U bent hier

Organisatie & Leidinggeven
Ontwikkelingen voor managers2. Privacy op de werkvloer2.1 Werknemers
Voor Organisatie & Leidinggeven

2.1 Werknemers

Dit artikel is eerder verschenen als Themadossier MT Rendement
Publicatiedatum: maart 2017

bedrijfs­middelen

WBP

Het is anno 2017 niet moeilijk om in de gaten te houden waar uw medewerkers zich mee bezighouden op een werkdag. Het internetverkeer is tenslotte eenvoudig te monitoren, e-mail kan worden gescand en websitebezoeken kunnen worden geanalyseerd. Maar dat de mogelijkheid bestaat, wil niet zeggen dat u zomaar mág monitoren. U moet rekening houden met het recht op privacy. Uw organisatie mag niet zomaar bijhouden wat werknemers, bezoekers of klanten doen, ook niet bij webwinkelen, privégebruik van internet, e-mail of telefoon. Dat valt namelijk onder de Wet bescherming persoonsgegevens (WBP). Uw organisatie stelt bedrijfsmiddelen zoals internettoegang beschikbaar omdat werknemers deze nodig hebben om hun werk te doen. Bedrijfsmiddelen zijn eigendom van de werkgever. Hij mag dus regels stellen voor het gebruik van die middelen en in principe nagaan of mensen zich aan die regels houden. Aan de andere kant heeft het personeel recht op privacy, óók bij privégebruik van computer of internet.

Werk en privé lopen in elkaar over

Regels en beperkingen voor privégebruik van bedrijfsmiddelen zijn prima, zolang ze niet neerkomen op persoonsgericht monitoren of op een totaalverbod van privégebruik. Aangezien de grenzen tussen privé en zakelijk sterk zijn vervaagd, moeten werkgevers accepteren dat werknemers onder werktijd privézaken regelen en hun persoonlijke netwerk onderhouden. Aan de andere kant moeten werknemers tot op bepaalde hoogte accepteren dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten kantoortijden benaderd kunnen worden voor hun werk.

2.1.1 Legitieme monitordoelen

verwerking 
van persoonsgegevens

beveiligingsrisico

public ­relations

arbeids­conflicten

Bijhouden wat een werknemer doet op zijn computer is een vorm van verwerking van persoonsgegevens en mag dus alleen als er een legitiem doel is. De volgende zaken geven u een legitieme reden om een werknemer te monitoren:

  • Kosten: films downloaden is niet alleen vaak illegaal; het kan de werkgever ook nog eens een lieve duit kosten als hij geen abonnement met onbeperkt dataverkeer heeft. Ook kost het veel bandbreedte, waardoor het netwerk traag wordt en het reguliere werk eronder lijdt. Als een werknemer bijvoorbeeld illegale software gebruikt, kan dit de werkgever niet alleen een boete opleveren, maar ook imagoschade.
  • Beveiligingsrisico’s: een werknemer kan de fout ingaan door onvoorzichtig te werk te gaan. Denk aan malware binnenhalen of in een phishingmail trappen. Of wat dacht u van een map die gevoelige bedrijfsinformatie bevat per ongeluk openbaar delen bij een online opslagdienst?
  • Public relations: een werknemer moet nadenken over alles wat hij onder werktijd doet of zegt. Dus ook als iemand tweets en e-mails onder werktijd stuurt, kunnen de ontvangers denken dat hij namens de organisatie spreekt. Zeker als hij bijvoorbeeld reageert op een bericht over de organisatie, of blogt over het werk. Maar ook het op die manier publiceren van discriminerende teksten heeft consequenties voor de organisatie. U mag een werknemer op deze zaken aanspreken.
  • Juridisch: een werknemer kan de wet overtreden of mensen schade berokkenen van achter zijn bedrijfscomputer. Denk aan het illegaal verspreiden van muziek of televisieseries.
  • Arbeidsconflicten: pornografie of kwetsend materiaal bekijken of rondsturen kan de sfeer op de werkvloer behoorlijk verzieken. Als iemand de hele dag alleen maar op Facebook zit in plaats van zijn werk te doen, wekt dat irritaties op bij collega’s.

Gedragscode

protocol

Uw organisatie kan een gedragscode invoeren waarin staat wat wel en niet mag met de computer, bedrijfsmail, internetverbinding en (mobiele) telefoon. Zo kan een protocol verbieden om een abonnement te nemen op bepaalde sms-diensten of voorschrijven dat in het buitenland een prepaid-kaart wordt gebruikt in plaats van het zakelijke abonnement dat op de smartphone gebruikt wordt.

Grenzen stellen

Ook in een gedragscode mag de werkgever het privégebruik van bedrijfsfaciliteiten zoals privé-internetten niet volledig verbieden. Wel mag hij er grenzen aan stellen. Vaak kiest de organisatie de formulering ‘als dit niet storend is voor de dagelijkse werkzaamheden’. De situaties waarin de werkgever gericht mag kijken of deze grenzen worden overschreden, moeten expliciet worden genoemd in de gedragscode. Zo kan meelezen van e-mail gerechtvaardigd zijn als er klachten komen over beledigende mails of verzonden spam.

