Mag mijn werkgever Google Analytics op het intranet zetten?

google-analyticsEen lezer vroeg me:

Onlangs viel me op dat ons intranet cookies van Google Analytics zet. Mijn manager zei dat dat gewoon mag omdat het om werkgerelateerde gegevens gaat en niet om privégerelateerde gegevens. Maar klopt dat wel?

Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

Hoofdregel is toestemming, maar voor werknemers is het best lastig om toestemming te geven aangezien de wet eist dat dit op vrijwillige basis gebeurt. En in principe kun je als werknemer geen vrijwillige toestemming geven als je werkgever iets vraagt, omdat er op de achtergrond áltijd de vage angst zal heersen “als ik dit niet doe, dan ontslaat hij me/krijg ik geen verhoging/promotie volgend jaar”.

Als werkgever kom je dan al snel uit bij de grond van noodzaak voor de (arbeids-)overeenkomst. Oftewel, ik moet deze gegevens wel verzamelen anders gaat het mis met het werk en/of kun jij je werk niet doen. Een rittenadministratie bijhouden of mensen laten in- en uitklokken valt hieronder. Maar is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt?

De trend is om social intranets in te zetten voor kennisdelen en contact houden tussen collega’s. Binnen die trend zou ik het verdedigbaar vinden om ook te willen monitoren hoe het intranet wordt gebruikt. Je moet immers kunnen inspelen op gebruikersgedrag.

Is er geen noodzaak voor het werk, dan is de enige redding nog de eigen dringende noodzaak die zwaarder weegt dan de privacy. Je moet dan als werkgever aantonen dat je eigenlijk niet anders kunt. Bij bijvoorbeeld een camera op het werk is dit de rechtvaardiging: ik móet het magazijn filmen want er wordt anders te veel gestolen. Ik móet wel met Analytics werken anders gaat er iets stúk, namelijk.. eh, nee die zie ik ook niet direct.

Beroep je je op zo’n dringende noodzaak dan moet je ook alles hebben gedaan om de privacy zo veel mogelijk beschermen. Er zal dus een privacyreglement moeten zijn dat uitlegt wat je doet en waarom, je moet de IP-adressen zo veel mogelijk verbergen en Google vertellen dat ze écht niets anders mogen doen met jouw Analyticsdata. En rapportages mogen niet op individueel niveau gedaan worden.

Oh ja. Er is een Vrijstelling Intranetten binnen de wet, maar die vrijstelling houdt alleen in dat je niet aan het Cbp hoeft te melden dat je gebruikersgegevens verwerkt via je intranet. Het wil niet zeggen dat als je het zo doet, je legáál handelt. Bovendien dekt die vrijstelling niet het monitoren met Google Analytics (of Piwik of wat dan ook).

Verder is hoe dan ook instemming van de Ondernemingsraad nodig (art. 27 Wet OR). Immers, het gaat om

k. een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;

dan wel

l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

En bij al dergelijke regelingen is voorafgaande instemming verplicht. Ik gok zomaar dat de OR van de vraagsteller niet gevraagd is of Google Analytics op het intranet mag worden ingezet. Want dit is Hip en Leuk en gaan we doen. En ik snap dat ook wel, het ís ook gewoon handig en leuk zo’n tool. Maar ja. Die Wbp hè.

Arnoud

10 reacties

  1. Het is de vraag of het doel ook met minder ingrijpende maatregelen bereikt kan worden.

    Van het gebruik van het intranet wil je ongetwijfeld generieke statistieken zien, als hele delen niet of niet afdoende worden gebruik kan je daarop sturen. Afhankelijk van de bedrijfsomgvang en geografische spreiding zou je wellicht meer willen weten zoals de locatie of afdeling wat meer generiek is dan de persoon. Per persoon zou ik persoonlijk als inbreuk op privacy zien.

    Ik denk dat je zeker een case kan maken waarbij verder gaande statistieken zinvol zouden kunnen zijn. Dit zou voor mij heel erg bedrijfsafhankelijk zijn evenals zeer afhankelijk van de tak van sport van het bedrijf. Zoals wel vaker denk ik dan ook dat de originele vraag niet met een simpel ja of nee te beantwoorden is, iets wat ik na gesprekken met juristen wel vaker heb 🙂

    1. Met Google Analytics heb je tenminste nog opt-out: zet de desbetreffende cookies uit. Met loganalyse waar je aan de browserkant niets van ziet heb je ie optie niet.

      Dat is nog maar de vraag. Dit is tenminste binnen een zakelijke omgeving en dan zijn deze opties doorgaans geblokkeerd voor de gemiddelde werknemer.

  2. Arnoud, je haalt als ander voorbeeld een camera in het magazijn aan. Dat deed me denken aan de promofilmpjes die tegenwoordig met echte werknemers worden gemaakt, zoals een shot van de werkvloer. Valt dat dan ook onder het verwerken van persoonsgegevens? Moet dat ook langs de OR, lijkt me wel erg ver gaan?!

