5. AVG: Kernpunten privacyrecht ongewijzigd
Handvest grondrechten EU
Artikel 7 De eerbiediging van het privé-leven en van het familie- en
gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn
woning en zijn communicatie.
Artikel 8 De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met
toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag
waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde
gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
5
6. Enkele nieuwe begrippen
6
Oud Nieuw
Verantwoordelijke Verwerkingsverantwoordelijke
Bewerker Verwerker
Privacy Impact Assessment Gegevensbeschermingseffectbeoordeling
Privacy by Design / Default Gegevensbescherming door ontwerp /
standaardinstellingen
7. Belangrijkste nieuwe punten
• Register van verwerkingen
• Nieuwe rol verwerker / verwerker-overeenkomsten
• PIA’s / Privacy by design expliciet opgenomen
• Uitgebreidere informatieverplichtingen / rechten betrokkene
• Meldplicht datalekken voor heel Europa
• Boeterisico’s
• Deadline: 25 mei 2018
7
8. Nog veel onduidelijkheden
• Verordening werkt rechtstreeks
• Laat toch enige ruimte voor nationale wetgeving
• voor bijzondere gegevens
• Voor verwerking in de arbeidsverhouding (art. 88 AVG)
• Status Uitvoeringswet AVG
• Consultatieronde is afgerond
• Advies AP is uitgebracht
• nog geen definitieve tekst
8
9. Still to come: e-privacy Verordening
Wijzigingen nog onduidelijk, 25 mei 2018 zal niet worden gehaald.
9
14. Verwerking bijzondere categorieën gegevens
Verwerking verboden, tenzij door bepaalde verwerkers en voor bepaalde
doeleinden of met uitdrukkelijke toestemming (enz. zie artikel 9 lid 2 AVG)
14
• levensovertuiging of godsdienst
• politieke gezindheid,
• lidmaatschap vakbond
• ras, etniciteit
• seksuele leven
• gezondheid
• biometrische ID-gegevens met het oog op
de unieke identificatie van een persoon
• genetische gegevens
• strafrechtelijke gegevens (aparte cat.)
• BSN
15. Gegevens betreffende de gezondheid
Dit is (inmiddels) een zeer breed begrip!
Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data
about a person's intellectual and emotional capacity (such as IQ),
information about smoking and drinking habits, membership of an individual
in a patient support group (e.g. cancer support group), Weight Watchers”
Gevolgen voor:
• Assessments
• Uitgebreide personeelsdossiers
• Coaching-sessies
• Uitgebreide (Big-data) analyses van werknemersgedrag
15
16. Uitzonderingen voor werkgevers onder AVG
Art. 9
• Uitdrukkelijke toestemming (sub a) (hoewel: overweging 155)
• Uitoefening van specifieke rechten op het gebied van arbeidsrecht voor zover
toegestaan bij lidstatelijk recht (sub b)
• Noodzakelijk voor vitaal belang betrokkene (sub c)
• Door betrokkene duidelijk openbaar gemaakt (sub e)
• Instelling, onderbouwing of uitoefening of verdediging van een rechtsvordering (f)
• Zwaarwegend algemeen belang ogv Unie- of lidstatelijk recht (sub g)
• Arbeidsgeneeskunde /beoordeling arbeidsgeschiktheid medische diagnosen (sub h)
16
17. Uitzonderingen voor werkgevers onder de Uitv. wet
MvT: Materieel zelfde strekking als huidige artikel 21 van de Wbp.
Art, 23 Uitv, Wet: 1. Het verbod om gegevens over gezondheid te verwerken is
om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid,
onderdeel g, van de verordening dan wel om de redenen, bedoeld in artikel 9, tweede
lid, onderdelen b en h, van de verordening, niet van toepassing indien de
verwerking geschiedt door:
werkgevers [..] voor:
1°. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of
collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk
zijn van de gezondheidstoestand van de betrokkene; of
2°. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in
verband met ziekte of arbeidsongeschiktheid.
17
18. Uitzonderingen voor werkgevers onder de Uitv.wet
Art. 23 lid 2 uitvoeringswet
Indien toepassing wordt gegeven aan het eerste lid worden de gegevens alleen
verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift,
dan wel krachtens een overeenkomst, tot geheimhouding zijn verplicht.
Dit lijkt breder dan de uitzondering van art. 9 lid 3 AVG:
verwerking voor doeleinde sub h, slechts door of onder verantwoordelijkheid van een
beroepsbeoefenaar of door een andere persoon die krachtens recht of door nationale
bevoegde instanties vastgestelde regels tot geheimhouding is gehouden
Tekst is echter (ook volgens de AP) onduidelijk.
18
22. Het UNIPER rapport (22 februari 2017)
• Uniper had beleid vastgesteld om alcohol- en drugstesten in te zetten om onveilige
situaties te voorkomen.
A&D beleid:
• Ad random alcoholtesten en alcohol- en drugstesten bij vermoeden van gebruik
(uitkomsten van adem- en wangslijmtesten)
• Melding van medicijngebruik bij leidinggevenden
• Inzet drugshonden
22
23. Het Uniper-rapport
23
• Uniper beriep zich voor testen op een
zwaarwegend belang
• veiligheid / arbeidsomstandighedenwet.
• en op artikel 7:611 (goed werknemerschap) en 660 (instructiebevoegdheid
werkgever) BW
AP vond dit onvoldoende, omdat een specifieke wettelijke bepaling vereist is
voor een beroep op een zwaarwegend belang.
“AVG: voor zover toegestaan bij lidstatelijk recht”
25. Oplossingen?
- Specifiek lidstatelijk recht (mede afhankelijk van uiteindelijke Uitvoeringswet)
- Inbouwen extra waarborgen
Gegevens alleen zichtbaar voor bedrijfsarts?
