Privacybeleid voor werknemers



door

Een privacybeleid voor werknemers is documentatie die de regels en procedures van een organisatie specificeert voor het verzamelen, gebruiken en openbaar maken van persoonlijke informatie van voormalige, huidige of toekomstige werknemers. Sommige elementen van het privacybeleid kunnen worden voorgeschreven door de arbeidswetgeving, terwijl andere specifiek zijn voor een bepaalde organisatie.

In een privacybeleid voor werknemers moet worden gedefinieerd wat persoonlijke informatie is en met welke middelen deze kan worden verzameld. In de regel definiëren de meeste bedrijven persoonlijke informatie als alle werknemersgegevens (zoals huisadres en werkgeschiedenis), en alle communicatie die niet werkgerelateerd is.

Een beleid moet duidelijk aangeven in welke situaties een werknemer er niet van uit mag gaan dat zijn gegevens en communicatie privé zijn. Telefoongesprekken, sms'jes, e-mails en social media-communicatie die via bedrijfsapparatuur worden verzonden, zijn bijvoorbeeld niet wettelijk beschermd. Software en websites die niet nodig zijn voor zakelijke doeleinden kunnen volgens het beleid worden beperkt of geblokkeerd om problemen te voorkomen.

Het is ook belangrijk om te specificeren onder welke voorwaarden werknemersgegevens openbaar worden gemaakt. Die voorwaarden kunnen situaties zijn waarin de werknemer toestemming heeft gegeven, noodsituaties en juridische situaties, zoals een bevelschrift of een gerechtelijk bevel.

Privacybeleid moet ook alle systemen voor het monitoren van werknemers, zoals video-opnamen, vermelden. Werknemers moeten een kopie van het privacybeleid krijgen en moeten bevestigen dat ze het hebben gelezen en begrepen.

Persoonsgegevens worden steeds waardevoller omdat netwerkapparaten vaak voor werk- en privédoeleinden worden gebruikt. Aangezien op deze apparaten gevoelige gegevens worden uitgewisseld, bestaat er vaak bezorgdheid over persoonsgegevens - werknemers zijn bezorgd dat hun gegevens slecht worden behandeld en kunnen uitlekken naar kwaadwillende entiteiten. A good employee privacy policy aims to prevent these concerns with upfront disclosures.

Frequent employee privacy concerns

Privacy-related issues employees are likely to be concerned include the following:

  • What personal information/data is being collected about them.
  • Why it is being collected.
  • With whom it is being shared.
  • How their sensitive personal information/data is being protected.
  • Email privacy.
  • Whether use of company assets (such as mobile devices, internet) is being monitored.
  • Whether they are subject to video surveillance.
  • Whether they must submit to background checks and/or drug tests.
  • Of hun gebruik van sociale media buiten het bedrijf wordt gemonitord en/of kan worden gecontroleerd.
  • Wat er met hun persoonlijke informatie/gegevens gebeurt nadat zij zijn ontslagen en/of niet langer voor een werkgever werken.
  • Wat hun privacyrechten zijn met betrekking tot hun persoonlijke informatie/gegevens, zoals hun mogelijkheid om hun persoonlijke gegevens in te zien, te weigeren te verstrekken, te verzoeken om verwijdering, te wijzigen, te corrigeren of over te dragen.

Wat is beschermde werknemersinformatie?

Typisch gezien wordt alleen persoonlijke informatie (ook wel persoonsgegevens of persoonlijk identificeerbare informatie, of PII) speciaal beschermd door de privacyregels voor werknemersgegevens. Dit omvat gewoonlijk een of meer soorten persoonlijke informatie waarmee een identificeerbaar levend persoon kan worden geïdentificeerd of aan hem kan worden gekoppeld (zoals naam, adres, telefoonnummer, geboortedatum, sofi-nummer, medische dossiers, enz. In sommige gevallen omvat het een combinatie van dergelijke informatie waarmee een persoon mogelijk kan worden geïdentificeerd (bijvoorbeeld geboortedatum, geslacht en postcode samen).

Voor bepaalde soorten gevoelige gegevens wordt vaak een betere bescherming geboden in het kader van privacyregelgeving zoals GDPR (General Data Privacy Regulation). Gevoelige gegevens in het kader van de GDPR zijn bijvoorbeeld ras, etniciteit of nationale afkomst, politieke opvattingen of verenigingen, vakbondslidmaatschap, seksuele geaardheid, burgerlijke staat, gezondheidsgerelateerde informatie en strafrechtelijke antecedenten.

