6.3 Digitaal onderzoek
geauto- matiseerd
Veel werkprocessen ondergaan op verschillende momenten een geautomatiseerde verwerking. Een werknemer vraagt iets digitaal aan, verwerkt een order, mailt een klant of pleegt overleg via zijn mobiele telefoon. Als u fraude op het spoor bent, kunt u deze bronnen zo goed mogelijk proberen te doorzoeken.
Niet alle informatie blijft opgeslagen of is gearchiveerd, maar de kenner kan nog veel oproepen of terughalen. Zulke kenners moet u extern zoeken. Dit is echter gerechtvaardigd als u serieuze verdenkingen heeft van fraude.
6.3.1 Traceersysteem
traceren
Met een track-en-tracesysteem kunt u personen, voertuigen en voorwerpen registreren. U kunt zo belangrijke handelingen van werknemers traceren op hun mobiele telefoon of computer en een overzichtelijke rapportage opvragen. Er zijn nogal wat mogelijkheden op dit gebied. Zo kan een verhuurbedrijf van bestelwagens het aantal gereden kilometers en het tijdsgebruik achterhalen. En een servicebedrijf weet bijvoorbeeld hoe lang een monteur bij een klant aan het werk is geweest, zodat er een factuur kan worden opgemaakt. De extra controlemomenten maken het gemakkelijker om fraude op te sporen.
Privacy werknemer
Controle van werknemers is niet verboden, maar u moet daarbij wel rekening houden met de privacy van uw werknemers. De controle moet voldoen aan de voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
legitieme reden
noodzakelijk
informeren
instemming
heimelijk controleren
stelselmatig
De belangrijkste voorwaarden zijn:
- U heeft een legitieme reden (gerechtvaardigd belang) en dit belang moet zwaarder wegen dan het privacybelang van uw werknemers.
- De controle moet noodzakelijk zijn. Dat betekent dat er geen andere manieren mogelijk zijn om uw doel te bereiken, die minder ingrijpend zijn voor de privacy van uw werknemers.
- U informeert uw werknemers over wat mag en wat niet, dat controle kan plaatsvinden en op welke manier dat gebeurt. Dit kan bijvoorbeeld met een fraudeprotocol (zie paragraaf 3.2).
- U houdt rekening met het recht op vertrouwelijke communicatie van uw werknemers, bijvoorbeeld bij de controle van e-mail of telefoon.
- U vraagt vooraf instemming aan de ondernemingsraad (OR) bij een regeling voor (heimelijke) controle. Voor het heimelijk controleren van uw personeel moet u voldoen aan extra voorwaarden. Deze vindt u op de site van de Autoriteit Persoonsgegevens (AP).
- Wilt u grootschalige verwerkingen of stelselmatige monitoring van persoonsgegevens inzetten? Denkt u aan controle van e-mail- en internetgebruik, GPS-systemen in (bestel-)auto’s of cameratoezicht? Dan moet u eerst een data protection impact assessment (DPIA) uitvoeren. Blijkt uit de DPIA dat de beoogde controle een hoog risico oplevert? En kunt u geen maatregelen vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de controle van personeel start.
Heeft uw onderneming een functionaris gegevensbescherming, dan moet hij u adviseren bij de uitvoering van de data protection impact assessment.
6.3.2 Zakelijke middelen
thuis
vernietigen
Besluit u om een IT-expert in te schakelen voor onderzoek, dan moet hij zich beperken tot de digitale middelen die de werknemer vanuit zakelijk oogpunt gebruikt. Bij een werknemer thuis mag u vanwege privacyoverwegingen geen onderzoek laten uitvoeren. U mag weer wel een eventuele computer die eigendom is van de onderneming meenemen naar de werkplek om deze te onderzoeken. Originele data vernietigen of wijzigen is verboden. Verzameld onderzoeksmateriaal dat achteraf overbodig blijkt, moet u juist vernietigen.