25
26. Register verwerkingen
Basis voor AVG compliance
• Meldplicht AP voor verwerkingen verdwijnt AP handhaaft niet meer tot
inwerkingtreding AVG
• Nieuwe verplichting: bijhouden register verwerkingen
• Verplichting geldt voor verwerkingsverantwoordelijke en verwerker
• Uitzondering voor organisaties < 250 werknemers, tenzij:
• verwerking risico voor de rechten en vrijheden van de betrokkenen inhoudt;
• de verwerking niet incidenteel is; of
• de verwerking bijzondere categorieën van gegevens betreft.
26
27. Register verwerkingen
Welke informatie moet erin?
• Verwerkingsdoeleinden
• Categorieën betrokkenen
• Categorieën persoonsgegevens
• Categorieën van ontvangers
• Doorgiftes buiten de EU
• Bewaartermijnen
• Beschrijving beveiliging
Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de
hand van ICT applicaties / aan de hand van bedrijfsonderdelen/processen
aan de hand van questionnaires naar de managers)
27
28. Register verwerkingen
Voorbeelden:
• Verschillende software-aanbieders
• VNG (lijst met voorgeschreven en optionele posten)
• Belgische toezichthouder Model voor een Register van de verwerkingsactiviteiten
https://www.privacycommission.be/nl/model-voor-een-register-van-de-
verwerkingsactiviteiten
28
30. Beveiliging
• Technisch én organisatorisch
• Passend gezien stand techniek en aard verwerkingen
• Pseudonimisering / versleuteling
• Vermogen om op permanente basis de vertrouwelijkheid, integriteit,
beschikbaarheid en veerkracht van verwerkingssystemen en diensten te
garanderen
• Tot herstel bij incident
• Een procedure om de maatregelen regelmatig te testen en te beoordelen (PLAN
DO CHECK ACT- cyclus)
30
31. Gegevensbeschermingseffectbeoordeling
• Wanneer een verwerking gelet op de aard omvang, context en doeleinden
waarschijnlijk een hoog risico inhoudt, in het bijzonder bij nieuwe technologieën
Met name bij:
- Systematische en uitgebreide beoordeling van persoonlijke aspecten van
natuurlijke personen, gebaseerd op geatomatiseerde verwerking waaronder
profilering
- Grootschalige verwerking bijzondere gegevens
- Stelselmatige monitoring van openbare ruimten
• Geldt alleen voor verantwoordelijken
31
32. Aanscherping Informatieplicht
Beknopt, eenvoudig toegankelijk en begrijpelijk
• Bewaartermijn
• Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en
portabiliteit)
• Klachtrecht bij AP
• Uitleg doeleinden en rechtsgronden verwerking
• Profilering, reden daarvan en mogelijke gevolgen
Belangrijkste uitzonderingen
• Verwerking voorgeschreven bij wet
• Onmogelijk / onevenredig
• Of informeren maakt doeleinde onmogelijk
32
33. Functionaris voor de gegevensbescherming
Verplicht voor:
• Overheden
• Niet overheden (verantwoordelijken en verwerkers) die als kerntaak hebben:
• Het uitvoeren van verwerkingen die vanwege hun aard, hun omvang en/of hun
doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen
vereisen; of
• Het uitvoeren van grootschalige verwerkingen van bijzondere categorieën van gegevens
of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten.
• Eisen
• Kan personeelslid zijn of op grond van dienstenovereenkomst
• Onafhankelijkheid geen belangenverstrengeling
Ook op vrijwillige basis zie beleidsregels AP
33
34. Functionaris voor de gegevensbescherming
Hoofdtaak: zorgen dat de AVG wordt nageleefd
Beleidsregels benoemen verder:
• informatie verzamelen om verwerkingswerkzaamheden te identificeren;
• analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG
voldoen;
• de verantwoordelijke of de verwerker informeren, adviseren of aanbevelingen
geven;
• FG is contactpersoon is voor de AP + samenwerken met AP.
34
36. Hoge boetes
Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet!
• Bindende aanwijzing is geen onderdeel AVG
• Boetes “doeltreffend, evenredig en afschrikwekkend”(art. 83 lid 1)
• Bij boeteoplegging wordt rekening gehouden met tal van factoren:
• opzettelijke / nalatige aard
• schadebeperkingsmaatregelen
• accountability gezien beveiligingsmaatregelen (art. 83 AVG)
• illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol
36
37. Boetes in de praktijk
AP blijkt sinds 1 januari 2016 niet heel ‘triggerhappy’
Echter: De bindende aanwijzing is geen onderdeel AVG en waarschijnlijk ook niet van
de Uitvoerinsgwet
Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State)
Biedt argument bij te goeder trouw interpretatie open normen
Boete voor bestuurder?
opdracht / feitelijke leiding / maatregelen achterwege laten
(art.5:1 Awb juncto art. 51 Sr.)
37
39. To do
• Startpunt = register van gegevensverwerkingen
• Kijk kritisch naar doel en noodzaak van verwerkingen.
• Kan een doel ook met minder data bereikt worden?
• Check bewaartermijnen
• Is een PIA vereist?
• Check aanwezigheid en inhoud (bewerkings)overeenkomsten:
• Check informatieplichten / procedures voor uitoefening rechten
• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht
• Meld meldingsplichtige inbreuken (implementeer meldingsprotocol)
39
40. Hulpmiddel: AKD Privacycheck
AKD Privacycheck: is uw organisatie al privacy-proof?
Vul de AKD privacychecklist in als startpunt voor compliance.
https://www.akd.nl/d/Paginas/Subpagina%27s%20Intellectual%20Property%20and%
20Technology/AKD-Privacycheck-.aspx
40
42. 2. Pre Employment Screening
Wat kan dat bijvoorbeeld zijn?
• Sollicitatiegesprek
- ziekteverzuim uit het verleden ?
- strafrechtelijk verleden ?
- zwangerschap of kinderwens ?
- medicijngebruik ?
- meldplicht werknemer ?
• Referenties bij vorige werkgever(s)
• Aanstellingskeuring
• VOG
• Assessment
• Online research (“Googlen”)
42
43. 2. Pre Employment Screening
Ingezoomd: neuzen op social media
(als alternatief voor assessment?)
i. Het feit dat een profiel publiek is,
betekent niet automatisch dat het
gescreend mag worden
ii. Rekening houden met zakelijke aard
van social media (Facebook vs.
