Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mijn werkgever verplicht me om een training te volgen bij een extern ingehuurd bedrijf. Deze stuurt nu een inschrijfformulier met allerlei vragen, maar ook (verplicht) opgeven van zaken als geboortedatum, geboorteplaats, en privé adres. Ik heb daar bezwaar tegen, kan dit zo worden afgedwongen?
Antwoord: Een werkgever kan natuurlijk mensen op training sturen als dat in het belang is van het werk. De werkgever is dan in principe ook de opdrachtgever van het trainingsbedrijf. Die moet dan de benodigde gegevens verstrekken zoals wie er mee doet.
Dergelijke gegevens vallen al snel onder de AVG, en die kent het principe van dataminimalisatie: relevant en niet meer dan wat noodzakelijk is voor het doel. De namen van cursisten lijken me relevant, je moet weten wie er komen (en wie niet). Functietitels lijken me ook van belang voor de voorbereiding, eventuele dieetwensen kunnen nodig zijn et cetera.
Het privéadres en geboortedatum/plaats van de werknemers die komen lijkt me op geen enkele manier relevant. Ik kan me nog nét voorstellen dat je leeftijd nodig hebt, het beïnvloedt je les als je een groep vroege twintigers hebt of juist een club mensen net voor hun pensioen zeg maar.
Geboorteplaats vind ik een rare, ik zou geen cursus weten waarin het uitmaakt waar de cursist geboren is. Het voelt als een indirecte manier om het verboden gegeven van etnische afkomst uit te vragen.
Mijn vermoeden is dat het trainingsbedrijf simpelweg hun standaard inschrijfformulier opstuurde, zoals je ook zou krijgen als je zelf (buiten het werk om dus) die training zou boeken. En dan is het privéadres ineens relevant, omdat je wilt weten waar het incassobureau naar toe moet als men niet betaalt. Of er worden boeken e.d. opgestuurd en men denkt dat het handig is dat je die thuis krijgt.
Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Mocht de werkgever van plan zijn je wérkelijke gegevens hiervoor te verstrekken, dan zou dat een behoorlijk probleem zijn. HR heeft die gegevens natuurlijk voor de personeelsadministratie (en geboorteplaats mag dan, in het kader van diversiteitsbeleid/positieve discriminatie) maar mag ze niet verstrekken aan een opleider zonder dat er een duidelijke noodzaak is.
Af en toe krijg ik vragen van mensen die extra bezorgd zijn over hun woonadres, bijvoorbeeld omdat ze last hebben van een stalker. Dat zou ook in deze context tot zorgen kunnen leiden. Helaas lijken er geen HRM-softwarepakketten te zijn waarbij men een vlaggetje kan zetten "Onder geen voorwaarde aan derden verstrekken zonder toestemming" bij gegevens van een werknemer. Je moet dus maar hopen dat HR volgens de regels werkt, en in gevallen als deze snap ik dat men daar dan knap zenuwachtig over wordt.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.