H&M krijgt boete van 35 miljoen euro voor schenden privacy personeel

Kledingketen H&M heeft van de Hamburgse databeschermingstoezichthouder een boete van 35 miljoen euro gekregen wegens het schenden van de privacy van het personeel. Dat meldde Security.nl onlangs. Sinds 2014 werden zaken over het privéleven van medewerkers van het servicecentrum in Nuremberg in groot detail bijgehouden. Dit kwam eind vorig jaar door een configuratiefout aan het licht; het gehele bedrijf kon bij de 60 gigabyte aan personeelsdata. Met een stevige boete én schadevergoeding wordt daar nu een einde aan gemaakt.

Je vraagt je af wie er anno 2020 nog zó stom kan zijn:

Het ging om informatie over bijvoorbeeld vakanties, ziekteverlof of andere redenen om afwezig te zijn. Zodra medewerkers weer terugkwamen kregen ze een gesprek met een manager. Die noteerde niet alleen de reden voor de afwezigheid, maar ook symptomen van ziektes en diagnoses. Tijdens privégesprekken en gesprekken op de werkvloer werd allerlei andere persoonlijke informatie over het personeel verzameld. Het ging dan om details over het gezinsleven, maar ook de geloofsovertuiging.
Echt, serieus. Dat je als manager denkt informatie over iemands ziekte te moeten noteren, hoe kom je erbij. Daar is gewoon geen enkele reden voor, geen argument. Iemand is ziek of niet, en die informatie krijg je in binaire vorm. Hetzij van de werknemer, hetzij (als je die niet vertrouwt) van een arts. En alleen die arts beoordeelt ziektesymptomen en diagnoses, dus alleen die heeft die informatie.

Ik hoef denk ik niet uit te leggen waarom details over gezinsleven of geloof niet in een personeelsdossier thuishoren.

Ik ben vooral verbaasd dat dit überhaupt is gebeurd, niet dat het op enig moment door een datalek aan het licht kwam. Want datalekken zijn geen als, maar een wanneer. Zeker bij dit soort stommigheden.

Het is wel weer mooi dat H&M als organisatie het zo serieus oppakt. Want naast een boete van 35 miljoen euro, heeft H&M aan alle betrokken medewerkers excuses gemaakt en hen een schadevergoeding betaald. Tevens heeft de kledingketen verschillende databeschermingsmaatregelen genomen en zijn diverse managers ontslagen.

En beste lezer, ben je van HR of personeelsmanagement en denk je nu “ja oké gelukkig noteren wij qua ziekte of gezin alleen maar X” dan bij deze mijn weloverwogen juridisch advies: wil je daar mee stoppen alsjeblieft?

Arnoud

13 reacties

    1. Daar is de AVG niet eens voor nodig.

      Alle administratie voor uw arbeidscontract wordt vastgelegd in uw personeelsdossier. U heeft recht op inzage als werknemer voor bijvoorbeeld: korte inzage in het dossier, het krijgen van kopieën van brieven en verslagen of zelfs het volledige dossier. Hiervoor moet u schriftelijk aanvraag doen bij uw werkgever. Vervolgens moet uw werkgever u binnen vier weken inzage geven. Het kan zijn dat u niet alles mag zien.

      Interne notities of e-mails die een leidinggevende aan P&O heeft geschreven mag u meestal niet inzien. Dit zijn teksten met persoonlijke gedachten die voor intern beraad zijn bedoeld. Dit kan iemand zijn visie zijn op een conflict met mogelijke vervolgacties. Ook notities, e-mails en andere stukken (of delen ervan) die over u en andere werknemers gaan mag u niet inzien.

      1. Dat lijkt me een samenvatting van je rechten onder de AVG (en daarvoor de WbP) 😉

        De term “interne notities” komt bijvoorbeeld rechtstreeks uit de jurisprudentie. Overigens kun je er wel een boom over opzetten of je inderdaad recht op kopieën hebt (m.i. zelden) en of interne notities inderdaad vrijgesteld zijn.