LinkedIn)
iii. Wat online te vinden is niet altijd juist,
accuraat of relevant
iv. Resultaten toetsen met sollicitant, met
uitdrukkelijke vermelding bron
43
44. 2. Pre Employment Screening
Richtlijnen
• Aard van de functie moet de screening
rechtvaardigen
• Sollicitant dient vooraf van de screening
op de hoogte te worden gesteld
(bijvoorbeeld in de vacaturetest)
• Screening dient zo beperkt mogelijk te
zijn
• Geen medische screening (tenzij
noodzakelijk voor functie en door arts)
• Instemming sollicitant is geen grondslag
• Verwijderen van gegevens zodra
procedure is afgelopen (tenzij...)
44
45. 2. Pre Employment Screening
Ingezoomd: assessments
Betonpalenfabriek De Betonpaal wil een
selectie assessment afnemen
De sollicitant wordt in de
wervingsadvertentie op de hoogte gebracht
van het feit dat een assessment onderdeel
is van de selectieprocedure
De sollicitant gaat akkoord met het
selectieassessment.
Mag dit?
45
46. 2. Pre Employment Screening
Vraag 1
Wat voor soort persoonsgegevens worden er
verwerkt (gewone of bijzondere
persoonsgegevens)?
46
Overweging 35 AVG:
‘Persoonsgegevens over gezondheid dienen alle gegevens te
omvatten die betrekking hebben op de gezondheidstoestand van
een betrokkene en die informatie geven over de lichamelijke of
geestelijke gezondheidstoestand van de betrokkene in het
verleden, het heden en de toekomst.’
Artikel 4 AVG:
‘Persoonsgegevens die verband houden met de fysieke of
mentale gezondheid van een natuurlijke persoon, waaronder
gegevens over verleende gezondheidsdiensten waarmee
informatie over zijn gezondheidstoestand wordt gegeven.’
47. 2. Pre Employment Screening
Vraag 2
Uitgaande van bijzondere persoonsgegevens: is de
uitdrukkelijke toestemming van de sollicitant
een grondslag voor verwerking?
47
Overweging 42 AVG:
‘Toestemming mag niet worden geacht vrijelijk te zijn verleend
indien de betrokkene geen echte of vrije keuze heeft of zijn
toestemming niet kan weigeren of intrekken zonder nadelige
gevolgen.’
48. 2. Pre Employment Screening
Vraag 3
Is er dan een andere grondslag die gebruikt kan
worden?
48
Is de verwerking noodzakelijk met het oog op de uitvoering van
verplichtingen en de uitoefening van specifieke rechten van de
verwerkingsverantwoordelijke of de betrokkene op het gebied van het
arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht?
Is de verwerking noodzakelijk om redenen van zwaarwegend
algemeen belang (...) waarbij de evenredigheid met het
nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het
recht op bescherming van persoonsgegevens wordt geëerbiedigd en
passende en specifieke maatregelen worden getroffen ter bescherming
van de grondrechten en de fundamentele belangen van de
betrokkene?
49. 2. Pre Employment Screening
Vraag 4
Is er dan een andere grondslag die gebruikt kan
worden?
49
Is de verwerking noodzakelijk voor doeleinden van preventieve
of arbeidsgeneeskunde, voor de beoordeling van de
arbeidsgeschiktheid van de werknemer, medische
diagnosen, het verstrekken van gezondheidszorg of sociale
diensten of behandelingen dan wel het beheren van
gezondheidszorgstelsels en -diensten of sociale stelsels en
diensten, op grond van Unierecht of lidstatelijk recht?
50. 2. Pre Employment Screening
Vraag 5
Zijn assessments dan verboden?
50
Artikel 88 AVG:
‘Bij wet of bij collectieve overeenkomst kunnen de lidstaten
nadere regels vaststellen ter bescherming van de rechten en
vrijheden met betrekking tot de verwerking van de
persoonsgegevens van werknemers in het kader van de
arbeidsverhouding, in het bijzonder met het oog op
aanwerving, de uitvoering van de arbeidsovereenkomst, met
inbegrip van de naleving van wettelijke of uit collectieve
overeenkomsten voortvloeiende verplichtingen, het beheer, de
planning en de organisatie van de arbeid, gelijkheid en
diversiteit op het werk, gezondheid en veiligheid op het werk,
bescherming van de eigendom van de werkgever of de klant
dan wel met het oog op de uitoefening en het genot van de met
de arbeidsverhouding samenhangende individuele of collectieve
rechten en voordelen, en met het oog op de beëindiging van de
arbeidsverhouding.’
52. 3. Employment Screening
Heeft een werknemer eigenlijk recht op
privacy op het werk?
Ja…..
- Recht op privacy strekt zich ook uit tot de
werkplek
- Beperkte privé contact tijdens werktijd moet de
werkgever toestaan, indien geen concreet
aanwijsbare nadelige invloed op het werk
- Beperkingen op basis van instructierecht >
gedragscode
52
53. 3. Employment Screening
…maar controle is mogelijk. Algemene richtlijnen?
• Kenbaarheidsvereiste: (in principe) screening vooraf bekend maken (heimelijk alleen in bijzondere
gevallen)
• Doel moet gerechtvaardigd zijn> noodzakelijk voor…
Instemming werknemer is géén grondslag
• Middel moet proportioneel zijn (bijvoorbeeld contentfilter, steekproefsgewijs, gerichte controle alleen bij
concreet vermoeden)
• Doel mag niet met minder vergaande middelen ook te bereiken zijn
• Dataminimalisatie
• Doorgaans instemming Ondernemingsraad noodzakelijk
• (voorafgaand met OR afgestemd) Privacyreglement/gedragscode met
- doel en inzet controle middelen
- op welke wijze wordt gecontroleerd
- consequenties bij overtreding
• Achteraf (ook) informeren
53
54. 3. Employment Screening
…maar controle is mogelijk. Wat kan dat bijvoorbeeld zijn?
