De Autoriteit Persoonsgegevens (AP) heeft trends op het gebied van privacy binnen de arbeidsmarkt en de sociale zekerheid in kaart gebracht. De toezichthouder ziet allerlei ontwikkelingen die mogelijk privacyrisico’s met zich meebrengen. Werkgevers hebben misschien de beste bedoelingen, maar ze moeten wel rekening houden met de privacy van medewerkers.
Dat schrijft de Autoriteit Persoonsgegevens in het rapport ‘Sectorbeeld Arbeid en Sociale Zekerheid’ (pdf).
Experimenteren met algoritmes en AI
Een algemene trend die de privacywaakhond zowel in de arbeidssector als de sociale zekerheid ziet, is dat werkgevers experimenteren met algoritmes en kunstmatige intelligentie (AI). Dat doen ze bijvoorbeeld om een veilige werkomgeving te creëren voor hun werknemers, of mensen op te sporen die recht hebben op een uitkering.
“Bij al deze verwerkingen van persoonsgegevens is het echter uiterst belangrijk dat organisaties rekening houden met de privacy van de mensen om wie het gaat en dat zij dus –op tijd– nagaan wat er volgens de privacywetgeving wel en niet is toegestaan”, concludeert de toezichthouder.
Technologie inzetten om een veilige werkvloer te creëren
In het onderzoeksrapport somt de Autoriteit Persoonsgegevens per sector de trends en potentiële privacyrisico’s op, en komt met aanbevelingen voor de functionaris gegevensbescherming (FG) en ondernemingsraad. Zo is er in de arbeidssector –nagenoeg alle sectoren in Nederland– een groeiende interesse onder werkgevers om beter op de hoogte te zij van de gezondheidstoestand van hun werknemers. Om er zeker van te zijn dat medewerkers niet onder invloed van alcohol, drugs of medicijn op de werkvloer actief zijn, zou een zogeheten ADM-test uitkomst bieden.
Een nobel initiatief, zo zegt de toezichthouder, maar niet zonder de nodige privacyrisico’s. “Werkgevers hebben de verplichting om een veilige werkomgeving te bieden, maar meestal is er geen grondslag (wettelijke basis) in de Algemene verordening gegevensbescherming (AVG) voor hen om gegevens over de gezondheid van hun werknemers te verwerken. Het risico bestaat dat werkgevers die besluiten dergelijke persoonsgegevens toch te verwerken, dit onrechtmatig doen.”
Om dit te voorkomen kunnen werkgevers een arbodienst of bedrijfsarts inschakelen. Zij mogen gezondheidsgegevens van werknemers verwerken en hoeven de details niet te delen met de werkgever.
Privacyrisico’s van personeelsvolgsystemen en geautomatiseerde besluitvorming
Een ander voorbeeld hoe werkgevers de veiligheid op de werkvloer willen garanderen, is door personeelsvolgsystemen te implementeren. Denk aan software die het aantal toetsaanslagen registreert, camera’s die de werkplek in de gaten houden en sensoren in bedrijfswagens om routes te monitoren.
De AP benadrukt dat personeelsvolgsystemen vaak (biometrische) persoonsgegevens vastleggen, en dat hiervoor niet altijd een wettelijke grondslag is. Daarnaast wijst de toezichthouder erop dat dergelijke systemen kunnen leiden tot een hogere werkdruk onder werknemers, zeker als deze gekoppeld worden aan algoritmes en kunstmatige intelligentie. De AP raadt werkgevers dan ook aan om na te gaan of er een uitzonderingsgrond is voor het verwerken van bijzondere persoonsgegevens, bijvoorbeeld voor authenticatie of beveiligingsdoeleinden.
Een derde voorbeeld dat de Autoriteit Persoonsgegevens noemt van een technologische trend die mogelijk inbreuk maakt op de privacy van werknemers, is de inzet van algoritmes en AI bij een sollicitatieprocedure. Dat kan veel werk uit handen nemen, maar mag niet zomaar. Artikel 22 van de AVG bepaalt namelijk dat werkzoekenden niet mogen worden onderworpen aan geautomatiseerde besluitvorming. Deze regel is bedacht om discriminatie, uitsluiting en etnisch profileren te voorkomen. Een werkgever moet daarom van tevoren goed controleren of het algoritme inhoudelijk is getoetst op non-discriminatoire en AVG-aspecten. Ook moeten sollicitanten vooraf op de hoogte worden gebracht dat hun cv en motivatiebrief door een algoritme worden beoordeeld.
Koppeling van persoonsgegevens in het sociale domein
Ook in het sociale domein ziet de toezichthouder dat men experimenteert met algoritmes en kunstmatige intelligentie. Om hun wettelijke taak uit te voeren –zoals het bestrijden van armoede, opsporen van uitkeringsfraude of het opsporen van mensen die recht hebben op een uitkering– koppelen overheidsorganisaties persoonsgegevens van Nederlanders aan elkaar. “Het delen en koppelen van gegevens wordt vaak gedaan vanuit de juiste intenties. Hiervoor moet echter wel een juridische grondslag zijn”, waarschuwt de AP.
Omdat mensen afhankelijk zijn van uitkeringsinstanties en daarbij verplicht worden veel gevoelige persoonsgegevens door te geven, is het belangrijk dat de juridische grondslag voor data-uitwisseling goed op orde is. De Autoriteit Persoonsgegevens adviseert daarom om van meet af aan de functionaris gegevensbescherming bij een nieuw project te betrekken. Kijk vooraf nadrukkelijk of de verwerking en koppeling van persoonsgegevens noodzakelijk is.
Het laatste advies dat de toezichthouder geeft, is om ‘een deugdelijk beveiligingsbeleid’ te regelen om persoonsgegevens te beschermen en datalekken te voorkomen. “Evident is dat het zeer onwenselijk is als gevoelige persoonsgegevens van uitkeringsgerechtigden op straat komen te liggen. Uitkeringsinstanties moeten dus extra goed op hun hoede zijn om dit te voorkomen. Een deugdelijk beveiligingsbeleid draagt hieraan bij.” Personeel regelmatig trainen op veiligheids- en privacyaspecten, verkleint eveneens de kans op een datalek.