Social media

Facebook

Een gedragscode kan ook regels bevatten voor het gebruik van social media, zoals Twitter, Facebook of Instagram. Een werknemer kan namelijk per ongeluk verkeerde dingen zeggen op social media. Zo kan iemand in zijn enthousiasme een fusie bekendmaken op social media die nog niet wereldkundig gemaakt had mogen worden. Of iemand kan een conflict veroorzaken door zich negatief uit te laten over zijn leidinggevende op Twitter.

2.1.2 Cameratoezicht

verborgen ­camera’s

Het recht op privacy betekent ook dat u niet zomaar gebruik mag maken van cameratoezicht. U mag vanzelfsprekend geen verborgen camera’s in bijvoorbeeld de toiletruimtes of een kleedruimte plaatsen. Het plaatsen van verborgen camera’s op de afdeling is slechts bij uitzondering toegestaan en werknemers zullen het niet nalaten u op hun recht op privacy te wijzen.

De inzet van camera’s op de werkplek valt onder de Wet bescherming persoonsgegevens (WBP). Op grond van deze wet kan worden vastgesteld wanneer de inzet van verborgen camera’s redelijk is en wanneer niet.

Doel

subsidiariteit

Voor cameratoezicht moet u een duidelijk en concreet doel hebben. Denk bijvoorbeeld aan het opsporen van een dief of fraudeur, als er een concreet vermoeden bestaat. Daarnaast mogen er geen andere manieren zijn om het doel te bereiken. Dit wordt ook wel ‘subsidiariteit’ genoemd. Verder geldt het proportionaliteitsbeginsel, wat betekent dat u de belangen van de organisatie tegen de belangen van uw werknemers moet afwegen.

Rechtvaardigen

privébezig­heden

Waar de inzet van verborgen camera’s voor de opsporing van diefstal snel gerechtvaardigd zal zijn, is dat bij het controleren hoeveel tijd een werknemer per werkdag besteedt aan privébezigheden niet het geval. Ook is van belang dat u de verkregen beelden alleen gebruikt voor het vooraf vastgestelde doel. Plaatst u camera’s om fraude op te sporen en blijkt uit de beelden dat een werknemer niet goed functioneert, dan is het niet toegestaan om deze werknemer op zijn functioneren aan te spreken aan de hand van dit beeldmateriaal.

Geen boetes riskeren

Autoriteit Persoons­gegevens

Op grond van de Wet bescherming persoonsgegevens moet uw organisatie de verwerking van persoonsgegevens – zoals het filmen van personeel – vooraf melden bij de Autoriteit Persoonsgegevens (AP). Het is daarom van belang om de inzet van verborgen camera’s te melden. Doet uw organisatie dat niet, dan riskeert zij een bestuurlijke boete die kan oplopen tot € 810.000, afhankelijk van de zwaarte van de overtreding.

Op de hoogte stellen

kenbaarheidsvereiste

De organisatie moet het personeel er verplicht van op de hoogte stellen dat zij mogelijk verborgen camera’s kan plaatsen. Bij voorkeur natuurlijk niet op het moment dat er al misstanden zijn geconstateerd! Dat zou de inzet van de verborgen camera’s immers overbodig maken. Het is daarom goed om aan medewerkers kenbaar te maken dat het plaatsen van verborgen camera’s tot de mogelijkheid behoort. Dit kan via een aparte e-mail naar het personeel, maar ook door deze mogelijkheid te benoemen in het personeelsreglement of een onderzoeksreglement dat geldt in geval van misstanden. Voldoet uw organisatie niet aan dit zogenoemde ‘kenbaarheidsvereiste’, dan is de inzet van verborgen camera’s op de werkplek strafbaar.

De OR heeft ook iets te zeggen

onder­nemingsraad

ziekte van een werknemer

In de Wet op de ondernemingsraden (WOR) staat dat een werkgever instemming van de ondernemingsraad (OR) nodig heeft als hij een regeling omtrent een personeelsvolgsysteem wil vaststellen of wijzigen.
Het gebruik van camera’s op de werkvloer valt hieronder. Dit betekent dat als uw organisatie één enkele keer gebruikmaakt van verborgen camera’s, de ondernemingsraad hierbij niet betrokken hoeft te zijn. Zou het echter vaker voorkomen (twee keer of meer), dan wordt er al snel gesproken van een regeling en moet de ondernemingsraad hiermee instemmen. Het is dan ook zeker aan te raden om de OR hierbij te betrekken.