• Social Media controle
- overwegende lijn is: geen privésfeer vanwege overwegende publieke toegankelijkheid
- “Facebook uitspraken”: Werknemer beledigt werkgever op Facebookpagina leidt tot ontbinding
“Pff is deze werkdag al om? Ik wil verlost worden van deze ******* wat een gek zeg!
#wil***weekend” (LJN BV 9483)
• Internet- en emailcontrole
- Zie: Goed werken in Netwerken (CBP) (scheid zakelijke en privé email, beperk de controle, ontzie
de geprivilegieerde informatie van bedrijfsartsen en OR)
- “Hot mail”: secretaresse laat hotmailaccount open staan met discutabele emailwisseling tussen
haar en ex collega (JAR 2010/93)
- Pornosurfen blijft klaarblijkelijk populair
- geen gedragscode, geen waarschuwing: geen ontbinding
- gedragscode, waarschuwing en ontzegging toegang internet: ontbinding zonder
vergoeding
- geen gedragscode, geen waarschuwing, general manager die urenlang per dag
pornsosurft: OSV
- Werknemer stuurt zakelijke documenten naar zijn zakelijk emailadres> gerechtvaardigde inbreuk
(ECLI:NL:RBLIM:2017:1296)
54
55. 3. Employment Screening
• Cameragebruik
- wordt gezien als meest privacy bedreigende personeelsvolgsysteem
- grondslag (noodzakelijk voor…) + prop. en subs. + belangenafweging wn vs wg
(bijvoorbeeld bewegingssensor of geen gezichtsherkenning)
> Transportbedrijf (2016): voortdurend opnemen is niet proportioneel (andere
manieren mogelijk om rijgedrag te verbeteren)
- verborgen cameratoezicht > in principe niet, tenzij….
- mogelijk zelfs strafbaar
• Alcohol en Drugs
- verwerken bijzondere gegevens
- HR Hyatt (JAR 2007/250): toelaatbaarheid drugstest voor hotelmedewerkers
Serveerster op staande voet ontslagen wegens cocaïne sporen in bloed
HR: gerechtvaardigde inbreuk, gezien bedrijfsbelang hotel, representatieve functie en lastige
bewijspositie wg, drugsgebruik in vrije tijd kan werk effectueren
- Uniper: geen gerechtvaardigde inbreuk
55
57. 4. Het Personeelsdossier - algemeen
Wat mag er (niet) in?
Hoofdregel
• De werkgever mag niet meer persoonsgegevens verzamelen, gebruiken, opslaan en
bewaren dan absoluut noodzakelijk voor het doel van de verwerking. Het
minimum is ook meteen het maximum
• De AVG, Wbp of de Uitvoeringswet (wetvoorstel) kent (nog) geen concrete
bewaartermijnen
• De richtlijn voor de bewaartermijn betreft twee jaar na einde dienstverband, tenzij
een andere wettelijke bewaartermijn geldt
• Zie Vrijstellingsbesluit Wbp
57
58. 4. Het Personeelsdossier - algemeen
Stelt u zich eens voor…
Annewil Kip is sinds 2003 bij uw organisatie in dienst. Annewil doet haar best, maar
heeft een wat temperamentvol karakter dat nog weleens resulteert in een
akkefietje links of rechts. Dat heeft in 2005 zelfs geleid tot een incident met geweld
op de werkvloer, waarvoor zij een waarschuwing heeft gehad. Zij heeft ook een
waarschuwing in 2010 gehad met betrekking tot een niet gewelddadig incident.
De laatste jaren lijkt Annewil wat rustiger te zijn geworden en
zijn er geen noemenswaardige incidenten meer, maar
persoonlijk komt u haar liever niet alleen tegen
in de fietsenstalling na 17.00 uur.
58
59. 4. Het Personeelsdossier - algemeen
Is het (nog) noodzakelijk….
1. Om de waarschuwing aan uit 2010, ziende op onacceptabel gedrag, in dossier te
hebben?
2. Is dat anders als er zich door de jaren heen
verschillende incidenten ten aanzien van houding en
gedrag zich hebben voorgedaan?
3. En wat doet u met de waarschuwing uit 2005?
59
60. 4. Het Personeelsdossier – verzuim
Wat zijn gezondheidsgegevens? Is een gezondheidsgegeven….
1. …..de melding aan mijn werkgever dat ik als werknemer naar de dermatoloog ben
geweest?
2. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben?
3. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben vanwege
stress?
Mag je als werkgever bij een ziekmelding van de werknemer vragen….
1. ….wanneer hij verwacht weer te kunnen hervatten?
2. ….wat hij denkt wel aan taken te kunnen verrichten ?
60
61. 4. Het Personeelsdossier – verzuim
61
Doeleinde Persoonsgegevens dat mag
worden verwerkt (volgens
AP)
Niet toegestaan Richtlijn
bewaartermijn
De ziekmelding Het telefoonnummer en
(verpleeg)adres;
De vermoedelijke duur van
het verzuim;
De lopende afspraken en
werkzaamheden;
Of de werknemer onder een
van de vangnetbepalingen
van de Ziektewet valt (maar
niet onder welke
vangnetbepaling hij valt);
Of de ziekte verband houdt
met een arbeidsongeval;
Of er sprake is van een
verkeersongeval waarbij een
eventueel aansprakelijke
derde betrokken is
(regresmogelijkheid).
Overig zoals
de mogelijkheden of
beperkingen van de
werknemer
de aard en oorzaak
van het verzuim
tenzij vrijwillig
verstrekt én verband
houdend met een
ziekte waarbij het
noodzakelijk kan zijn
dat directe collega’s
in geval van nood
weten hoe te
handelen
(bijvoorbeeld bij
epilepsie of
suikerziekte).
Kortdurend verzuim
Zolang noodzakelijk, doch uiterlijk 2
jaar na einde dienstverband
Langdurig verzuim
Zolang noodzakelijk, doch uiterlijk 2
jaar na de laatste dossier handeling
tenzij blijvende afspraken zijn
gemaakt.
