De aandacht voor grensoverschrijdend gedrag op de werkvloer is de afgelopen jaren flink toegenomen, ook binnen het MKB. Werkgevers reageren ook adequater wanneer er meldingen over grensoverschrijdend binnenkomen. Dit doen werkgevers bijvoorbeeld door een intern onderzoek op te starten of juist door een extern bureau in te schakelen. De privacy regels die hiermee gepaard gaan worden echter nog wel eens vergeten. Wat mag wel, wat niet? En hoe voorkomt u als werkgever dat goedbedoelde actie leidt tot juridische problemen?
In dit artikel verduidelijken we waar werkgevers op moeten letten om zo veel mogelijk juridische risico’s te vermijden en om tegemoet te komen aan de belangen van betrokken partijen.
Wat zegt de wet?
Bij het instellen van onderzoeken naar grensoverschrijdend gedrag op de werkvloer speelt privacywetgeving een grote rol, in het bijzonder de volgende twee regelgevingen:
- De Algemene verordening gegevensbescherming (AVG) – geldend voor álle werkgevers die persoonsgegevens verwerken.
- De Privacygedragscode Particuliere Onderzoeksbureaus (PPO) – specifiek voor externe recherchebureaus die persoonsgericht onderzoek doen, maar ook mogelijk voor werkgevers die, anders dan via een vergunningsplichtige organisatie onderzoek (laten) verrichten.
In veel situaties zijn werkgevers zelf verantwoordelijk voor de verwerking volgens de AVG. Wanneer persoonsgegevens worden verzameld, zoals tijdens gesprekken of tijdens het analyseren van e-mails, dient de verwerking in ieder geval rechtmatig en proportioneel te zijn.
Ook een vergunning nodig?
Externe onderzoeksbureaus zijn soms verplicht om een vergunning te hebben voor het uitvoeren van “recherchewerkzaamheden”, zoals het gericht onderzoeken van personen.
Is het onderzoek enkel gericht op bredere vragen over de ‘organisatiecultuur’? Dan is een dergelijke vergunning niet noodzakelijk. Maar wees nog steeds voorzichtig: een onderzoek kan ‘van kleur verschieten’ en toch op individuele behoeften gericht zijn.
Voor werkgevers houdt dit in dat zij vooraf moeten controleren of het onderzoeksbureau voldoet aan de wettelijke vereisten. Als er geen vergunning is, kan het volledige onderzoek worden stopgezet. Dit kan leiden tot reputatieschade of juridische claims.
Toestemming werknemer? Beter van niet.
Een veelvoorkomend misverstand is dat werkgevers altijd de toestemming van werknemers nodig hebben om hun gegevens in een onderzoek te gebruiken. De Autoriteit Persoonsgegevens stelt dat dit juist niet gewenst is. Werknemers bevinden zich in een afhankelijkheidspositie ten opzichte van hun werkgever en zijn daarom niet in staat om die toestemming ‘vrij’ te geven. Toestemming is dan geen goede verwerkingsgrondslag.
De juiste AVG grondslag is meestal het “gerechtvaardigd belang” van de werkgever – denk bijvoorbeeld aan het waarborgen van een veilige werkomgeving volgens artikel 3 van de Arbowet. Dat moet een werkgever overigens wel kunnen onderbouwen.
Werk met duidelijke doelen
Volgens de AVG is het uitsluitend toegestaan om persoonsgegevens te verzamelen voor een specifiek en gerechtvaardigd doel. Het is daarom van groot belang om te zorgen dat het doel van tevoren helder is vastgelegd in bijvoorbeeld:
- een intern protocol over grensoverschrijdend gedrag;
- een bestaande privacy verklaring (op de website) of handleiding voor het onderzoek;
- een regeling die eventueel is afgestemd met de ondernemingsraad ex. artikel 27 WOR.
Inzagerecht en vertrouwelijkheid
Werknemers hebben het recht om te weten welke persoonsgegevens van hen worden verwerkt en mogen daar ook inzage in vragen bij hun werkgever ex artikel 15 AVG. Het inzagerecht ziet enkel op de persoonsgegevens van natuurlijke personen.
Dit recht op inzage is echter niet absoluut. Een werkgever kan deze inzage weigeren wanneer dit de rechten van anderen in gevaar brengt, zoals melders of collega’s die vertrouwelijke verklaringen hebben afgelegd.
Zorg dus dat u voorafgaand het instellen van een onderzoek nadenkt over:
- hoe u bepaalde verklaringen anoniem houdt;
- hoe u belangen van betrokkenen afweegt;
- en hoe u een eventueel inzageverzoek juridisch onderbouwd kunt afwijzen.
Wat als u het niet goed regelt?
Als werkgever bent u verplicht om zorgvuldig en proportioneel op te treden. Als er privacy rechten van werknemers worden geschonden, kunnen de volgende risico’s ontstaan:
- een gerechtelijke procedure waarin het bewijs uit een onderzoek wordt aangevochten, omdat het onrechtmatig verkregen zou zijn door schending van privacy wetgeving;
- schadeclaims of verzoeken tot (hoge) billijke vergoedingen;
- reputatieschade, zeker indien het onderzoek is gelekt.
Let op: zelfs als bewijs onrechtmatig is verkregen, kan de rechter dit toch meewegen in zijn oordeel. Daartegenover staat dat onrechtmatig verkregen bewijs wél kan leiden tot sancties of schadevergoeding.
Hulp nodig?
Het balanceren tussen doortastend optreden op grensoverschrijdend gedrag op de werkvloer en zorgvuldig handelen is lastig – zeker voor bedrijven die niet beschikken over een eigen juridische afdeling. De ondernemingsjuristen van The Legal Company helpen je graag bij:
- het opstellen van interne protocollen;
- het beoordelen van onderzoeksplannen of protocollen in het licht van AVG-verplichtingen;
- een (juridische) vergunningscheck van onderzoeksbureaus;
- de behandeling van inzageverzoeken van betrokkenen.
Neem contact met ons op via info@thelegalcompany.nl of bel naar 020 345 0152. Samen zorgen we dat uw organisatie zorgvuldig én juridisch stevig handelt.