        1. De bron hiervan is de Hoge Raad in de Dexia zaken.[1] De grondslag die Hoge Raad hiervoor aandroeg was dat interne notities onder binnen de privésfeer van de medewerker ligt en dat dergelijke notities geen bestand vormen. De Hoge Raad is op beide punten inmiddels ingehaald door het Europees Hof van Justitie. De uitzondering van de privésfeer moet écht particulieren betreffen,[2] en daar is uiteraard geen sprake van als de leidinggevende met P&O overleg pleegt. En het begrip bestand sluit niet uit dat noties hier ook onder vallen.[3] De vraag of e-mail een bestand is hoeft overigens niet beantwoord te worden, omdat hierbij gebruik wordt gemaakt van computer. Het Hof Den Haag heeft inmiddels erkent dat de AVG geen uitzondering voor interne notities kent.[4] Wat vervolgens overblijft is of de uitzondering van de bescherming rechten en vrijheden opgaat.

          [1] HR, 29 juni 2007, ECLI:NL:HR:2007:AZ4663, r.o. 3.2 onder (vi); HR 29 juni 2007,, ECLI:NL:HR:2007:AZ4664, r.o. 3.2 onder (vi) [2] EHvJ 6 november 2003, Lindqvist, C?101/01, EU:C:2003:596, r.o. 47; EHvJ, 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C?73/07, EU:C:2008:727, r.o. 44; EHvJ 11 december 2014, Ryneš, C?212/13, EU:C:2014:2428, r.o. 31 en 33; en EHvJ, 10 juli 2018, Jehovah’s Getuigen, C?25/17, ECLI:EU:C:2018:551, r.o. 42-44 [3] EHvJ, 10 juli 2018, Jehovah’s Getuigen, C?25/17, ECLI:EU:C:2018:551, r.o. 62 [4] Hof Den Haag, 17 september 2019, ECLI:NL:GHDHA:2019:2398, r.o. 4.20-4.22

  1. Ik zit bij het bijhouden van ziektegevallen met twee belangrijke vragen:

    1. Wat mag je van de re-integratieafspraken vastleggen?

    2. Is er geen verplichting om bij werkgerelateerde klachten (vanwege ARBO) de oorzaak vast te leggen?

  2. Het bijzondere m.b.t. gegevens over ziekte: In Duitsland kan je in de regel (uitzonderingen moeten explicit worden vastgelegd!) tot 3 dagen ziek thuis blijven zonder dat een arts dit hoeft te bevestigen. De vierde werkdag moet er een “arbeitsunfähigkeitsbescheinigung” bij de werkgever liggen. Daarin bevestigt je huisarts (!) dat je niet in staat bent om te werken en hoelang dit waarschijnlijk zo is. De werkgever krijgt in dit stadium geen informatie over een diagnose. De werknemer is ook niet verplicht deze informatie zelf te geven. Het is dus volkomen terecht dat H&M op deze manier op die vingers is geslagen (niet getikt…)

  3. Tja. Waarom ze anno 2020 nog zo stom zijn heeft waarschijnlijk te maken met “historische redenen”. Ik vermoed dat op enig moment in het verleden, misschein al wel 20, 30 of meer jaar geleden, een of meerdere managers dit soort dingen als “schaduwnotities” ging bjihouden. Er staat in het artikel ook dat het ging om “een netwerkschijf”, met andere woorden het was geen “echt” of regulier personeelsadministratie-systeem, het klinkt veel meer als een of andere share met Word-documenten en Excel-sheets waar een handvol managers bij kon. Waarom men er ooit mee begonnen is weten we niet, maar ik kan me er wel wat bij voorstellen. Mogelijk ging het om meer informele punten die de manager wilde bespreken bij het volgende functioneringsgesprek, even voor de zekerheid bijhouden wanneer het precies was, want die ene medewerker heeft nu al voor de vijfde keer dit jaar halverwege de middag een afspraak bij de tandarts; die medewerker is nu al voor de tiende keer te laat op maandagochtend, is daar wellicht iets aan de hand wat gevaarlijk kan zijn, al dat soort dingen. Zoiets gaat dan op een gegeven moment een eigen leven leiden, meerdere managers die te maken hebben met personeel gaan die informatie delen, en voor je het weet ben je tien jaar verder en “hebben we het altijd al gedaan” en vraagt niemand zich meer af of het eigenlijk wel mag, en het is immers zo handig.