De werkgever die eigen risicodrager
ZW of WGA is afwijkende
bewaartermijn.
62. 4. Het Personeelsdossier – verzuim
Let op
Dat betekent dus ook dat de
ongevraagd medegedeelde ziekteoorzaak
(maar ook verschijnselen, klachten, etc)
verboden is te verwerken
(toestemming werknemer “telt” niet)
62
63. 4. Het Personeelsdossier – verzuim
63
Ziekteverzuim-
begeleiding/
re-integratie
Persoonsgegevens dat mag
worden verwerkt (volgens AP) Niet toegestaan
Richtlijn
bewaartermijn
Gegevens die de
bedrijfsarts/arbodienst
heeft verstrekt over:
de werkzaamheden waartoe de
werknemer niet meer of nog wel
in staat is (functionele
beperkingen, restmogelijkheden
en implicaties voor het soort
werk dat de werknemer nog kan
doen);
de verwachte duur van het
verzuim;
de mate waarin de werknemer
arbeidsongeschikt is (gebaseerd
op functionele beperkingen,
restmogelijkheden en implicaties
voor het soort werk dat de
werknemer nog kan doen);
eventuele adviezen over
aanpassingen,
werkvoorzieningen of
interventies die de werkgever
voor de re-integratie moet
treffen.
Alle overige
gezondheidsgegevens
zoals
de aard en oorzaak van de
ziekte, zoals diagnoses,
benamingen van ziektes
specifieke klachten of
pijnaandoening
subjectieve waarnemingen
over de gezondheidstoestand
gegevens over therapieën en
afspraken met therapeuten
en/of psychologen
overige situationele
problemen (zoals
relatieproblemen, stress
etc.)
Zolang noodzakelijk, doch
uiterlijk 2 jaar na de laatste
dossier handeling tenzij
blijvende afspraken zijn
gemaakt.
De werkgever die eigen
risicodrager ZW of WGA is
afwijkende
bewaartermijn.
64. Op de werkvloer
En garde!
Checklist Privacy op de werkvloer
1. Breng de dataprocessen van de verwerking van persoonsgegevens van uw
personeel (werknemers maar ook ingeleenden, tijdelijk, ZZP’ers etc.) in kaart middels een overzicht
2. Bepaal per verwerking of er een verwerkingsgrond is
3. Bepaal per verwerking of deze in lijn is met de verwerkingsbeginselen
4. Alles wat niet in lijn is met stap 2 of 3: verwijder en/of pas aan en schoon daarmee op
5. Zie het eventuele privacy reglement na conform stap 2 en 3 en pas eventueel
aan of stel een nieuw privacyreglement op in lijn met stap 2 en 3
5. Betrek de OR wanneer een nieuw of gewijzigd privacyreglement ingevoerd
wordt (instemmingsrecht)
64
MvT bij Uitvoeringswet Algemene verordening gegevensbescherming benadrukt
Wijzen op het snappet rapport
telkens wel afhankelijk van doelen en feitelijke invulling.
Bij inschakelen verwerker, “bewerkersovereenkomst” verplicht, bij andere samenwerkingsverbanden ook afspraken noodzakelijk .
bevel van regionale toezichthoduer tot deactivering van een „fanpagina” (fanpage) op de site van Facebook Ireland Ltd
Dit bevel berust op de vermeende schending van Duitse bepalingen tot omzetting van richtlijn 95/46, met name doordat de bezoekers van een fanpagina niet worden gewaarschuwd dat hun persoonsgegevens door het sociale netwerk Facebook (hierna: „Facebook”) worden verzameld middels het plaatsen van cookies op hun harde schijf, welke verzameling plaatsvindt om gebruikersstatistieken op te stellen voor de beheerder van deze pagina en om Facebook in staat te stellen gerichte advertenties te verspreiden
Wirtschaftsakademie gebruikte deze fanpage om kennelijke interesses van internetgebruikers te identificeren door het observeren van hun surfgedrag.
Een beheerder van een fanpagina is weliswaar vóór alles een gebruiker van Facebook, waarop hij een beroep doet om gebruik te maken van diens tools en aldus te profiteren van een betere zichtbaarheid, maar deze vaststelling sluit niet uit dat hij tevens verantwoordelijk kan worden geacht voor de fase van de verwerking van persoonsgegevens die het voorwerp is van het hoofdgeding, te weten de verzameling van die gegevens door Facebook.
54. Wat de vraag betreft of de beheerder van een fanpagina de doelen van en de middelen voor de verwerking „vaststelt”, moet worden nagegaan of deze beheerder feitelijk of rechtens invloed uitoefent op deze doelen en middelen. Dit onderdeel van de definitie maakt het mogelijk aan te nemen dat de voor de verwerking verantwoordelijke niet degene is die de verwerking van persoonsgegevens verricht, maar degene die de middelen ervoor en de doelen ervan vaststelt.
De beheerder van een fanpagina kan, met behulp van filters, een gepersonaliseerde doelgroep vaststellen, waardoor hij niet alleen de groep personen kan verfijnen onder wie de informatie betreffende zijn handelsaanbod zal worden verspreid, maar vooral de categorieën personen kan aanwijzen wier persoonsgegevens door Facebook zullen worden verzameld. Door het vaststellen van de doelgroep die hij wenst te bereiken identificeert de beheerder van een fanpagina dus tegelijkertijd het publiek waarvan Facebook persoonsgegevens kan verzamelen en vervolgens benutten. Behalve dat hij degene is die een verwerking van dergelijke gegevens op gang brengt wanneer hij een fanpagina maakt, speelt de beheerder van deze pagina dus een dominerende rol bij deze verwerking door Facebook. Hij draagt op die manier bij aan de vaststelling van de middelen voor en de doelen van deze verwerking door hierop een feitelijke invloed uit te oefenen.
moet aldus worden uitgelegd dat een beheerder van een fanpagina op een sociaal netwerk als Facebook een voor de verwerking verantwoordelijke in de zin van deze bepaling is met betrekking tot de fase van de verwerking van persoonsgegevens die bestaat in de verzameling door dit sociale netwerk van gegevens betreffende de personen die deze pagina raadplegen, om gebruikersstatistieken met betrekking tot deze pagina op te stelle=
“persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, (…)met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
HvJEU Breyer vs. Duitsland – definitie persoonsgegeven
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
IP adres = adres van een op internet aangesloten apparaat toegekend door ISP
Identificeerbaar
door wie? “alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om de genoemde persoon te identificeren.”
