Het recht om met rust gelaten te worden. Met deze benadering van het ‘right to privacy’ uit 1890 begint het moderne westerse denken over privacy. Achtergrond destijds was de bescherming van bekende Amerikanen tegen de nieuwe media van toen (‘newspaperization’ met instantcamera’s, krantenbedrijven, etc.). Sindsdien heeft ‘privacy’ zich ontwikkeld tot het grondrecht ‘bescherming van de persoonlijke levenssfeer’ dat is verankerd in vele internationale verdragen en in de Nederlandse Grondwet.
auteur(s): Melanie Hermes, Arjen van Halem
Sinds 1983, toen de gehele Grondwet is gemoderniseerd, staat in artikel 10: “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.” De persoonlijke levenssfeer omvat overigens meer dan alleen de verwerking van persoonsgegevens (waar de AVG betrekking op heeft). Ook de grondrechten huisrecht, briefgeheim en eerbiediging van de lichamelijke integriteit vallen eronder, maar ook het recht om niet te worden bespied of afgeluisterd.
De Grondwet laat ook zien dat het recht op bescherming van de persoonlijke levenssfeer niet absoluut is. Via wetgeving kunnen hier beperkingen aan worden gesteld. De Algemene verordening gegevensbescherming (AVG) is hiervan een goed voorbeeld. De Grondwet lijkt te suggereren dat de persoonlijke levenssfeer alleen betrekking heeft op wat we ‘privé’ noemen: de woning, de brief of het eigen lichaam. De persoonlijke levenssfeer heeft echter ook betrekking op onder meer het openbare domein (denk aan het stemgeheim en het verbod op heimelijk cameratoezicht) en de arbeidsrelatie. Met het aangaan van een arbeidsrelatie houdt het recht op bescherming van de persoonlijke levenssfeer immers niet op. En dat geldt niet alleen voor de verwerking van persoonsgegevens (het controleren van e-mails), maar ook voor lichamelijke integriteit (denk aan visitatie en drugstesten), relationele privacy (bijvoorbeeld een relatie tussen twee collega’s) en ruimtelijke privacy (het controleren van kluisjes).
In dit boek richten we ons op de bescherming van persoonsgegevens, het domein van de AVG. Het is een hulpmiddel in de zoektocht naar een balans tussen het recht van de werkgever op het verwerken van gegevens die noodzakelijk zijn voor het functioneren van de onderneming en het recht van de werknemer op bescherming van de verwerking van persoonsgegevens. Een goede balans vinden is niet makkelijk.
Ten eerste zijn de opvattingen over de grenzen van de persoonlijke levenssfeer cultureel bepaald. Zelfs tussen de westerse landen zijn de verschillen groot. Zo liggen gegevens over inkomens in de Verenigde Staten veel minder gevoelig, maar gegevens over leeftijd juist meer. Ook tussen Europese landen zijn er verschillen. De Europese AVG brengt daarin geen verandering en biedt daar in artikel 88 voor werknemers zelfs de ruimte voor. Zo wordt in Duitsland door werkgevers de geloofsovertuiging van werknemers geregistreerd ten behoeve van de afdracht van de ‘Kirchensteuer’.(1) In Nederland is daar geen wettelijke grondslag voor. Ook tussen
mensen zijn de verschillen groot. Kijk maar naar het gebruik van sociale media. Zo hoor je werknemers weleens zeggen: "Mijn baas mag alles van me weten, ik heb geen geheimen."
Ten tweede verandert wat wij gewoon vinden bijna net zo snel als de technologie. Kijk maar naar cameratoezicht. De eerste camera’s leidden tot veel ongemak en discussie. Nu hangen ze overal in steden en langs snelwegen.
Wat het daarbij lastig maakt is dat wet- en regelgeving weinig concrete grenzen biedt over wat wel en niet mag. Het gaat steeds om de context.
Tegen deze achtergrond is de norm ‘redelijke verwachting van bescherming van de persoonlijke levenssfeer’ ontwikkeld. Wat een redelijke verwachting is, hangt steeds af van tijd en plaats. De AVG biedt in samenhang met vele andere wetten het kader om de juiste balans te vinden.