2.1.3 Privacy bij ziekte

medische ­gegevens

Bij ziekte van een werknemer heeft u veel te maken met gevoelige informatie. Het is bijvoorbeeld belangrijk dat de zieke werknemer vrijelijk informatie kan geven aan de bedrijfsarts, zodat die vervolgens de werkgever in algemene termen informeert over de re-integratiemogelijkheden. Er kwamen de afgelopen jaren echter steeds meer berichten dat werkgevers en verzuimbedrijven de grens opzochten van deze privacyregels. Bedrijfsartsen meldden soms druk te ervaren door werkgevers om medische gegevens van werknemers prijs te geven.

Vragen stellen

arbeidson­geschiktheid

De moderne opvatting over verzuim is dat een ziek gemelde werknemer als het even kan actief moet zijn, het liefst met werk. Daarom is het als leidinggevende verstandig om op regelmatige basis contact te houden met een zieke werknemer. Op die manier blijft de werknemer betrokken en voorkomt u mogelijk langdurige arbeidsongeschiktheid.

arbeidsmogelijkheden

U mag bij de verzuimbegeleiding alleen concrete vragen stellen over de arbeidsmogelijkheden van de werknemer (zie kader).

Wat mag u vragen aan een zieke werknemer?

Ziektewet

Als een werknemer zich ziek meldt, mag u niet vragen naar de aard of oorzaak van de ziekte. Op basis van de beleidsregels van de Autoriteit Persoonsgegevens mag u wel de volgende gegevens over de gezondheid van de zieke werknemer vragen en registreren:

  • het telefoonnummer en adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder één van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is bij wie u schade kunt verhalen.

Re-integratiemogelijkheden

Als u en de werknemer een goede relatie hebben, is het niet raar dat u aan de zieke werknemer vraagt hoe het gaat. In de praktijk komt het dan ook regelmatig voor dat een werknemer zelf over zijn gezondheid spreekt. Op basis van de Wet bescherming persoonsgegevens (WBP) mag die informatie niet geregistreerd worden. Een eventuele volgende leidinggevende heeft immers geen belang bij deze informatie.

aangepast werk

Werknemers worden soms sterk in beslag genomen door hun ziekte; ze willen er volop over praten. Een goede leidinggevende neemt de werknemer serieus, maar leidt het gesprek ook naar de re-integratiemogelijkheden. Hij denkt daarbij aan de volgende punten:

  • de plus- en minpunten van het werk en de invloed die dit heeft op zijn inzet;
  • invloed van de werknemer op zijn herstel en wat hij hiervoor van de werkgever nodig heeft;
  • afspraken over (tijdelijk) aangepast werk.

Koorts vertelt niet het hele verhaalSommige leidinggevenden vinden verzuim pas gegrond als ze weten dat de werknemer bij een dokter is geweest of koorts heeft. Dan weten ze eigenlijk nog niks. Medisch getinte vragen door een leidinggevende zorgen al snel voor discussie en zijn vanwege de privacyregels niet toegestaan. De bedrijfsarts is hiervoor veel bekwamer én bevoegd.

Registreren

loondoor­betaling

epilepsie

U komt er vaak niet onderuit om bepaalde informatie van een ziek gemelde werknemer te registreren. Denk bijvoorbeeld aan de hoogte van de loondoorbetaling of informatie die nodig is voor een declaratie bij een verzuimverzekeraar. Uitgangspunt is dat u administreert wat u nodig heeft voor uw taak, dus geen aard en oorzaak van de ziekte. Dat is echter moeilijk af te bakenen. Een notitie over een bezochte arts lijkt onschuldig, maar een bezoek aan een psychiater kan een werknemer nagedragen worden. De praktijk is weerbarstig. Want wat als een werknemer met epilepsie dit zelf of via de bedrijfsarts heeft gemeld aan de werkgever?

De Autoriteit Persoonsgegevens erkent dat de werkgever dan de directe collega’s over de ziekte moet informeren en over wat zij bij nood moeten doen. Een punt waar de AP volgens een groep organisaties in doorschiet, is dat een leidinggevende en een ziek gemelde werknemer niet zonder bedrijfsarts mogen afspreken welk deel van het werk de werknemer nog kan verrichten. Een werkgever mag wel concrete vragen stellen over de arbeidsmogelijkheden van de werknemer, maar hij mag niet in het algemeen vragen ‘wat een werknemer nog kan doen’. De klagende organisaties stellen dat een goede werkgever direct een bedrijfsarts beschikbaar heeft voor verschillen van inzicht, maar dat hij allereerst moet kunnen vertrouwen op het gezonde verstand van de leidinggevende en de werknemer.

bedrijfs­middelen
WBP
verwerking 
van persoonsgegevens
beveiligingsrisico
public ­relations
arbeids­conflicten
protocol
Facebook
verborgen ­camera’s
subsidiariteit
privébezig­heden
Autoriteit Persoons­gegevens
kenbaarheidsvereiste
onder­nemingsraad
ziekte van een werknemer
medische ­gegevens
arbeidson­geschiktheid
arbeidsmogelijkheden
Ziektewet
aangepast werk
loondoor­betaling
epilepsie

Ga binnen deze pagina naar: