Screening sollicitanten en werknemers: Recherchebureau Hoffmann beëindigt overtredingen Wbp

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

18 juli 2016

Op recherchebureaus is de Wet Bescherming Persoonsgegevens (Wbp) van toepassing. Ook dienen zij zich te houden aan de voor hun sector ontwikkelde Privacygedragscode.

De Autoriteit Persoonsgegevens (AP) controleert actief of recherchebureaus deze regelgeving naleven. Naar aanleiding van haar onderzoek concludeerde de AP dat recherchebureau Hoffman niet conform de regels te werk ging bij het screenen van sollicitanten en werknemers. Naar aanleiding van dit onderzoek heeft Hoffmann haar werkwijzen aangepast, waardoor zij inmiddels niet meer de Wbp overtreedt.

In dit artikel ga ik in op enkele geconstateerde overtredingen. De constateringen van de AP zijn namelijk niet alleen relevant voor recherchebureaus, maar zeker ook voor werkgevers die zelf sollicitanten en werknemers screenen.

Toestemming als grondslag voor screening

Hoffmann voerde als wettelijke grondslag voor de screening aan dat sollicitanten en werknemers daarmee hadden ingestemd.

Elke verwerking van persoonsgegevens vereist een wettelijke grondslag. De mogelijke verwerkingsgrondslagen zijn limitatief in de Wbp opgenomen. Een gegeven toestemming door de betrokkene is een van die grondslagen. Echter, in arbeidsrelaties is het gebruik van  deze grondslag af te raden. Van een daadwerkelijke vrijheid van de betrokkene om toe te stemmen met de screening is immers (doorgaans) geen sprake. De sollicitant/werknemer zal de screening veelal niet durven te weigeren uit vrees de nieuwe functie mis te lopen.

Om deze reden oordeelde de AP dat bij screenings geen sprake kan zijn van de vrije toestemming die de wet wel vereist. Een gegeven toestemming is in het geval van screening dus geen verwerkingsgrondslag.

De verwerkingsgrondslag bij screenings kan volgens de AP uitsluitend gelegen zijn in een gerechtvaardigd belang. De screening moet dan wel beperkt zijn tot onderdelen die noodzakelijk zijn om de in kaart gebrachte risico’s te verkleinen.

Inmiddels heeft Hoffmann haar werkwijze aangepast. Er wordt niet langer om toestemming voor de screening gevraagd. Er is een afwegingskader ontwikkeld om te bepalen wat de aard, inhoud en omvang van de screening dient te zijn gelet op de functie en het vastgestelde risicoprofiel. Ook is opgenomen dat bij elke screening de noodzaak daarvoor in het dossier moet worden gedocumenteerd en dat bij twijfel geen persoonsgegevens mogen worden verwerkt.

Bij correcte opvolging van deze werkwijze zal Hoffmann volgens de AP voldoen aan de eis dat voor het uitvoeren van een screening een gerechtvaardigd belang aanwezig moet zijn.  

Verwerking bijzondere persoonsgegevens

Hoffmann maakte integrale kopieën van identiteitsbewijzen voor het dossier en verstrekte deze aan derden. Ook verwerkte zij onder meer gegevens over de afkomst, gezondheidsgegevens (bijvoorbeeld door te vragen naar diens uitkeringsverleden) en het BSN-nummer. 

Rasgegevens (af te leiden van identiteitsbewijs), het BSN-nummer en gezondheidsgegevens zijn echter bijzondere persoonsgegevens in de zin van de Wbp. Daarvoor geldt een verwerkingsverbod: bijzondere persoonsgegevens mogen uitsluitend worden verwerkt als een wettelijke uitzonderingsgrond dat toestaat.

Hoffmann kon zich voor de verwerkte bijzondere gegevens echter niet op een van die uitzonderingen beroepen.

Hoffmann heeft vervolgens haar werkwijze aangepast. Zij maakt geen kopieën meer van identiteitsbewijzen en gezondheidsgegevens worden alleen nog verwerkt als zij een beroep kan doen een uitzonderingsgrond op het verwerkingsverbod. Eerder gemaakte kopieën van identiteitsbewijzen en verzamelde gezondheidsgegevens zijn verwijderd.

Toevoegen social media profiel aan dossier

Hoffmann printte bij screenings de volledige socialmedia pagina’s van de betrokkene uit en voegde die toe aan het dossier. Zodoende werd ook allerlei informatie bewaard die niet relevant was voor de screening.

De AP achtte deze handelwijze in strijd met de Wbp. De Wbp vereist namelijk dat alleen gegevens worden verwerkt die noodzakelijk zijn voor het bereiken van het doel (screening medewerker voor functie, aan de hand van risicoprofiel) en dat de werkwijze wordt toegepast die de kleinste inbreuk op de privacy van de betrokkene maakt.

Ook op dit punt heeft Hoffmann haar werkwijze aangepast: het social media onderzoek wordt nu toegespitst op eventuele risico’s ten aanzien van de betreffende functie en alleen de hiervoor noodzakelijke (persoons)gegevens worden geprint en aan het dossier toegevoegd. De AP oordeelt dat bij opvolging van deze methode, Hoffmann niet langer de wet overtreedt.

Afronding

Inmiddels heeft Hoffmann haar werkwijzen zo ingericht, dat bij opvolging daarvan de screening Wbp-proof is. Dat is een positieve ontwikkeling. Werkgevers die het bureau inschakelen voor een screening, lopen zo een kleinere kans om een overtreding van de Wbp tegengeworpen te krijgen. Uiteraard is het ook voor werkgevers die zelf screenen zaak om de Wbp na te leven.

Vraagt u zich af of u als werkgever de screening van sollicitanten en personeel correct aanpakt? Neemt u dan gerust contact op met de leden van de Werkgroep Privacy van BANNING.