Met toestemming van betrokkenen screenen

Het bedrijfsrecherchebureau voerde toestemming van de sollicitanten en werknemers aan als wettelijke grondslag voor de screenings. Dit is niet mogelijk omdat in een screeningsprocedure niet gesproken kan worden van ‘vrije toestemming’ zoals de wet eist. Het is voor de betrokkene namelijk moeilijk om ‘nee’ te zeggen onder druk van het kunnen mislopen van de mogelijke baan of de andere functie.

Op alle onderdelen screenen

Het kan in bepaalde gevallen gerechtvaardigd zijn om sollicitanten en werknemers te screenen. Een dergelijke screening mag alleen plaatsvinden op onderdelen die noodzakelijk zijn om de in kaart gebrachte risico’s te verkleinen. De opgevraagde informatie tijdens screenings moet in verhouding staan tot het risico van de functie waarvoor de screening wordt verricht. De aard, omvang en inhoud van de screening moet worden toegespitst op de functie waarvoor wordt gescreend zoals aangegeven in de Wbp.

Integrale kopieën maken identiteitsbewijs

Het bedrijfsrecherchebureau maakte integrale kopieën van identiteitsbewijzen van sollicitanten en werknemers. Hierop staan pasfoto, de nationaliteit van de betrokkene en het burgerservicenummer (BSN). Dit zijn persoonsgegevens van gevoelige aard die in beginsel niet mogen worden verwerkt.
Het bureau voegde de kopieën toe aan het dossier en verstrekte deze aan derde partijen, namelijk de werkgever en een bedrijf dat een check uitvoert op het identiteitsbewijs.

Totale sociale mediaprofiel opnemen in dossier

Uit het onderzoek blijkt dat het bedrijfsrecherchebureau bij bijna elk door de AP onderzocht dossier een internetzoekopdracht heeft verricht naar de sociale mediaprofielen van de betrokkene. De AP constateerde dat het bedrijfsrecherchebureau in de meeste onderzochte dossiers het sociale mediaprofiel van de betrokkene had opgenomen.
Deze informatie werd niet opgenomen in het screeningsrapport richting de werkgever. De onderzochte dossiers van het recherchebureau bevatte daarmee veel irrelevante, maar wel persoonlijke informatie over mensen. Dit is niet proportioneel en daarmee in strijd met de wet.
Onderzoek op sociale media mag maar dan alleen op de eventuele risico’s van de betreffende functie en alleen de hiervoor relevante informatie mag worden opgenomen in het dossier.

Niet noodzakelijke gegevens opslaan

De AP constateerde dat naast de bovengenoemde gegevens ook een deel van de andere gegevens die het bedrijfsrecherchebureau verwerkte, niet verwerkt hadden mogen worden in het kader van screenings, voor zover daar geen noodzaak toe was voor het onderzoek of er geen uitzonderingsgrond voor was.
Het gaat daarbij om gegevens over de gezondheid, strafrechtelijke gegevens, financiële gegevens, gegevens over de militaire dienstplicht en relationele gegevens.

Hoffmann BV heeft na onderzoek van de AP zijn werkwijze bij het screenen van sollicitanten en werknemers gewijzigd zodat zij niet langer in strijd met de wet handelt.

BigData – the bright & the dark site

Wat is de impact van big data op de privacy van medewerkers en de veiligheid van organisaties? Tijdens Tomorrow@work vertelt Wilbert Tomesen , vicevoorzitter van de Autoriteit Persoonsgegevens (AP) hier meer over.