Door Annemarijke Bach Kolling 
Op 1 oktober jl. is de Landsverordening bescherming persoonsgegevens op Curaçao in werking getreden. Over het nut van deze regeling zijn de meningen verdeeld. Voorstanders van privacy-bescherming zijn blij dat de regeling eindelijk is ingevoerd. Sceptici hechten hier echter minder waarde aan omdat zij ‘toch niets te verbergen’ hebben. Of u nu van het ‘Big-Brother-is-watching’-kamp bent of de ‘niets-te-verbergen’-school, als u een bedrijf heeft met werknemers, heeft u hoe dan ook met de nieuwe privacy-regels te maken. Bijvoorbeeld als het gaat om het aanleggen van personeelsdossiers. Wat mag er nu wel en niet in het personeelsdossier zitten en waar moet een werkgever allemaal op letten?
De nieuwe landsverordening schrijft voor dat de verwerking van ‘persoonsgegevens’ op zorgvuldige en rechtmatige wijze moet plaatsvinden. Onder ‘persoonsgegevens’ valt niet alleen informatie zoals de naam, het adres en de geboortedatum, maar alle informatie die op een of andere manier te herleiden is tot een bepaald persoon, valt onder het begrip ‘persoonsgegevens’. Dit wordt breed geïnterpreteerd. U kent misschien het voorbeeld van de Google Street View-auto’s; Google bleek jarenlang stelselmatig met de Google Street View-auto’s het unieke nummer van miljoenen wifi-routers (het zogenaamde MAC-adres) te hebben verzameld. Deze informatie leverde tot personen herleidbare gegevens op. Google bleek bovendien over informatie afkomstig uit de inhoud van e-mails en uit surf- en chatgedrag te beschikken, zoals e-mailadressen, medische gegevens en informatie over financiële transacties. Er ontstond flink wat ophef en Google werd op de vingers getikt door het Nederlandse College Bescherming Persoonsgegevens.
Persoonsgegevens mogen alleen verzameld worden in het kader van een specifiek omschreven ‘gerechtvaardigd doel’. Het verzamelen van persoonsgegevens in een personeelsdossier voldoet daaraan. Een werkgever moet immers kunnen voldoen aan bepaalde wettelijke verplichtingen (denk aan de betaling van belasting en premies) en moet een effectief personeelsbeleid uit kunnen voeren. Werknemers moeten wel geïnformeerd worden over de doeleinden waarvoor de gegevens verzameld worden. Het uitgangspunt van privacy-bescherming is verder dat zo min mogelijk persoonsgegevens worden verwerkt; gegevens over de werknemer die niet relevant zijn in het licht van dat doel (zoals privé-informatie) mogen niet verzameld worden. Mocht u de gewoonte hebben om uw werknemers te googlen en de gevonden (privé)-informatie uit te printen en in het personeelsdossier te bewaren (echt waar, dat komt voor), dan kunt u daar dus maar beter mee stoppen.
Gegevens met betrekking tot klachten, waarschuwingen, beoordelingsgesprekken, loopbaanbegeleiding, opleidingen en verzuimfrequentie mogen in het personeelsdossier worden opgenomen. Medische informatie mag echter niet in het personeelsdossier zitten. Bepaalde privacy-gevoelige gegevens (zoals met betrekking tot ras, seksuele geaardheid, politieke voorkeur, godsdienst, vakbondlidmaatschap) mogen ook niet verzameld worden.
De werkgever is verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens en moet ook passende maatregelen treffen om de gegevens te beveiligen. Alleen bepaalde personen binnen het bedrijf (zoals de directie, HR functionaris, salarisadministratie) mogen toegang tot de gegevens hebben. Vorige week verscheen in de Nederlandse media het spraakmakende bericht dat vertrouwelijke informatie over 40.000 klanten van internetprovider Ziggo door de onverantwoorde actie van een werknemer op straat kwam te liggen. De werknemer had de gegevens - in strijd met de bedrijfsregels - op een onversleutelde laptop gezet en vervolgens was de laptop gestolen. De werkgever is uiteindelijk verantwoordelijk voor het datalek.
Werknemers hebben het recht om hun personeelsdossier in te zien. Een uitgekookte werknemer heeft eens geprobeerd om dit recht te misbruiken. Nadat een arbeidsgeschil was ontstaan vroeg de werknemer vertrouwelijke communicatie op tussen de leidinggevende en de bedrijfsjurist. De rechter oordeelde dat het inzagerecht ook weer niet zo ver reikt dat persoonlijke notities die uitsluitend bedoeld zijn voor overleg en beraad daaronder vallen.
Tot slot een paar praktische tips om uw personeelsdossiers privacy-proof te maken:
1. Stel het doel van de gegevensverzameling vast en informeer uw werknemers over dat doel;
2. Vraag toestemming voor het gebruik van persoonsgegevens dat strikt genomen niet noodzakelijk is voor de uitvoering van de arbeidsovereenkomst (bijvoorbeeld bij het plaatsen van informatie over werknemers op de website);
3. Schoon personeelsdossiers regelmatig op en verwijder zonodig gegevens die daar niet thuis horen. Persoonlijke notities voor intern gebruik kunt u uit het personeelsdossier verwijderen en op een separate plek bewaren.
4. Verwijder gegevens die langer bewaard worden dan noodzakelijk voor het doel waarvoor zij verzameld zijn. Voor verschillende typen gegevens gelden verschillende bewaartermijnen;
5. Neem passende technische en procedurele maatregelen en/of controleer bestaande procedures voor de toegang en beveiliging van de gegevens; stem dit zonodig ook af met derden die u inschakelt (bijvoorbeeld een externe salarisadministrateur, IT-beheerder, recruiter);
Overigens heeft de privacy-regeling niet alleen gevolgen voor personeelsdossiers, maar speelt dit ook op andere terreinen: bij de screening van sollicitanten, internet- en e-mailgebruik en social media beleid, bij camera-opnames, het afgeven van referenties, optreden bij integriteitskwesties enz. Werkgevers zullen dus steeds meer voor nieuwe vraagstukken te komen staan. Eén ding kan ik u alvast meegeven: met het argument dat werknemers er maar voor moeten zorgen dat zij niets te verbergen hebben komt u niet zo makkelijk meer weg.

Mr. A. Bach Kolling is advocaat/partner bij Spigt Dutch Caribbean advocaten en belastingadviseurs

annemarijkebachkolling


Het Antilliaans Dagblad is de enige lokale Nederlandstalige ochtendkrant van Curaçao, Bonaire en Aruba. Op Sint Maarten, Sint Eustatius en Saba, alsmede in Nederland en andere landen is een online-abonnement eenvoudig mogelijk via online.ad.cw

antdagblad-logo


Print-abonnee worden of voor meer algemene informatie? Stuur dan een mail naar [email protected]. Met naam, adres en telefoonnummer. Abonnementsprijs is ANG 35,00 inclusief OB per kalendermaand. Print-abonneren is alleen mogelijk op Curaçao.