistentie bij het afdwingen en implementeren van GDPR-principes in de hele EU.

• Toezichthouders wereldwijd reageren op het gebruik van betere technologie om werknemers te controleren en ervoor te zorgen dat dit op een wettige manier gebeurt
• De rechten van werknemers staan centraal in deze nieuwe updates
• Elk misbruik van bewakingstechnologieën en werknemersgegevens zou leiden tot meer onderzoek en verantwoordelijkheid

Lees ook: Hoe werknemers legaal en effectief controleren