Let op gezondheid is een zeer breed begrip.
In het lidstatelijke recht of in specifieke overeenkomsten kunnen specifieke regels worden vastgesteld voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding met name voor de voorwaarden waaronder persoonsgegevens in de arbeidsverhouding op basis van toestemming mogen worden verwerkt.
b. Verwerking noodzakelijk is voor de uitvoering van verplichtingen en uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht;
g. De verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens
wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
h. De verwerking noodzakelijk is voor doelen van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten, op grond van Uniewetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid;
Met het oog op de veiligheid is het heel gebruikelijk binnen de zeescheepvaart, dat zee-werkgevers een alcohol- en drugspolicy hanteren, waarbij de zeevarenden ad random worden getest op alcohol- of druggebruik (denk aan blaastesten, urinetesten, bloedtesten en speekseltesten).
Met het oog op de veiligheid is het heel gebruikelijk binnen de zeescheepvaart, dat zee-werkgevers een alcohol- en drugspolicy hanteren, waarbij de zeevarenden ad random worden getest op alcohol- of druggebruik (denk aan blaastesten, urinetesten, bloedtesten en speekseltesten).
Betrof uitkomsten van adem- en wangslijmtesten. Wie niet mee wilde werken zou een gesprek met de leidinggevende krijgen en liep het risico op een andere positie te worden geplaatst.
Inzage medicijngebruik voorbehouden aan bedrijfsarts in het kader van de begeleiding en re-integratie van zieke werknemers. Het moet daarbij wel gaan om werknemers die werkzaamheden uitvoeren waarbij gevaar voor de werknemer of omstanders kan ontstaan bij gebruik van deze medicijnen.
Verwerkingsdoeleinden, categorieen betrokkenen, ontvangers, doorgiftes, bewaartermijnen, beschrijving beveiliging
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Ik ben ervoor om dit register een prominentere plaats te geven. Het is mijns inziens de essentie van de AVG voor bedrijven. Het biedt inzicht in de verwerkingen, de grondslagen, de bewaartermijnen et cetera.
Discussie over hoe specifiek je moet zijn. Er zijn partijen die daar heel ver in gaan. Op 25 mei moet er in ieder geval een goede basis staan als volledige invulling niet haalbaar is, die dan vervolgens kan worden aangevuld. Het is immers een levend document.
Belangrijke vraag is: hoe krijg je dit goed ingevuld? Doe je het aan de hand van ICT applicaties / aan de hand van bedrijfsonderdelen aan de hand van questionnaires naar de managers. Snappen de managers de questionnaires?
Verwerkingsdoeleinden, categorieen betrokkenen, ontvangers, doorgiftes, bewaartermijnen, beschrijving beveiliging
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
‘Kerntaken’ zijn de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De Richtlijnen verduidelijken dat ook de activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker inhouden, kerntaken zijn.
De AVG definieert niet wat precies wordt verstaan onder verwerkingen op ‘grote schaal’. De Richtlijnen beschrijven wel een aantal wegingsfactoren die relevant kunnen zijn (namelijk aantal betrokkenen, hoeveelheid gegevens, duur van de gegevensverwerking en geografische reikwijdte van de gegevensbescherming) en geven voorbeelden van verwerkingen op grote schaal.
Van ‘regelmatige en stelselmatige observatie van betrokkenen’ is sprake als het gedrag van betrokkenen wordt gemonitord. De Richtlijnen noemen onder andere de voorbeelden; e-mail retargeting; profilering voor risicoanalyse, lokaliseren met behulp van mobiele apps, advertenties op basis van internetgedrag en het gebruik van beveiligingscamera’s.
‘Kerntaken’ zijn de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De Richtlijnen verduidelijken dat ook de activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker inhouden, kerntaken zijn.
De AVG definieert niet wat precies wordt verstaan onder verwerkingen op ‘grote schaal’. De Richtlijnen beschrijven wel een aantal wegingsfactoren die relevant kunnen zijn (namelijk aantal betrokkenen, hoeveelheid gegevens, duur van de gegevensverwerking en geografische reikwijdte van de gegevensbescherming) en geven voorbeelden van verwerkingen op grote schaal.
Van ‘regelmatige en stelselmatige observatie van betrokkenen’ is sprake als het gedrag van betrokkenen wordt gemonitord. De Richtlijnen noemen onder andere de voorbeelden; e-mail retargeting; profilering voor risicoanalyse, lokaliseren met behulp van mobiele apps, advertenties op basis van internetgedrag en het gebruik van beveiligingscamera’s.
In het strafrecht en het bestuurlijk boeterecht kunnen naast de rechtspersoon in voorkomend geval ook de bestuurders van die rechtspersoon worden bestraft. Zij kunnen aansprakelijk worden gesteld wegens feitelijk leiding geven aan de verboden gedragingen van hun rechtspersoon. De wettelijke regeling spreekt daarbij geen voorkeur uit: de strafvervolging of bestuurlijke beboeting kan zich derhalve richten op de rechtspersoon, op de bestuurder(s) of op beide(n) tezamen.
