- Iedere medewerker mag verwachten dat een werkgever gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier verwerkt.
- De werkgever en de werknemer zijn verplicht zich als een goed werkgever en een goed werknemer te gedragen. Artikel 7:611 Burgerlijk Wetboek
- De wet bepaalt welke persoonsgegevens mogen worden verzameld en gebruikt, door wie en onder welke voorwaarden. Artikel 10 lid 2 Grondwet
- De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van die gegevens. Artikel 10 lid 3 Grondwet
- De ondernemer behoeft de instemming van de ondernemingsraad voor elk door hem voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. Artikel 27 lid 1 sub k Wet op de Ondernemingsraden (WOR)
Wat betekent dit in de praktijk voor het gebruik van personeelsinformatiesystemen?
Het uitgangspunt is dat iedere werkgever zijn personeelsinformatiesystemen mag gebruiken in het kader van HR-analytics, mits het doel daarvan maar verenigbaar is met het doel waarvoor de gegevens in de desbetreffende systemen zijn opgenomen.
Om te kunnen spreken van verenigbaarheid moet onder andere worden gelet op:
- de aard van de gegevens (om wat voor gegevens gaat het?);
- het doel waarvoor de gegevens aanvankelijk zijn verzameld;
- de waarborgen die de organisatie in acht heeft genomen om de belangen van de medewerker te beschermen (denk aan het anonimiseren van de gegevens of het beperken van de toegangsrechten).
Zo mogen salarisgegevens worden gebruikt om historische trends in salarisontwikkeling binnen de organisatie te analyseren. Gegevens over de leeftijd en het geslacht van medewerkers mogen gebruikt worden om ontwikkelkansen in kaart te brengen. Het verstrekken van persoonsgegevens aan een externe partij voor data-analyse valt in principe ook onder die vrijheid. Als werkgever data-analyse mag toepassen, dan mag hij dat ook laten doen door een externe partij. Het geaggregeerd rapporteren van gegevens is in principe toegestaan, bijvoorbeeld door ze voorafgaand aan de rapportage tot groepsniveau te aggregeren. Hiertoe volstaan groepen vanaf tien medewerkers, al vindt de AP groepen vanaf vijf personen soms al acceptabel. Ook het koppelen van gegevens uit personeelsinformatiesystemen met andere gegevens – bijvoorbeeld klantbeoordelingen – is toegestaan, zolang dit maar bedoeld is voor het verbeteren van het gedrag en de prestaties van medewerkers.
Gebruik dat alleen is toegestaan bij een gerechtvaardigd belang
In bepaalde gevallen is toestemming van de betrokkene(n) cruciaal. Zo mag een werkgever niet zomaar persoonsgegevens verzamelen uit internetbronnen of sociale media, zoals LinkedIn, Facebook of Twitter. Die gegevens zijn door de betrokkenen immers niet (expliciet) openbaar gemaakt met het doel om door werkgevers gebruikt te worden, bijvoorbeeld in het kader van HR-analytics. Wil een werkgever dergelijke gegevens verwerken, dan moet hij een gerechtvaardigd belang hebben dat zwaarder weegt dan het belang van (toekomstige) werknemers. De gegevens moeten ook nog eens ‘noodzakelijk’ zijn voor dat belang.
Gebruik in principe nooit toegestaan
Dan zijn er nog de bijzondere persoonsgegevens, die informatie bevatten over:
- iemands ras of etniciteit;
- politieke opvattingen;
- religieuze of levensbeschouwelijke overtuigingen;
- lidmaatschap van een vakbond;
- genetische eigenschappen;
- biometrische kenmerken (gebruikt om mensen uniek te identificeren);
- gezondheid;
- seksueel gedrag of seksuele gerichtheid.
Voor de verwerking hiervan gelden strenge voorwaarden. Afgezien van de gevallen waarin het verwerken hiervan wettelijk voorgeschreven is, zullen de meeste werkgevers hiervoor in de praktijk geen toestemming kunnen krijgen. Voor het gebruik ten behoeve van positieve discriminatie is toestemming weer niet nodig, hetgeen in een HR-context relevant kan zijn.
Instemming ondernemingsraad
De werkgever heeft voor het verwerken van personeelsgegevens veelal de instemming nodig van de ondernemingsraad. Verder moet hij tegenover de medewerkers transparant zijn over het gebruik van de gegevens. Dat kan onder meer door het opstellen van een privacyverklaring.
Vragen of klachten van medewerkers
Medewerkers met vragen of klachten over het verwerken van persoonsgegevens kunnen deze het beste eerst aan de directie richten. Of aan de Functionaris Gegevensverwerking, ingeval de regels voorschrijven dat de organisatie die aanstelt. Deze kan op organisatieniveau optreden als ombudsman. Los daarvan heeft de medewerker altijd de mogelijkheid om naar de rechter te stappen of de AP te betrekken. Die laatste kan ambtshalve of op verzoek een onderzoek starten en dwang uitoefenen (‘last onder dwangsom’).