In Privacy

Privacyverplichtingen in een arbeidsovereenkomst zijn een nieuw fenomeen.

Bij privacy en werknemers denk je al snel aan de belangen van werknemers bij het afstaan van persoonsgegevens aan de werkgever. Denk aan persoonsgegevens die bijvoorbeeld nodig zijn voor aanmelding bij een pensioenfonds of bij verzekeringen die een bedrijf sluit.

Nieuw is dat ook in de arbeidsovereenkomst bepalingen nodig kunnen zijn. Dit speelt vooral als een werknemer in zijn werk te maken krijgt met de verwerking van persoonsgegevens.

Belangrijk voorbeeld daarvan zijn de bewerkersovereenkomsten die IT bedrijven momenteel in toenemende mate sluiten met opdrachtgevers. In deze overeenkomsten worden afspraken gemaakt over (onder meer) een “juiste wijze van verwerken van en omgaan met persoonsgegevens”. Daarbij wordt doorgaans ook vastgelegd dat de eigen medewerkers zich aan deze verplichtingen zullen houden.

Echter, in de arbeidsovereenkomst of een addendum daarop worden genoemde verplichtingen en de wijze van werken zelden vastgelegd.

De vraag is of een werkinstructie waarin de wijze van werken afdoende is. Het gaat immers om specifieke verplichtingen waaraan een werknemer zich dient te houden. Verder worden in bewerkersovereenkomsten meestal boetes op overtreding gesteld. Als een werkgever deze boetes wil verhalen op zijn overtredende medewerkers, zal hij het nodige moeten doen om te zorgen dat de medewerkers weten hoe te handelen en waar op te letten. En dan nog is het de vraag of eventuele schade één op één op een werknemer is te verhalen omdat een werkgever verantwoordelijk is en blijft voor zijn ondergeschikten en de inrichting van “het werk”.

Awareness

Het is dus belangrijk dat medewerkers bewust worden gemaakt van de verplichtingen die gepaard gaan met het verwerken van persoonsgegevens, in privacy termen ook wel “awareness” genoemd. Het laten slingeren van een USB stick lijkt bijna een ouderwets voorbeeld in deze tijden van digitaal en flexibel werken. Meer actueel is het achteloos verzenden van persoonsgegevens per mail aan een derde of het openen van onbekende bijlagen waardoor hackers toegang krijgen tot het systeem met alle gevolgen van dien. Recente voorbeelden zijn bol.com, NS en Yahoo! waarbij duizenden persoonsgegevens op straat kwamen te liggen.

Mocht het ondanks alle inspanningen dan toch nog misgaan dan is er al snel sprake van een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens. Of die gelijk boetes gaat opleggen hangt af van de vraag welke acties er zijn ondernomen om dergelijke fouten (in de toekomst) te voorkomen.

Actie!

Loop arbeidsovereenkomsten na en vergelijk deze met de verplichtingen die met klanten zijn aangegaan. Als die niet in lijn zijn met elkaar is aanpassing van de standaard arbeidsovereenkomst nodig tegelijk met een aanvulling op de lopende contracten. Verder is het creëren van awareness over het omgaan en verwerken van persoonsgegevens essentieel.

Voor informatie en advies kunt u terecht bij mr Jeroen van der Werf.

jeroenvanderwerf@voorrecht.com | 06 – 433 79 657

blog_privacy_keybord
Recent Posts