ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Mijn werkgever slaat de resultaten van beoordelings- en functioneringsgesprekken op in een Google Drive. Deze drive is afgeschermd voor onbevoegden, maar ik voel me er toch niet helemaal prettig bij. Mag dit zomaar of is dit in strijd met de wet?
Antwoord: Een werkgever heeft de taak persoonsgegevens van zijn werknemers adequaat te beveiligen, staat in de Wet bescherming persoonsgegevens. Dit geldt zeker voor gevoelige informatie die je in zulke gesprekken noteert. Afschermen voor onbevoegden is prima maar ook bevoegde personen mogen er eigenlijk alleen bij als dat noodzakelijk is voor het werk.
Maar het gaat hier denk ik niet over de vraag of HR-personeel dan wel management bij de resultaten kan. Google Drive is een dienst van een derde partij, en nog wel van een Amerikaan ook. En wat doet dat dan, privacy- en PRISM-technisch?
Het buiten Europa opslaan of anders verwerken van persoonsgegevens mag alleen met aparte toestemming van de betrokken personen (art. 77 Wbp). Dit omdat men buiten Europa geen adequate wetgeving heeft over persoonsgegevens, is de gedachte.
De wet noemt ook "noodzakelijk om een overeenkomst na te komen", maar hoewel dit valt binnen "uitvoering arbeidsovereenkomst" is het niet echt noodzákelijk om die gegevens in de VS op te slaan. Dus zonder toestemming kom je er niet.
Toestemming krijgen van een werknemer is buitengewoon lastig. Die toestemming moet namelijk in vrijheid worden gegeven, en dat is lastig bij iets als dit. Hoe zeg je hier nee tegen, in de wetenschap dat je werkgever dan extra kosten moet maken voor een lokale opslag en de migratie daarheen? Daar is dus weinig vrijwilligs aan.
Zelfs als je die toestemming hebt, zit je vervolgens met het probleem dat er een bewerkersovereenkomst moet zijn tussen de werkgever en Google. Daarin moet zijn vastgelegd dat Google niets mag doen met de gegevens zonder toestemming van de werkgever (de verantwoordelijke onder de wet) en bovendien dat de werkgever toezicht moet uitoefenen op de security en maatregelen die Google treft. Ik kan zo'n document niet vinden in de Terms of Use van Google.
In de praktijk gebeurt dit natuurlijk massaal en wordt er eigenlijk nooit iemand op aangesproken. De gedachte lijkt te zijn dat het wel losloopt, en dat is begrijpelijk ook gezien hoe lang het al los lijkt te lopen. Dit is dus zo'n geval waarin de theorie wel érg los staat van de praktijk. En wat doe je daar dan aan zonder als principiële zeur over te komen?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.