  3. Oh, wat heb ik het dan lastig. Als web developer moet ik regelmatig Google Analytics toevoegen aan nieuwe websites en testen. 🙂 Dus ontwikkelaars en testers zijn eigenlijk “gedwongen” om zo hun persoonsgegevens te delen. Maar ik zie niet hoe ze op een andere manier hun werk kunnen doen. Ik vraag mij af hoe ze dat doen in een fabriek van beveiligings-camera’s… 🙂

  4. (…) is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt

    Ehh, ja? Doelstelling van een intranet is doorgaans om kennis te delen en informatieverstrekking te automatiseren teneinde personeel efficiënter te laten werken. Dat verhoogt de productiviteit van werknemers en bespaart kosten voor de werkgever. Om intranet te kunnen verbeteren is inzicht in gebruik nodig dus ja, monitoring is voor bedrijven die hun intranet serieus nemen 100% verdedigbaar. De discussie zou moeten gaan over hoe vèr die monitoring moet gaan.

    Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen

    … Mwah, daar kun je nog wel een boompje over opzetten. De voorwaarden van Google Analytics verbieden expliciet dat gegevens mogen worden verzameld die te herleiden zijn tot individuen: “You will not (and will not allow any third party to) use the Service to track, collect or upload any data that personally identifies an individual (such as a name, email address or billing information), or other data which can be reasonably linked to such information by Google.”. Het is binnen deze voorwaarden techniscn nog wel mogelijk om unieke sleutels (id’s, keys) mee te sturen, zodat je een unieke gebruiker kunt herkennen zonder dat Google persoonsgegevens ontvangt, maar dat moet je dan wel bewust zo inrichten. Oftewel, ja, je kunt Analytics zo in elkaar knutselen dat personen te volgen zijn maar het is geen standaard feature van Google Analytics. En binnen de standaard features ben ik toch wel heel benieuwd hoe je in Analytics wilt kunnen achterhalen welke pagina’s Karin van de receptie of Johan van Inkoop hebben bekeken.

    1. Hier zie ik twee problemen mee:

      1) Ook als jij hard probeert het te voorkomen, kan het nog gebeuren dat bepaalde informatie die jij verzamelt naar een specifieke persoon wijst. Stel bijvoorbeeld dat je als voorzorgsmaatregel geen IP-nummers of stukjes daarvan bewaart maar alleen landencodes van de domeinnaam. Nu belt er iemand uit Zimbabwe om te klagen over de service en zowaar, je ziet in je gegevens van de afgelopen week voor het eerst verkeer uit Zimbabwe. Dan is dat verkeer persoonlijk identificerende informatie geworden, want dikke kans dat het van de beller is.

      2) Ook als jij met de gegevens die jij uit Google Analytics krijgt geen personen kunt identificeren, kan Google dat heel vaak wel met de gegevens die dankzij jou vanuit de browser naar Google Analytics gestuurd worden. Google belooft plechtig dat het dat niet doet, maar bewijs maar eens dat het niet gebeurt. Omdat jij veroorzaakt dat die gegevens verstuurd worden ben je er volgens mij ook verantwoordelijk voor dat ofwel er geen personen mee geidentificeerd kunnen worden, ofwel de WBP wordt gevolgd. Dat moet je dus regelen.

  5. In hoeverre is relevant dat dit apparatuur betreft die eigendom is van de werkgever? Tw 11.7a spreekt namelijk over ‘de randapparatuur van de gebruiker’ en ‘van de gebruiker toestemming te hebben verkregen’. Daar wordt in ieder geval mee geimpliceerd dat de eigenaar van de randapparatuur degene is die toestemming moet verlenen.

    1. Volgens 11.1 Tw is een ‘gebruiker’ een “natuurlijke persoon die gebruik maakt van een openbare elektronische communicatiedienst voor particuliere of zakelijke doeleinden”. Dat is dus in de context van werk de werknémer en niet het bedrijf waar hij werkt. Wel zou ik willen verdedigen dat de werknemer niet zomaar toestemming mag weigeren als de cookies voor het werk noodzakelijk zijn.

  6. Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

    Google Analytics verzamelt wel de meest uiteenlopende gegevens omtrent het gedrag van bezoekers op een bepaalde website, intranet of webshop. Deze zijn niet te herleiden tot specifieke individuen of IP adressen. Als je regelmatig werkt met GA dan weet je dat. Het is dus m.i. een heel goed idee om GA te gebruiken voor het intranet omdat deze gegevens kunnen helpen bij het maken van beslissingen over navigatie en top-taken hetgeen een tegenwicht kan bieden aan stakeholders die dicht bij de webmaster staan en hun keuzes afdwingen op dat gebied ten nadele van de vindbaarheid van belangrijke informatie voor de organisatie als geheel.

    Een ander aspect vind ik wel interessant: wat doet Google met de gevonden informatie van het intranet? Als de bot van Google bij de data kan komen dan wordt deze geïnventariseerd en opgeslagen op externe servers. Er zijn vast wel organisaties die geïnteresseerd zijn in wat er op Nederlandse intranetten staat opgeslagen aan (bedrijfs)gegevens.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.