In het civiele recht geldt daarentegen wèl een duidelijke voorkeur in de aansprakelijkstelling. Zie bijvoorbeeld HR 6 februari 2015, ECLI:NL:HR:2015:246. Indien de rechtspersoon een onrechtmatige daad heeft gepleegd doordat hij zijn wettelijke verplichtingen niet is nagekomen, geldt als uitgangspunt dat alleen de rechtspersoon zelf aansprakelijk is voor daaruit voortvloeiende schade. Slechts onder bijzondere omstandigheden bestaat ruimte voor bestuurdersaansprakelijkheid. Aan de bestuurder moet een ernstig en persoonlijk verwijt kunnen worden gemaakt. In het bijzonder is vereist dat hij wist of redelijkerwijze had behoren te begrijpen dat schade zou optreden waarvoor de rechtspersoon geen verhaal zou bieden. Daarmee ligt de lat voor bestuurdersaansprakelijkheid in het civiele recht hoger dan in het strafrecht en het bestuurlijk boeterecht.
Zoals terecht opgemerkt door AFM gaat het om een additionele en discretionaire bevoegdheid: de mogelijk op te leggen boete aan een feitelijk leidinggevende komt naast, niet in de plaats van de boete die aan de normadressant kan worden opgelegd.”
Bij een rechtspersoonlijkheid bezittende onderneming is de rechtspersoon de verantwoordelijke in de zin van de Wbp. Aangezien de verantwoordelijke in de zin van de Wbp de drager is van rechten en verplichtingen, ligt het voor de hand dat het Cbp in geval van overtreding door een rechtspersoon (verantwoordelijke) de rechtspersoon daarvoor een bestuurlijke boete oplegt. Dit neemt echter niet weg dat daarnaast of plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden. Deze natuurlijke personen kunnen bestuurders zijn van de onderneming, maar het kunnen ook andere personen zijn binnen de organisatie.
Zonder het expliciet te noemen verwijst de regering naar het strafrechtelijke Slavenburg II-arrest waarin de Hoge Raad heeft bepaald dat indien een functionaris, hoewel daartoe bevoegd en redelijkerwijs gehouden (het machtscriterium), maatregelen ter voorkoming van strafbare gedragingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat de verboden gedragingen zich zullen voordoen (het aanvaardingscriterium), hij geacht wordt opzettelijk de verboden gedragingen te hebben bevorderd.
Wie betaalt de boete?
De regering wijst verder op de mogelijkheid dat een (arbeids)overeenkomst tussen een bestuurder en de organisatie waarin staat dat een boete van de Autoriteit Persoonsgegevens toch door de rechtspersoon zal worden vergoed, in strijd zou kunnen zijn met de openbare orde en daarmee nietig zou kunnen zijn. De regering is hier echter niet stellig in en is dan ook van mening dat het aan de rechter is om zich hierover uit te laten:
De regering wijst er tot slot nog op dat het in de praktijk waarschijnlijker is dat een boete wordt opgelegd aan de rechtspersoon dan aan een bestuurder. “Het beboeten van feitelijk leidinggevenden of feitelijke opdrachtgevers brengt immers een zwaardere bewijslast mee omdat de toezichthouder aannemelijk moet maken dat de natuurlijke persoon daadwerkelijk feitelijk leiding heeft gegeven of feitelijk opdracht heeft gegeven tot het verrichten van de verboden gedraging en heeft nagelaten om maatregelen te treffen om de verboden gedraging te voorkomen.” Dit neemt echter niet weg dat de kans dus wel bestaat dat de Autoriteit Persoonsgegevens de boete aan een bestuurder oplegt. Daarnaast kan de rechtspersoon besluiten de bestuurder (intern) aansprakelijk te stellen voor de schade als gevolg van overtreding van de privacywetgeving. Tot slot, kunnen ook de personen wiens persoonsgegevens onrechtmatig zijn verwerkt of zelfs gelekt, besluiten om een bestuurder persoonlijk aansprakelijk te stellen.
Artikel 5:1
Vergelijk versies
Opslaan
Relaties (...)(Externe link)
Permanente link
1 In deze wet wordt verstaan onder overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig wettelijk voorschrift.
2 Onder overtreder wordt verstaan: degene die de overtreding pleegt of medepleegt.
3 Overtredingen kunnen worden begaan door natuurlijke personen en rechtspersonen. Artikel 51, tweede en derde lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
Indien een strafbaar feit wordt begaan door een rechtspersoon, kan de strafvervolging worden ingesteld en kunnen de in de wet voorziene straffen en maatregelen, indien zij daarvoor in aanmerking komen, worden uitgesproken:
1°. tegen die rechtspersoon, dan wel
2°. tegen hen die tot het feit opdracht hebben gegeven, alsmede tegen hen die feitelijke leiding hebben gegeven aan de verboden gedraging, dan wel
3°. tegen de onder 1° en 2° genoemden te zamen.
Aanstellingskeuring alleen op grond van WMK
Wet Medische KeuringenZiet zowel op verzekeringskeuringen als aanstellingskeuringen
Art 4 lid 1 WMK: aanstellingskeuring mag alleen als er bijzondere eisen aan functie worden gesteld op het punt van medische geschiktheid
Art 4 lid 2 WMK: In het selectieproces mogen door door wg geen vragen over ziekteverzuim of medische toestand worden gesteld
Psychologisch onderzoek lijkt buiten bereik Wmk te vallen
VOG
VOG alleen op grond van de wet Justitiële en strafvorderlijke gegevensNoodzakelijk voor functie om gegevens over gedrag uit verleden te weten. Niet afgeven van de verklaring= wn is niet geschikt voor functie
Sollicitatiegesprek
Meldplicht werknemer bij ziekte waarvan hij weet dat deze hem ongeschikt voor de functie maakt (HR Mijnals, precontractuele goede trouw)> wetenschap wordt niet snel aangenomen. HIV of WIA uitkering genieten of WAO verleden is niet voldoende.(sanctie: OSV en geen recht op loondoorbetaling bij ziekte ogv 7:678 lid 2 BW en artikel 7:629 lid 3 onderdeel a BW)
Wel: wn moet wg informeren over zijn mogelijke aanspraak op ziekengeld obv no ris polis (artikel 38b Ziektewet) na 2 maanden in dienst te zijn geweest (niet tijdens eerste 2 maanden vanwege proeftijd)
Meldplicht omtrent strafrechtelijk verleden wn wordt conform Mijnals rechtspraak aangenomen: indien sollicitant weet of behoort te weten dat zijn strafrechtelijk verleden hem ongeschikt kan maken voor de functie, dient hij dit te melden.
