Wat mag een werkgever met Sinterklaascadeaus in coronatijd?

Een lezer vroeg me:

Als FG bij ons bedrijf vroeg ik me af hoe we moeten omgaan met Sinterklaas in deze coronatijd. Traditioneel koopt iedereen cadeautjes voor elkaar (lootjes trekken), en koopt de werkgever ook nog iets van een chocoladeletter. Dat mensen elkaars postadres krijgen lijkt me niet de bedoeling, maar mag de werkgever het allemaal opsturen namens de collega’s? Of denk jij dat er toestemming nodig is?
Het is inderdaad zeer niet de bedoeling dat collega’s elkaars postadres (huisadres) krijgen zodat ze Sinterklaascadeaus kunnen opsturen.

Een werkgever mag zijn personeel natuurlijk cadeautjes geven, zeker rond de feestdagen. De AVG vindt het prima als je die dan opstuurt in een tijd van pandemie en/of thuiswerken. Dat valt gewoon onder goed werkgeverschap, oftewel uitvoering van de arbeidsovereenkomst. En als je een wat preciezere FG bent, dan gooi je dit op eigen gerechtvaardigd belang. Dat betekent praktisch gezien alleen dat werknemers bezwaar kunnen maken.

Vaak zie je dat zulke cadeau’s ingekocht worden bij een organisatie die ze ook verstuurt. Dan krijg je altijd de discussie of die organisatie verwerker of verantwoordelijke is. Ik zou daar niet te veel tijd aan besteden maar vooral afspreken dat deze organisatie geen eigen reclame gaat sturen naar het personeel, iets waar zulke clubs nog wel eens een handje van hebben.

Als de werknemers surprises voor elkaar maken, dan ontkom je er niet aan dat dit centraal verstuurd wordt vanuit de werkgever. Het lijkt me te ingewikkeld dat iedereen elkaars adres krijgt, behalve als er bezwaar is en dat getoetst wordt in alle vrijheid en weet ik veel. Doe jezelf en iedereen (behalve de office manager) een pleziertje en laat de office manager dat centraal doen.

Tentamenvraag: is Sinterklaas (een zzp’ende acteur die je daartoe inhuurt) een verwerker of een verwerkingsverantwoordelijke voor wat betreft de Grote Boek-informatie die de werkgever over de collega’s verschaft?

Arnoud

 

25 reacties

  1. Nog nooit over nagedacht, hoe zit de Sint met de GDPR. Gelukkig is de goedheiligman gevestigd in Europa en daarmee is grootste probleem rond persoonsgegevens (= De VS) meteen van de baan.

    Echter heeft hij natuurlijk de belangrijke taak om kinderen in de gaten te houden, en om bij te houden in zijn boek wie zich goed gedraagt en wie niet. Nu is het op zich best goed mogelijk om elk jaar een nieuw boek te gebruiken, en om oude boeken na zeven jaar weg te gooien. Op deze manier vernietigt de Sint niet belangrijke informatie mocht er een bezwaarschrift worden ingediend, maar op deze manier ontstaat er ook geen ongezonde hoeveelheid informatie. Nu is de Sint nooit vies geweest van politieke statements (Zie bijvoorbeeld de samenwerking met de RAF), dus de Sint moet ook niet in de lengte der dagen bijhouden wie snoep stal.

    Ennuh, Arnoud, nu je zelf jonge kinderen hebt kun je natuurlijk geen Fake News gaan rond bazuinen… Sinterklaas een ZZP acteur…. zucht 😉

    1. Ik denk alleen maar: Arme Sint… Al honderden jaren zet hij zich met zijn Pieten in om kinderen blij te maken op zijn verjaardag…. Wordt hem niet makkelijk gemaakt. Hij heeft net al zijn Pieten moeten aanpassen en nu moet ie dus de inhoud zijn Grote Boek gaan prijsgeven in een privacy reglement, vanwege de AVG? Wat Sint allemaal bijhoudt is juist het grote mysterie! Krijgen we kinderen die straks om inzage gaan vragen. En dat Sint correctieverzoeken in behandeling moet gaan nemen? Is er ook een Privacy Piet nodig, omdat het om bijzondere persoonsgegevens gaat?

  2. De echte vraag is natuurlijk of de werkgever de ‘Grote Boek informatie’ ĂŒberhaupt mag bijhouden, laat staan verstrekken aan betreffende, niet onder zijn gezag werkende, want artikel 7: 610 BW uitgesloten in de overeenkomst, acteur.

    1. Natuurlijk mag dat, een goed werkgever kan prima dit soort informatie verzamelen ten behoeve van de fijne sfeer op kantoor. Dit staat in het verwerkingsregister (toch?) netjes uitgewerkt. De grondslag is dan artikel 6 lid 2, uitvoering arbeidsovereenkomst.

      En waarom kan het niet aan een niet-werknemer verstrekt? Je kunt toch ook prima een salarisadministrateur inschakelen die bijvoorbeeld als zzp’er werkzaam is?

