Baas tech-bedrijf draagt ons op AVG te negeren. Hoe bescherm ik mezelf als werknemer?

“Our boss explicitly, and repeatedly, instructed us to refrain from deleting the email addresses, even when told by multiple people in my team that this would be in violation of the AVG, and our own privacy statement.” Zo vertelt een anonieme Redditor over zijn dilemma: de werkgever draagt hem en zijn collega’s op om de AVG te schenden, en wat zou dat betekenen voor hen als de Autoriteit Persoonsgegevens erachter komt?

De kern is dat gegevens van oude (ex-)gebruikers van de app nog bewaard worden, in strijd met de bewaartermijn uit de privacyverklaring en dus in strijd met de AVG. Men wil dit weggooien en de boze baas zegt, dat mag niet want dan zien onze gebruikersaantallen er slechter uit.

En toegegeven, ineens je “al $numUsers mensen gingen u voor!” reclametekst zien halveren, dat is niet echt fijn. Alleen ja, als je gezegd hebt dat je bewaartermijn zeg twee maanden na einde gebruik is, dan hadden die userprofielen echt allang weggemoeten.

Maar wat nu: wet zegt weg, baas zegt nietes. Nou ja, dan wint de wet natuurlijk. Maar de wet zegt wat het bedrijf moet doen, en uiteindelijk is het de directie die beslist wat het bedrijf gaat doen. (Mogelijk op advies van de FG, als die er is.) Niet een individuele werknemer. Dus zelf een weggooiactie ondernemen om het bedrijf weer AVG-compliant te krijgen, dat is géén goed idee.

Inderdaad ben je als werknemer niet verplicht om dingen te doen die (evident) in strijd zijn met de wet. Je werkgever kan je niet ontslaan omdat je weigert iets te doen dat niet mag. Alleen hier gaat het om iets wél willen doen waarvan de werkgever het verboden heeft, namelijk een grote groep klantgegevens wissen. Dan kom je bij de arbeidsrechter niet ver met “maar volgens mij mochten wij die gegevens niet bewaren, daarom heb ik ze weggegooid” want als je werkgever expliciet nee zegt, dan is het nee.

Loop je nu persoonlijk een risico dat de AP achter je aankomt? Nee, in het geheel niet. In zo’n situatie is de wet duidelijk: de werkgever (het bedrijf, niet je manager privé) is aansprakelijk voor naleving van de AVG, en kan dus beboet of anders gesanctioneerd worden als de AP erachter komt. Betrokkenen kunnen claims indienen, die het bedrijf dan moet betalen.

Dus nee, het is zuur maar ik zie geen manier om deze AVG schending te beëindigen als de verantwoordelijke in de hiërarchie zegt dat ze er vrolijk mee door gaan. Over diens hoofd gaan kán natuurlijk: weet de bedrijfsjurist en/of FG hiervan, en wat zouden die tegen de algemeen directeur zeggen? Alleen is het een bekend verschijnsel in grotere bedrijven dat over het hoofd van je lijnmanager gaan, zelden tot goede resultaten leidt.

Als je dit een zeer ernstige misstand vindt, dan kun je gaan klokkenluiden. Ik las bij Reddit al de tip om de lijst met adressen te dumpen, en in de bibliotheek vanuit een nieuw aangemaakt mailadres die mensen te tippen dat hun account bij X nog steeds bestaat. Zullen we dat gewoon niet doen? Werknemer A klaagt, er gebeurt niets, de klanten krijgen van een anoniempje een signaal en dienen claims in, goh wie oh wie zou daarvoor gezorgd hebben en welk boetemaximum staat er in zijn arbeidscontract bij de geheimhoudingsclausule?

Arnoud

37 reacties

  1. Naast dat je prima die aantallen gebruikers kunt tonen zonder gevoelige data te bewaren. Ik heb aan meerdere projecten gewerkt waar de privacy gevoelige data geanonimiseerd kon worden mocht dat nodig zijn, maar de accountentries zelf blijven dan bestaan, alleen dan als anoniem{id}@example.com als mailadres.

    1. Evident, toch. Omdat hogere aantallen marketing-technisch in dit soort claims lekkerder werken. En aan “al X gebruikers gingen u voor” is niets gelogen, ook niet wanneer verwijderde gebruikers daarin meegenomen worden.

  2. Ik vind het eigenlijk nogal arrogant van de onderknuppel. Wellicht heeft de baas of FG het bij het rechte eind. Wellicht mag men nog steeds inloggen om historische gegevens in te zien, en is het account dus nog actief. Of moet men zelf het account bewust opzeggen.

    Algemene voorwaarden, privacyverklaringen en dergelijke zullen een rol spelen in wanneer een account niet meer actief is. En wie is een developer nou om dat soort juridische documenten te beoordelen. Dat is zijn werk niet.

    1. Eens, een organisatie kan genoeg grondslag hebben om de gegevens niet te wissen. Als je daar als IT-er een mening over hebt dan dien je die te toetsen bij de bedrijfsjurist en niet bij je Reddit-vriendjes.

    2. Heb de originele thread niet gelezen, maar die ‘onderknuppel’ kan, zelfs als het zijn werk niet is, inhoudelijk prima gelijk hebben en kan ook beter geïnformeerd zijn dan de betreffende manager. Het is de toon die de muziek maakt, wellicht. En je zou ook kunnen zeggen dat er qua privacy awareness wel wat goed is gegaan.