Ktr Enschede in kort geding (JAR 2013/58): basisarts na 15 jaar cel wegens in brand laten steken echtgeoot: geen meldplicht bij sollicitatieKtr Enschede bij ontbindingsprocedure (JAR 2013/80): wel meldplicht tav detentie en strafbare feit, maar vooral tav de gediagnosticeerde persoonlijkheidsstoornis
ReferentiesAlleen met voorafgaande toestemming wn opvragen ogv NVP sollicitatiecode
Let (andersom) op: je kan als oud werkgever ogv onrehctmatige daad aansprakelijk worden gesteld voor de schade voortvloeiende uit de belastende informatie die jij, zonder toestemming wn, aan de nieuwe werkgever geeft:Kt Eindhoven ( JAR 2006/91 en Rb. Rotterdam 20 november 2013 (9373)
Hof Den Haag (JAR 2007/125); verstrekken informatie echte hoogte studieschuld (23 k ipv 41 k) is onrechtmatig jegens ex werknemer. Wel correctie ogv ES toerekening en billijkheidscorrectie tot € 0.
IS SM account gerelateerd aan zakelijk doel?
Is content SM relevant voor baan?
Is er geen andere minder vergaande manier je behoefte in te vullen?
Weet sollicitant dat SM screening tot de procedure behoort?
Ja, check mag.
Hoogleraren: nee kan niet, uitgesloten.
Wij een wat genuanceerder standpunt, misschien grondslag in b) noodzakelijk uitoefening
h) beoordeling van de arbeidsgeschiktheid werknemerZou je m in kunnen lezen?
In cao kan opgenomen worden
Hemmer: onder WBP niet, onder AVG misschien
Kan onder de WMK vallen
Nu relevant:
AP kan doorpakken op grond van boeterisico’s
Bijzondere gevallen: bijvoorbeeld een concrete verdenking van een strafbaar feit
Doel: controle van naleving regels, voorkomen van negatieve publiciteit, voorkomen van seksuele intimidatie> grondslag uitvoering arbeidsovereenkomst of zwaarwegend belang
Werknemer is op staande voet ontslagen nadat hij vertrouwelijke documenten van werkgever naar zijn zakelijke email adres heeft gestuurd.
Werknemer deed dit op de dag dat werkgever had aangekondigd het dienstverband met werknemer te zullen beëindigen. Het ontslag op staande voet houdt geen stand maar de rechtbank ontbindt de arbeidsovereenkomst wegens de duurzaam verstoorde arbeidsverhouding.
De werknemer vordert schadevergoeding wegens onrechtmatig handelen door werkgever. De werknemer stelt dat werkgever zijn privacy in ernstige mate heeft geschonden door zonder zijn toestemming en zonder gerechtvaardigd doel zich toegang tot zijn zakelijke e-mail account te verschaffen en zijn e-mailberichten te doorzoeken, aldus zou artikel 8 EVRM geschonden zijn.
De kantonrechter overweegt dat op grond van rechtspraak van het Europese Hof voor de Rechten van de Mens de werkgever slechts de e-mailberichten van zijn werknemer kan controleren indien voor de werknemer kenbaar was of kenbaar had kunnen zijn, dat zijn e-mailberichten kunnen worden gecontroleerd, er sprake is van een gerechtvaardigd doel en er is voldaan aan de proportionaliteitstoets.
- Werknemer heeft ter zitting verklaard dat hij ervan op de hoogte was dat werkgever zijn e-mails kan controleren. Aan het eerste vereiste voor een werkgever om te mogen controleren is derhalve voldaan. De omstandigheid dat werknemer een aantal belangrijke bestanden naar zichzelf had toegestuurd kort nadat werkgever kenbaar had gemaakt naar een beëindiging van de arbeidsovereenkomst te streven, heeft bij werkgever de terechte vraag opgeworpen welke intenties werknemer daarmee had en vormt naar het oordeel van de kantonrechter een gerechtvaardigd doel om tot controle over te gaan. Ook het gekozen middel wordt proportioneel geacht.
Cameratoezicht- OR dient voorafgaand toestemming te geven- moet gemeld worden bij AP (let op: niet meer onder de AVG)
- Informeren wn over cameratoezicht (bordjes, protocol, etc)
Verborgen cameratoezicht
bijzonder gevallen en laatste redmiddel, bijv., concrete verdenking strafbaar feit. Niet voor trainingsdoeleinden: Mystery shopper geen gerechtvaardigd belang – Media Markt uitspraak
alleen tijdelijk
alleen als op geen andere manier bewijs is te verzamelen en de camera alleen het noodzakelijke vastlegt
alleen als wn kenbaar is dat heimelijk cameratoezicht mogelijk is
wn achteraf informeren over heimelijk toezicht
Monitoring in gevoelige ruimten (sanitair, pauzeruimten, religieuze ruimten etc mag vrijwel nooit)
Vangnetregeling geldt voor:- werknemers die door zwangerschap ao zijn
- werknemers die door orgaandonatie ao zijn
- no risk polis> werknemers met een ao verleden die binnen 5 jaar na indiensttreding weer ao worden en oudere werknemers die voorafgaand aan de indiensttreding minimaal 52 weken een WW hebben ontvangen en die binnen 5 jaar na indiensttreding (langdurig) ao worden> alleen als hij 2 maanden in dienst is
Kritiek uit literatuur op “Werkgever mag niet vragen naar mogelijkheden of beperkingen werknemer”- Juridische grondslag voor verbod zou niet kloppen- bij kortdurend verzuim geen BA oordeel verlangd, dus hoe ga je dan re-integreren dat wettelijk
verplicht is? (artikel 7:658 lid 2 BW)- Voorzieningenrechter Midden Nederland JBP 2016/113: vastlegging ao percentage strijdig met artikel 16 WBP> strijd met eerdere standpunten AP. CBP en wetgeschiedenis?