Randstad en Adecco door privacywaakhond op de vingers getikt

Het College Bescherming Persoonsgegevens (CBP) heeft recent zijn onderzoek gepubliceerd naar de wijze waarop de uitzendorganisatie Adecco en Randstad persoonsgegevens verwerken. Beide organisaties overtreden op verschillende punten de privacywetgeving, volgens het CBP.

Het gaat om deels handelingen die op het eerste oog wellicht onschuldig lijken, zoals het maken van een kopie van het identiteitsbewijs van personen die voor een intakegesprek komen maar nog niet werken voor het uitzendbureau. Ook werden gegevens veel te lang bewaard. Veel werkgevers zullen zich bij dit soort relatief onschuldige handelingen niet bewust  zijn van het privacyrecht. Het gezegde ‘onbekend maakt onbemind’ gaat vaak op.

Maar het ging ook verder. Zo werden de aard en oorzaak van ziekteverzuim geregistreerd. Medische gegevens zijn bijzondere persoonsgegevens waarvoor extra strenge regels gelden. In het rapport ‘De zieke werknemer’ uit 2008 heeft het CBP de belangrijkste regels op een rij gezet. Dit rapport is in rechterlijke procedures al onverkort gevolgd. Van dit soort verwerking zullen meer werkgevers realiseren dat dit mogelijk een grens overgaat. Maar bottomline is het privacyrecht relatief onbekend onder werkgevers en/of de praktijk vaak weerbarstig en dat levert risico’s op.

Op dit moment is de boetebevoegdheid van het CBP niet erg groot, maar de regering heeft onlangs een wetsvoorstel gelanceerd om deze bevoegdheden op relatief korte termijn te vergroten. Indien de voorgenomen Europese Privacyverordering van kracht gaat worden, zullen (op iets langere termijn) er waarschijnlijk nog veel ruimere boetebevoegdheden toegekend worden. De tijd dat er geen boetes opgelegd kunnen worden voor overtreding van het privacyrecht is dus binnenkort voorbij. Tijd dus om juist nu te gaan werken aan goed privacybeleid.

Auteurs: Mark Jansen en Jokelien Brouwer-Harbach