    Kortom, ik keur het niet goed, maar ik kan het wel verklaren en ik durf er wat op te verwedden dat er duizenden bedrijven zijn waar allerlei managers Excel-sheets en zo bijhouden met dat soort informatie.

    1. Nou, na elk verzuim werd een gesprek gevoerd en werd die indformatie gevraagd. Dat klinkt toch wel een beetje alsof mensen gedwongen werden om die informatie te geven. En dat mag dan weer niet. Als een medewerker met vakantie is geweest, dan vraag ik uit belangstelling ook waar ze naartoe zijn geweest. Als iemand ziek is, dan vraag ik er ook naar, gewoon uit bezorgdheid. Daar is, lijkt mij, niks mis mee. Willen ze het niet vertellen, even goede vrienden. Maar in dit geval; stelselmatig een gepland gesprek met je manager en afstaan die informatie? Dat gaat wel erg ver. Te ver, als dat het geval is.

  4. De personeelsvereniging (geen aparte rechtspersoon) van mijn werkgever houdt informatie bij over kinderen van werknemers vanwege sinterklaas: ouders moeten een kado uitkiezen voor hun kind, maar zijn altijd te laat, dus zijn ze gaan bijhouden wie een kado aanvraagt, zodat het jaar erna de trage reageerder persoonlijk aangesproken kan worden (“hé Jan, hoeft Luuk dit jaar geen kado meer? Morgen wordt de bestelling doorgegeven.” ) Als ik de AVG goed begrijp, mag dit niet, en moet de bestellijst met kindernamen nadat de sint langs is geweest, weggegooid worden. Maar ik ga toch niet zeuren dat de AVG overtreden wordt, want dat zou huilende kindjes tot gevolg hebben…

  5. Het is misschien verboden, maar er is een heel goede reden om die informatie te noteren: respect, betrokkenheid en goed werkgeverschap.

    Niet iedereen durft om aanpassingen op het werk te vragen namelijk. Er zijn veel onzekere mensen. Of die onnodig hard zijn voor zichzelf, omdat ze niet weten dat ze recht hebben op aanpassingen. Het is als leidinggevende onmogelijk om alles te onthouden, dus dan moet je af en toe wat noteren. Want hoe fijn kan het soms zijn, als een leidinggevende proactief is en zelf met een voorstel komt. Ik vind dat onderdeel van goed werkgeverschap. Illegaal of niet. Het één is verplicht en het ander verboden. Dat zijn dan twee tegenstrijdige wetten en dan mag je kiezen toch? De arbeidswetgeving is op bepaalde punten enorm krom, omdat er wordt uitgegaan van slechte intenties bij werkgevers en werknemers. Een bedrijfsarts wordt meestal pas in een laat stadium ingeschakeld bij langdurig of frequent verzuim. Dan is er al veel aan de hand. Terwijl kleine aanpassingen op werk, het soms veel fijner kunnen maken voor een werknemer en belangrijker nog, erger kunnen voorkomen. En de werknemer kiest zelf wat die wel of niet vertelt. Zolang je ze daar op wijst en op het hart drukt dat ze niks hoeven te vertellen. Dan is er toch niks aan de hand? En als iemand het niet waardeert, kan je dat ook noteren en daardoor respecteren.

    1. Als je als ‘manager’ alleen maar met je hoofd in de Excel sheets kan zitten en geen zicht kan houden op uitzonderingsgedrag (!) van een enkele werknemer in je afdeling, dan ben je gewoon ongeschikt als manager. Dan moet je niet allerlei dossiers gaan aanleggen omdat je niet kan onthouden dat werknemer X elke maand een week met rugpijnen op bed ligt wat misschien aan de werksituatie kan liggen, maar dan moet je iets anders gaan doen. En dan nog is het absurd om vast te leggen om welke rugwervel het ging, welke pijnstilling werd voorgeschreven en of die misschien niet werd ingenomen omdat je vindt dat Jehova dat verbiedt, want op dat niveau werd er blijkbaar informatie bijgehouden. Die Stasi lebt weiter!

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.