In de Verenigde Staten beschermen enkele Amerikaanse federale wetten specifieke soorten persoonsgegevens. Een belangrijke wet is de Health Insurance Portability and Accountability Act (HIPAA), die PII beschermt wanneer deze in een medische context wordt gebruikt (voor gedekte entiteiten). Gecombineerd (PII + medische informatie) staat dit type persoonsgegevens bekend als PHI (Personal Health Information). Bovendien hebben de meeste staten van de VS wetten betreffende gegevensbeveiliging en het melden van inbreuken op de beveiliging van gegevens. Veel van deze wetten zijn gericht op identiteitsdiefstal en/of financiële beschermingsmaatregelen die in het algemeen tot doel hebben sofinummers en soortgelijke financiële persoonlijke informatie te beschermen tegen ongeoorloofd gebruik of openbaarmaking.

Sommige staten in de Verenigde Staten, zoals Californië, hebben strengere, uitgebreidere privacywetten uitgevaardigd, en verwacht wordt dat deze trend zich in de Verenigde Staten zal voortzetten. Deze wetten bieden de consumenten die eronder vallen een uitgebreidere bescherming van de gegevensprivacy.

Bouwen aan een privacybeleid voor werknemers

In het algemeen is een goede manier om een privacyverklaring voor werknemers voor te bereiden het opstellen van een register voor de verwerking van persoonsgegevens, een gegevensinventaris en/of een gegevenskaart, waarin het volgende is vastgelegd:

  • Bedrijfsprocessen die uw organisatie uitvoert met persoonsgegevens en de doeleinden ervan.
  • Hoe de gegevens voor elk bedrijfsproces worden verzameld.
  • Hoe de gegevens door de organisatie worden gebruikt.
  • Waar de gegevens worden opgeslagen en met wie (intern en extern) ze worden gedeeld.
  • Waar en hoe gegevens worden overgedragen.
  • Hoe gegevens worden beschermd.
  • Hoe lang gegevens worden bewaard.

De bovenstaande informatie kan vervolgens worden gebruikt om te bepalen welke privacyregelgeving van toepassing is op de persoonlijke informatie/gegevens, en kan worden gebruikt om compliant processen en een privacy notice op te stellen, die ingaat op de eisen van die regelgeving.

Een privacybeleid voor werknemers moet het volgende bevatten:

  • Categorieën van persoonlijke informatie en gegevens die de werkgever over de werknemer verzamelt.
  • Hoe de persoonlijke informatie/gegevens worden gebruikt/doel van verwerking.
  • Rechtsgrondslag voor de verwerking van de persoonlijke informatie/gegevens, indien van toepassing.
  • Begunstigden of categorieën ontvangers van de persoonlijke informatie/gegevens.
  • Of de persoonlijke informatie/gegevens buiten het land zullen worden overgedragen, en het juridische mechanisme om de gegevens te beschermen wanneer ze worden overgedragen, indien van toepassing.
  • Storage and security policies relating to the personal information/data.
  • How long the organization will keep the personal information/data; how this was decided.
  • Employee rights relating to the personal information/data, if applicable.
  • Any employer statutory obligations as they relate to the personal information/data.
  • How to exercise your rights (who to contact), where applicable.
  • Effective date of the privacy notice.

Please note, the elements that should be included vary by state as well as whether a regulation is in scope for specific employees.

Laws and federal regulations

A few examples of laws and federal regulations include:

HIPAA (Health Insurance Portability and Accountability Act)

  • Protects the confidentiality and security of protected health information. Compliance is required for healthcare organizations and their business associates.

GINA (Genetic Information Nondiscrimination Act)

  • Protects Americans from discrimination based off genetic information (such as genetic testing and family medical history) from employers and health insurance providers.

FACTA (Fair and Accurate Credit Transactions Act)

  • Sets requirements for information privacy, accuracy and disposal; limits the ways consumer information can legally be shared.

CCPA (California Consumer Privacy Act). Allows employees to:

  • Know what data is being collected about them.
  • Know if their personal data is sold or shared, and with whom.
  • Block the sale of their own personal data.
  • Toegang tot hun eigen persoonsgegevens.
  • Vragen dat een bedrijf hun persoonsgegevens verwijdert.
  • Worden niet gediscrimineerd omdat ze gebruikmaken van hun recht op privacy.

Wetgeving van de staat inzake inbreuken op persoonsgegevens. Elke Amerikaanse staat (plus Washington D.C., Guam, Puerto Rico en de Maagdeneilanden) heeft wetten die organisaties verplichten personen op de hoogte te stellen in het geval van een inbreuk op de beveiliging van persoonlijke gegevens. Het is belangrijk dat u de specifieke staatswetten raadpleegt voor actuele informatie over de voorschriften.

Privacy op de werkplek. Hoewel videobewaking legaal is in werkruimten als deze openbaar worden gemaakt, is dit niet het geval in andere gemeenschappelijke ruimten, zoals toiletten en pauzeruimten. Binnen de Verenigde Staten kan videobewaking geen geluidsopname omvatten, wat illegaal is volgens de wetgeving inzake telefoontaps.