De AVG, maar ook de hier aan voorafgaande Europese Richtlijn is gebaseerd op een achttal principes die door de OESO in 1980 zijn vastgesteld:
Beperk het verzamelen van persoonsgegevens.
Gebruik alleen de gegevens die relevant zijn voor het doel en voldoende up-to-date zijn.
Verzamel de gegevens alleen voor een specifiek doel.
Gebruik de gegevens niet voor een ander doel dan omschreven.
Zorg voor voldoende beveiligingsmaatregelen.
Geef openheid over het gebruik van persoonsgegevens.
Het individu heeft het recht om te achterhalen of er gegevens over hem worden verzameld en het recht deze te corrigeren, aan te vullen of te laten verwijderen.
De beheerder is verantwoordelijk voor de naleving van de beginselen.
Deze principes zijn ook het fundament van veel wetgeving buiten Europa.
De naam van de Europese verordening, de Algemene verordening gegevensbescherming, kan de indruk wekken dat – net als bij de Wet bescherming persoonsgegevens (Wbp) – de kern van dataprivacy de beveiliging van persoonsgegevens is. En dat als die beveiliging van de gegevens op orde is (met encryptie, ISO-normen, contracten), er aan de AVG wordt voldaan. Maar dat is niet zo. Bescherming van persoonsgegevens gaat ook over beperking van de toegang en over beperking van de verwerking tot het strikt noodzakelijke. Een goede beveiliging is voor de bescherming van persoonsgegevens een noodzakelijke voorwaarde, maar niet voldoende.(2)
Persoonsgegevens mogen namelijk alleen worden ‘verwerkt’ voor welbepaalde en uitdrukkelijk omschreven doelen. Verwerken is namelijk niet alleen verzamelen, maar ook opslaan, doorgeven en inzien. Voorafgaand aan de beveiliging moeten eerst nut en noodzaak worden vastgesteld. Beveiliging is noodzakelijk om te borgen dat er alleen geoorloofde verwerkingen plaatsvinden.
Voorkomen is beter dan genezen. De bescherming van persoonsgegevens begint dus met het vaststellen van nut en noodzaak, dataminimalisatie en beperking van bewaartermijnen. In de praktijk is er overigens bij de meeste applicaties niet veel discussie over de primaire doelstelling. De meeste aandacht gaat uit naar beperking van de toegang tot gegevens (autorisatiematrix), de rapportages, huidig en mogelijk toekomstig nevengebruik en de eventuele koppeling met andere bestanden.
De AVG vraagt daarbij om 'passende' beveiligingsmaatregelen, dat wil zeggen passend bij het risico voor de betrokkenen en de mogelijkheden van de organisatie. Daarbij hebben technische maatregelen (bijvoorbeeld twee-factor-authenticatie, encryptie) de voorkeur boven organisatorische maatregelen (zoals de instructie om gedownloade Excel-spreadsheets niet verder te verspreiden). De AVG verplicht hier bij ook tot ‘privacy-by-design’.
(1) Kerkbelasting die wordt afgedragen via de werkgever.
(2) Informatiebeveiliging krijgt door het risico van cybercrime steeds meer aandacht. Hoewel cybercrime zich vooral richt op vertrouwelijke bedrijfsinformatie en intellectueel eigendom, hebben beveiligingsmaatregelen ook gevolgen voor de bescherming van persoonsgegevens. Enerzijds is er een trade off: het beschermingsniveau van persoonsgegevens wordt hoger. Anderzijds leidt het monitoren van het netwerk en het gebruik van applicaties zoals e-mail ook tot een toename van de verwerking van
persoonsgegevens.
Deze tekst is een voorpublicatie uit het boek 'Privacy op de werkvloer'. Het boek is geschreven door Melanie Hermes en Arjen van Halem en behandelt de meest voorkomende onderwerpen rondom privacy in het werkveld.
'Privacy op de werkvloer' is bij uitstek geschikt als praktijkgids voor een ieder die actief is op het vlak van HR, arbeidsrecht of anderszins op professionele wijze met de verwerking van persoonsgegevens van werknemers te maken heeft. Het boek bevat concrete tips en is onmisbaar als naslagwerk op ieders bureau.
Meer informatie over het boek Privacy op de werkvloer
Dit artikel is ook te vinden in het dossier Privacy op de werkvloer
