Who is afraid of the AVG? Eerste jaar privacywet

Het eerste jaar onder de AVG zit erop. Het aantal datalekken gemeld bij de Autoriteit Persoonsgegevens (AP) in 2018: verdubbeld ten opzichte van 2017: 20.881 meldingen in 2018. In 2018 ontving de AP ook ruim 11.000 klachten over vermoedelijke privacyschendingen. In 2019, tot 1 mei, kwamen daar maar liefst 9.000 gemelde privacyschendingen bij. Maar moeten bedrijven bang zijn voor de AVG?

Autoriteit Persoonsgegevens

De mogelijke boetes die de AP kan opleggen zijn enorm: € 20 miljoen of 4% van de wereldwijde omzet. Maar hoe werkt dat in de praktijk? De AP legt tot dusver weinig boetes op. Ook is er nog niet veel concreet beleid. Bewaartermijnen voor personeelsgegevens zijn nog onduidelijk (registratie van arbeidstijden twee jaar bewaren is de lijn, maar vijf jaar bewaren lijkt mij zelf noodzakelijk gezien de recente overwerkuitspraak van het Europees hof. Er komt inmiddels wel meer duidelijkheid over de AVG.

Ook examens zijn persoonsgegevens; personeelsdossier opvraagbaar; referenties

Een student in Delft hoorde van de Stichting IHE Delft Institute for Water Education in 2013 dat zijn examens onvoldoende waren. Hij kon zijn studie niet meer met goed gevolg afronden. Op
1 oktober 2018 (!) verzocht hij het instituut om kopieën van de nog beschikbare tentamens aan hem toe te sturen. Naar eigen zeggen was hij zich pas toen bewust geworden van de AVG… Het IHE wilde de stukken wel opsturen, maar dan tegen betaling van enige kosten. De rechter in kort geding besliste op 2 mei 2019 dat ook eindexamens beschouwd moeten worden als persoonsgegevens en dus zonder meer, ook zonder belang, moeten worden verstrekt. IHE is veroordeeld om de kopie-examens alsnog kosteloos te verstrekken. Eenvoudig dus. Terzijde, ook niet-geautomatiseerde personeelsgegevens zijn persoonsgegevens. De werknemer heeft recht op een kopie, aldus de kantonrechter Utrecht op 25 juli 2018. Het afgeven van negatieve referenties (“Vrouwelijke collega’s voelen zich onveilig bij de werknemer…”) is in beginsel niet in strijd met de AVG, aldus het hof Arnhem-Leeuwarden op 21 augustus 2018. De werknemer moet dus maar beslissen of hij zijn oude werkgever wel als referent opgeeft.

AVG als wapen in een arbeidsgeschil?

Iets gecompliceerder leek de toepassing van de AVG na een arbeidsconflict. Een werkneemster trad op
1 mei 2017 in dienst. De werkgever diende op 25 september 2017 al een verzoek tot ontbinding in wegens een in heel korte tijd vastgelopen arbeidsverhouding. Dit verzoek werd afgewezen. Een daarna gestart verbeterplan liep vast en de werkneemster raakte kort daarna tijdelijk arbeidsongeschikt. Het gedrag van de werkneemster werd door ten minste één collega als grensoverschrijdend c.q. bedreigend en intimiderend ervaren. Hierop vroeg de werkgever een extern onderzoeksbureau onderzoek te doen naar de klachten over intimidatie en pesten. De werkneemster probeerde het onderzoeksbureau de pas af te snijden door zich te beroepen op haar privacy, onder meer inzake door haar verstuurde WhatsApp-berichten. Mogen WhatsApp-berichten dan onder geen beding zonder toestemming van de betrokkene worden verwerkt? De werkneemster diende vervolgens een klacht bij de AP in. En zij stelde dat het voor haar ongunstige rapport onrechtmatig verkregen was en niet tegen haar mocht worden gebruikt. De rechter ontbond de arbeidsovereenkomst vanwege een verstoorde arbeidsverhouding, logisch. De werkneemster wilde echter toch haar gram halen met de klachten dat haar AVG-rechten geschonden waren. De rechtbank in Amsterdam wees al deze klachten op 21 maart 2019 af. Interessant is dat het verzamelen van de persoonsgegevens noodzakelijk werd geacht voor de behartiging van de gerechtvaardigde belangen van de werkgever en het onderzoeksbureau. Ook mochten de WhatsApp-berichten die deze werkneemster naar een andere werknemer had gezonden worden gebruikt om de gegrondheid van de klachten over de werkneemster nader te onderzoeken. Er bestond immers een concreet vermoeden van grensoverschrijdend gedrag. De inbreuk op de persoonlijke levenssfeer van de werkneemster werd daarom gerechtvaardigd geacht: de werkgever heeft de wettelijke plicht een veilige en gezonde werkomgeving te bieden. Dat de werkneemster haar toestemming voor het gebruik van deze persoonsgegevens had ingetrokken is niet van belang omdat die gegevens noodzakelijk werden geacht voor de behartiging van de gerechtvaardigde belangen van de werkgever!

Ook het verzoek om de persoonsgegevens te wissen werd afgewezen, net als het verzoek om schadevergoeding. Deze toepassing van de AVG laat mooi zien dat bij de toetsing van de privacybescherming andere zwaarwegende belangen worden meegewogen. Het recht op privacy is zeker in een werkomgeving niet absoluut! Anderzijds: zouden GPS-gegevens die zonder toestemming van de werknemer zijn verzameld in een ontslagzaak mogen worden gebruikt? De kantonrechter te Zwolle vond van wel op 15 juni 2018. Dat het evident om een frauderende werkneemster ging (“bedrog”) lijkt een rol te spelen.

De vraag blijft hoeveel MKB-bedrijven hun privacybeleid nu echt op orde hebben. Zij hebben qua harde sancties echter niet veel te vrezen, zo lijkt het. De Groen & Van Lint Advocaten adviseert MKB-ondernemingen over de resterende risico’s.