Privacy en bescherming van persoonsgegevens staan volop in de (media)belangstelling. Ook werkgevers zijn met dit thema bezig. Gezien de wettelijke eisen en de kans op zeer forse boetes en ‘naming and shaming’ als er op dit terrein iets mis gaat, is aandacht voor dit thema én het nemen van concrete acties noodzakelijk. De materie is complex en wordt vaak gezien als een soort meerkoppig monster. Niet alleen spelen juridische aspecten mee, het gaat ook om vertrouwen, bewustzijn, IT-aspecten en zo voort. We zien wel in dat privacy belangrijk is, maar vaak wordt nog gedacht dat het allemaal niet zo’n vaart loopt en wordt het dagelijkse leven op sociale media gepost. ‘Ik heb niks te verbergen’, roepen sommigen vol overtuiging. Dat mag soms zo zijn, maar er is tegelijkertijd wel veel te beschermen.
Ook sollicitanten kunnen veel te beschermen hebben. Hun reputatie bijvoorbeeld. Wie het al te bont maakt met uitlatingen op sociale media (ook al zijn ze van een tijd geleden en gaat het over privézaken), loopt het risico dat de werkgever bij wie hij solliciteert, de wenkbrauwen fronst en de kandidaat direct afwijst nog zonder één gesprek gevoerd te hebben.
Recent heeft de zogeheten artikel 29-werkgroep z’n visie gegeven op de privacy van werknemers. Deze werkgroep bestaat uit vertegenwoordigers van de Europese Toezichthouders. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens. Opinies van deze werkgroep zijn geen wet en zijn niet bindend, maar wat de werkgroep schrijft, wordt veelal wel als gezaghebbend beschouwd. Wat de werkgroep oplevert, wordt dan ook nauw gevolgd.
De recente opinie van de werkgroep gaat in op allerlei privacyaspecten in relatie tot werk. Denk aan ontwikkelingen als ‘bring your own device’, wearables en screening van sollicitanten. Over dit laatste onderwerp gaat dit blog.
In dit weblog informeren de advocaten en juristen van AWVN u geregeld over actuele arbeidsrechtelijke ontwikkelingen.
Een werkgever die een werknemer wil aannemen, wil weten wat voor vlees hij in de spreekwoordelijke kuip heeft. Hij wil weten wat voor kwaliteiten iemand meebrengt, maar ook: wat voor karakter heeft iemand? Past iemand bij het bedrijf, in het team? Is het een talent of een risico?
Dat de werkgever vooraf zo goed mogelijk geïnformeerd wil zijn, is logisch. Er wordt wel eens gezegd dat er nergens zo veel gelogen wordt als in de rechtszaal of het curriculum vitae van een sollicitant. Wie zal het zeggen. Hoe dan ook, een werkgever kan er een belang bij hebben om meer te weten te komen dan dat de kandidaat hem zelf (al dan niet desgevraagd) vertelt. Hoe makkelijk is het dan om te kijken op internet. ‘Ik google wel even’, is een veel gehoorde kreet.
Sociale media raadplegen kan veel informatie opleveren over iemand. Over zijn liefhebberijen, zijn privésituatie of gedrag. Soms nuttig, soms volstrekt niet. Als werkgever verwerk je door dit soort screening echter al snel persoonsgegevens. In sommige gevallen zelfs bijzondere persoonsgegevens. Deze hebben betrekking op iemands gezondheid, geloofsovertuiging, ras en dergelijke. Dan moet je als werkgever extra oppassen. Bij de verwerking van persoonsgegevens komt wet- en regelgeving om de hoek kijken. Op dit moment is dat de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 wordt deze wet vervangen door de Algemene verordening gegevensbescherming (AVG).
Een werkgever mag persoonsgegevens van (potentiële) werknemers verwerken mits daar een legitieme verwerkingsgrondslag voor is. Dat kan bijvoorbeeld zijn een wettelijke verplichting of de uitvoering van een (arbeids)overeenkomst. Een andere grondslag kan zijn dat de werkgever een gerechtvaardigd belang heeft bij de verwerking. Ook verkregen toestemming kan een verwerkingsgrondslag zijn. Echter, het is goed om te weten dat het vragen van toestemming aan werknemers om gegevens te verwerken veelal niet een goede verwerkingsgrondslag is. Een werknemer kan eigenlijk nooit in echte vrijheid zijn toestemming geven. Hij is immers van de werkgever afhankelijk voor zijn inkomen. Er is ook sprake van een gezagsrelatie waarbij de werknemer als ondergeschikte geldt.
Maar nu dan de sollicitant. Die is nog niet in dienst en is in die zin (nog) niet afhankelijk van de werkgever. Als hij graag de aangeboden functie wil gaan bekleden en hij de baan dus niet wil mislopen, dan is er echter wel een zekere mate van afhankelijkheid. Hoe zit het dan? Hier schuren wet- en regelgeving en de opinie mijns inziens met de praktijk.