  3. “Tentamenvraag: is Sinterklaas (een zzp’ende acteur die je daartoe inhuurt) een verwerker of een verwerkingsverantwoordelijke voor wat betreft de Grote Boek-informatie die de werkgever over de collega’s verschaft?”

    Dat valt onder de uitzonderingen wegens traditie. Het zou immers van de zotte zijn, dat de Sint niet over deze informatie mag beschikken.

    1. Ook met toestemming is dat tegen de AVG, collega’s kunnen geen toestemming geven. Ik chargeer het even hoor: dit soort “gezelligheid” is altijd afgedwongen, men voelt zich verplicht mee te doen en toestemming te geven. En hoe voorkom je dat stalkende collega X “toevallig” het pakket gaat langsbrengen bij collega Y die al maanden bang is dat X haar thuis opzoekt nadat ze hem in de kopieerkamer maar net van zich af heeft weten te houden?

      Als je dit wil doen, dan gaan alle pakketjes naar de directiesecretaresse en/of officemanager en die verstuurt ze met een pakketdienst. Enige manier om het AVG compliant te doen, maar toestemming is niet nodig. De directeur moet alleen even zeggen dat Sinterklaas gewoon deel van het werk is ,dan is het uitvoering arbeidsovereenkomst.

      1. En hoe voorkom je dat stalkende collega X “toevallig” het pakket gaat langsbrengen bij collega Y die al maanden bang is dat X haar thuis opzoekt nadat ze hem in de kopieerkamer maar net van zich af heeft weten te houden?

        Ik vind dit altijd een flauw argument. Dit is een bij de haren gesleept, onwaarschijnlijk scenario. In jouw scenario is er een misdrijf gepleegd, en is ongetwijfeld een intern reglement overtreden, en er is geen melding van gemaakt/aangifte van gedaan.

        Hoe waarschijnlijk is dit? Moet je beleid ontwikkelen op basis van de mogelijkheid dat er een strafbaar voorval tussen twee werknemers is geweest en dat dat ook nog eens een keer niet gemeld is? En dat de dader zich ook nog eens zo zelfverzekerd daarbij voelt dat hij de misdaad nog eens wat krachtiger wil overdoen?

        Als je als baas weet hebt van een dergelijk incident (zelfs via het geruchtencircuit), ja dan moet je optreden en zo’n bezorging niet organiseren. Maar toch niet omdat het theoretisch mogelijk is dat er zo’n incident heeft plaatsgevonden? Dat is namelijk altijd mogelijk.

        Ik steun best het recht op privacy, en ook ik vind zo’n verdeelronde geen goed idee, maar de reden die je aanhaalt vind ik onzin.

        1. Helaas blijken dat soort dingen vaker voor te komen dan je denkt. Ik vind dat een werkgever meer dan een gemiddeld burger moet zorgen voor een veilige werkomgeving en dus na moet denken over onwaarschijnlijke risico’s. Als je dan zelf ook al zegt dat je het geen goed idee vindt, dan snap ik het bezwaar niet meer.

          1. Ik vind zo’n verdeelronde geen goed idee vanwege iedereens recht op privacy. Dat is meer dan voldoende. Dan hoeft er geen specifiek voorbeeld bij van wat er zou kunnen misgaan (want ik, en misschien ook anderen, vind het een vergezocht voorbeeld dat alleen je argument verzwakt, niet versterkt)

            Natuurlijk moetje als werkgever meer dan gemiddeld opletten, maar moet dat zo ver gaan dat je er rekening mee houdt dat een werknemer een misdrijf gaat plegen? MOet je een medewerker die je daartoe in staat acht al niet lang ontslagen hebben wegens gebrek aan vertrouwen?

      2. Hmmm dus je zegt eigenlijk dat de gegevens doorgeven aan een totale vreemde een beter idee is dan aan een vertrouwde collega. Wat ik volledig begrijp gezien het (helaas realistische) voorbeeld wat je geeft. Maar hoe zit dat juridisch?

        Zeg je dan: er is geen vrije toestemming bij een collega want een bekende dus impliciete druk?

        1. Juridisch gezien gaat het om de vraag hoe je borgt dat de persoonsgegevens netjes conform de AVG worden beheerd. Een derde die geen interesse heeft in jouw bedrijf, maar wel geld wil van jou en bang is voor claims, die is denk ik prima te vertrouwen. In ieder geval bij iets als pakketjes langsbrengen bij collega’s.

          Als je collega’s dat werk laat doen (wat op zich mag van de AVG), hoe ga je dan misbruik borgen? Juist omdat het collega’s zijn en het om iets triviaals gaat waardoor borging lastig te begrijpen is (“kom op zeg, het zijn Sinterklaascadeaus dat vindt iedereen gewoon leuk”), zie ik dat een heel stuk minder.

          Wie vertrouw jij meer om dat postpakket met de jaarcijfers en voorgestelde loonsverhogingen op papier van kantoor naar de externe HR afdeling te brengen? Een ingehuurde koerier die al twintig jaar bekend staat als veilig en snel, of collega Hans die toevallig die kant op moet?

    2. Ik denk dat dat wel meevalt. De werkgever is verwerkingsverantwoordelijke en geeft zijn werknemers specifieke instructies dat ze de adressen alleen voor het bezorgen van de pakketten mogen gebruiken. En ja, ik ben het met Arnoud eens dat een werkgever de (toch al bekende) adressen van de werknemers mag gebruiken voor het toesturen van “thuiswerkpakketten”.

      1. Bij een vorige werkgever werden de sinterklaasattenties e.d. door de personeelsvereniging geregeld. Lidmaatschap was geheel vrijwillig, al werd die vereniging riant gesubsidieerd door de baas en was de contributie daardoor heel beperkt (paar euro per maand). Bij zo’n vereniging is dan het toesturen van zo’n attentie of pakket gewoon onderdeel van het lidmaatschap, en is toestemming wel mogelijk, want, geen werkgever.

  4. Zucht… 🙂

    Ik vraag mij ondertussen af binnen hoeveel organisaties er nu een Zwarte-Pieten-Strijd gaande is. Mag je als bedrijf naast een Sinterklaas-acteur ook een Zwarte Piet inhuren? 🙂 En mag je dan vervolgens aan je werkgever vragen wie die acteur is zodat je zijn werkgever kunt aanspreken op het aanstootgevende (blackface) gedrag van zijn medewerker?

    Denk dat we Sinterklaas wel net zo goed kunnen afschaffen want dat scheelt al dit soort discussies over de AVG, GDPR en kleur…

  5. Het ligt dus in het verlengde dat je de leverancier van de cadeaus (in dit geval) de adressen aanlevert (mits je even afspraken maakt over doelbinding ed) en dat die partij de cadeaus op de post doet ipv dat het allemaal bij jou geleverd wordt en jij (of secretariaat) dit gaat doen. Geldt dit ook voor de situatie dat gemeenten nu mondkapjes aan het versturen zijn naar burgers? Die worden ergens gekocht en ik zie dat ze zelf door de gemeente op de post worden gedaan (uit zichzelf of na aanvraag), maar het zou dus ook door die leveranciers verstuurd mogen worden. Even benieuwd naar meningen in het verlengde van deze lezersvraag als we de situatie veranderen!

    1. Het ligt inderdaad in het verlengde van het werk om als werkgever je personeel Sinterklaascadeaus op te sturen rond 5 december. Je borgt het natuurlijk met de leverancier en/of bezorgpartij.

      Het is anders bij een gemeente die mondkapjes verstuurt naar burgers. Dat zou een wettelijke taak moeten zijn, gemeentes hebben geen overeenkomst met hun burgers en mogen zich niet beroepen op een gerechtvaardigd belang bij iets dat hun overheidstaak betreft. Maar als de gemeente het mag doen, mag ze (van de AVG) ook een leverancier het laten doen. Dat is gewoon een kwestie van verwerkersafspraken maken. Tenzij er een wet is die het uitbesteden aan een private partij verbiedt, wat bij bijvoorbeeld handhaving of politiewerk speelt, maar die zie ik hier niet.

        1. Aanvullend: Dat is natuurlijk de discussie waarop jij doelde met: Vaak zie je dat zulke cadeau’s ingekocht worden bij een organisatie die ze ook verstuurt. Dan krijg je altijd de discussie of die organisatie verwerker of verantwoordelijke is. Ik zou daar niet te veel tijd aan besteden maar vooral afspreken dat deze organisatie geen eigen reclame gaat sturen naar het personeel, iets waar zulke clubs nog wel eens een handje van hebben.

          Maar lijkt me dat de adressen aanleveren slechts onderdeel is en de opdracht niet hoofdelijk ziet op het verwerken van persoonsgegevens. Deze zijn slechts noodzakelijk om bv 10 cadeaus te leveren. Zou ook wat zijn als in deze gevallen steeds een vwo gesloten moet worden.

          1. Goed punt, al is voor mij dat criterium “ziet de opdracht hoofdelijk op verwerking” me een raadsel, het staat niet in de AVG noch in de jurisprudentie. Ik weet dat de Rijksoverheid het roept maar ik vind het fout. Het gaat erom of je namens en ten behoeve van de verantwoordelijke verwerkt, zie de analyse van de WP29. Een salarisadministrateur is volgens mij echt een verwerker, ondanks dat de opdracht in hoofdzaak gaat om het voeren van financiĂ«le administratie.

            Dat gezegd hebbende is een pakketbezorger volgens mij al snel een verantwoordelijke omdat ze zelf bepalen wat ze met de gegevens doen, denk aan updates via de app sturen, het pakket op verzoek omleiden naar een pakketpunt en ga zo maar door. Maar ik denk dat als ik een bedrijf een lijstje karakterkenmerken van mijn personeel stuur Ă©n hun huisadres met het verzoek een passend cadeau uit te zoeken en dat op te sturen, ik dat bedrijf als verwerker zou willen zien.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.