De artikel 29-werkgroep geeft als hoofdregel aan dat het niet is toegestaan een sollicitant te screenen via sociale media. Op deze regel kan uitsluitend een uitzondering worden gemaakt wanneer die screening strikt noodzakelijk zou zijn voor de vacature. Het zou dan moeten gaan om een onderzoek op bepaalde risico’s. De werkgroep meent dat in dit geval een check via sociale media wel mogelijk moet zijn. Niet precies duidelijk is aan wat voor risico’s de werkgever dan kan denken.
Ook de Autoriteit Persoonsgegevens geeft aan dat screening is toegestaan mits deze noodzakelijk is. Als screening noodzakelijk is, dan moet de werkgever nagaan of er andere methoden zijn die minder verstrekkend of ingrijpend zijn. Zo ja, dan moeten die worden benut in plaats van de sociale media check (subsidiariteit). Daarnaast moet de inbreuk op de privacy van de werknemer niet verder gaan dan nodig is (proportionaliteit). Hierbij is het goed om zo veel mogelijk de zakelijke uitingen van een medewerker te bekijken (bijvoorbeeld via een zakelijk netwerk als LinkedIn) en zo min mogelijk (of niet) andere uitingen (facebook, Instagram e.d.).
Overigens zijn er ook andere methoden om de risico’s te beperken zoals het doen van een referentiecheck, een check op een zwarte lijst of het vragen van een verklaring omtrent gedrag (VOG).
Het Vrijstellingsbesluit Wbp (wettekst) geeft aan dat er een aantal veel voorkomende verwerkingen is van persoonsgegevens. De verwerking van gegevens van sollicitanten is opgenomen in artikel 5 van het besluit. Dit artikel geeft aan voor welke doeleinden gegevens van een sollicitant mogen worden verwerkt en welke bewaartermijnen er gelden. Gegevens die nodig zijn voor het bepalen van de geschiktheid van een werknemer voor een functie mogen worden verwerkt mits aan de eisen van de Wbp wordt voldaan. Er staat niet dat een screening via social media niet is toegestaan. Wel gelden de eisen van proportionaliteit en subsidiariteit.
De NVP geeft via haar sollicitatiecode al jarenlang richtlijnen voor werkgevers die een zorgvuldig selectieproces willen voeren. De NVP geeft hierbij aan dat vooral transparantie belangrijk is. Kort gezegd komt het er op neer dat een persoon die op een vacature wil gaan reageren, goed weet – en ook vooraf – dat er screening zal plaatsvinden en waar die uit bestaat. Op die manier kan hij zelf de afweging maken of hij daadwerkelijk wil solliciteren. Toestemming vragen is dan niet aan de orde. Dat zou veel te omslachtig zijn en niet aansluiten bij de praktijk van alledag. De NVP wijst erop dat de werkgever zich wel moet realiseren dat de informatie die hij boven water krijgt, mogelijk niet klopt of achterhaald is. Bovendien wordt aangegeven dat wanneer men de gevonden informatie daadwerkelijk wil gebruiken, dit moet worden besproken met de sollicitant. Dit geldt ook wanneer de gevonden informatie anderszins van invloed is op het proces. Dat lijkt ook logisch en redelijk. Wat ik uit de media heb opgemaakt, is dat de NVP aangeeft dat de opinie van de artikel 29-werkgroep geen aanleiding is om de NVP-sollicitatiecode te herzien. De NVP wijst hierbij op het openbare karakter van social media.
We zullen moeten afwachten hoe dit thema zich verder ontwikkelt. Zoals gezegd, wordt de artikel 29-Werkgroep als gezaghebbend gezien. Deze geeft nu een richtlijn. Daarnaast geldt de NVP-sollicitatiecode als richtlijn. Bindend zijn ze geen van beiden. De Wbp (straks AVG) en het Vrijstellingsbesluit Wbp zijn wel bindend. Er is dus wel een helder kader, maar hoe ver je mag gaan, is niet helemaal duidelijk.
Vooralsnog dus toch maar gezond verstand gebruiken en zo zorgvuldig en transparant mogelijk zijn richting sollicitanten.
Daarnaast moet de werkgever vooraf nadenken of een social media check überhaupt nodig is en zo ja, op welke media ‘need to know’ informatie kan staan en op welke slechts ‘nice to know’ informatie. Wellicht die laatste toch maar overslaan, en ‘gewoon’ een goed gesprek aangaan met de werknemer in spe.
Een leven zonder risico’s, bestaat niet. Ook niet voor werkgevers. Maar u kunt deze risico’s in kaart brengen en zo veel mogelijk beperken. Mijn advies aan u: ga eens binnen uw HR-team na hoe u met dit onderwerp omgaat en kijk of bijstelling van de dagelijkse praktijk nodig is. Wij denken graag met u mee.