    3. We hebben met ons allen de verantwoordelijkheid dat we ons aan fatsoenlijke normen houden. Ontkennen dat een ontwikkelaar juridische documenten kan beoordelen (al is het zijn vak niet) is hier toch eenigszins aansturen op een “bevel is bevel” cultuur, en we weten allemaal waar dit toe leidt.

      Geconfronteerd worden met een baas die hierom vraagt is een ding, een baas die zegt, je snapt er niets van en doet wat ik zeg, dat is een reden om te vertrekken (en gelukkig hebben ontwikkelaars meestal die optie, zoals ook een vorige werkgever van mij moest ervaren).

      1. Eens, de houding van “dat is niet jouw werk” hoort niet bij een moderne baan. Het kan natuurlijk wel zijn dat er meer speelt waardoor iets wél legaal is. Ik had eens zo’n situatie dat de directie onder NDA al iets had afgesproken waardoor een situatie legaal werd, maar dat de IT-afdeling dit nog niet wist. Die ging dus piepen dat de wet overtreden werd en op de rem staan. Dat is natuurlijk een vervelende situatie.

    4. Ik denk dat er ook meer context nodig is om hier duidelijk te zeggen of deze gegevens niet alsnog bewaard mogen worden. Is er sprake van betalingen? zijn de mailadressen mogelijk deel van andere wettelijke plichten zoals de fiscale bewaarplicht?

      Het kan best zijn dat er belangen spelen die je als ontwikkelaar niet ziet. In dat soort gevallen hoort er juist een jurist of FG te zijn die duidelijkheid kan geven.

      Daar slaat wat mij betreft de manager de plank ook mis. Er is een zorg/vraag vanuit zijn medewerkers en hij zegt “Nee.” in plaats van “Nee, want.” Dat laatste moet je bij kritische kenniswerkers natuurlijk wel doen, anders raak je ze kwijt.

  3. Ik zou de medewerker adviseren om er intern ruchtbaarheid aan te geven. Bij afdelingsoverleggen het als open vraag neerleggen (goh, dit speelt, hoe gaan we hier mee om?), er over spreken met collega’s, intern om advies vragen bij de juridische afdeling, dat soort zaken. Als op een gegeven moment maar genoeg medewerkers ervan weten dan wordt de druk op het management vanzelf te groot. Bovendien kan je het dan melden zonder dat het direct te herleiden is naar jou zelf. Als die manager expliciet de opdracht geeft om het er met niemand over te hebben, dan die opdracht schriftelijk eisen of in elk geval schriftelijk bevestigen. In mijn ervaring is het zo dat als je schriftelijk (of email, maar in elk geval in iets dat ergens vastgelegd is) heel duidelijk en expliciet stelt wat het probleem is managers weigeren om dat te bevestigen. Iets als “Ik zal me als goed werknemer uiteraard houden aan de gegeven instructies. Wilt u bevestigen dat uw expliciete instructie in de kwestie omtrent het verwijderen van oude accounts is om dingen te doen die onwettig zijn?”. In mijn ervaring is er geen manager die zoiets bevestigd. Of dit wel of geen juridische status heeft maakt niet eens uit, de wens is om het later eventueel te kunnen verantwoorden als fout of vergissing, en zo’n soort email maakt duidelijk dat het bewust was.

    1. Ik zou zelf niet gaan schermen met dit is onwettig, hooguit met “ik voel me hier wat ongemakkelijk mee, kun je dit voorleggen aan de bedrijfsjurist?”

      Het wordt nog een stuk lastiger als je geconfronteerd wordt met tegenstrijdige wetgeving. Zo moeten banken zich houden aan de regels binnen FATCA, waardoor het heel erg lastig en soms zelfs onmogelijk is zogenaamde “US persons” een rekening te geven, en daarnaast ook aan anti-discriminatie regels, die discriminatie op afkomst verbieden, en het hebben van een bankrekening als mensenrecht zien.

      1. Ik gebruikte die term bewust, omdat ik uit het verhaal begrijp dat dat station al gepasseerd is. Meerdere mensen hebben, volgens het verhaal, die manager verteld dat het onwettig is. Als dat niet zo zou zijn, bijvoorbeeld omdat de bedrijfsjurist het heeft uitgezocht en heeft gezegd dat het wel degelijk wettig is, dan zou het verhaal heel anders zijn. In het algemeen heb je volkomen gelijk, maar in dit specifieke geval was de situatie dus dat die oude gegevens niet werden verwijderd omwille van marketing (het aantal users), en dat het bekend was dat dat wel had gemoeten.

  4. Even van de andere kant heb ik een grote hekel aan mensen die menen zelf de wet te moeten gaan handhaven, en dan met nadruk een eigen interpretatie van de wet, en het handhaven ook op hun eigen manier. Een goede werknemer zou uitzoeken hoe je die user-aantallen in stand houdt en tegelijk aan de wet voldoet. ‘don’t bring me problems, bring me solutions’

    1. Tuurlijk, dat is de beste manier, alleen ik schat zo in dat hier een dominant alfa-mannetje die ver in het rood zit al aardig aan het micromanagen is, en al helemaal is vastgeklikt op zijn oplossing. Als die persoon zijn probleem, in plaats van zijn oplossing had voorgelegd aan de ontwikkelaars, dan was er inderdaad vast wel wat te bedenken geweest dat consistent is met zowel de wetgeving en het werkelijke belang van de baas.

  5. Ik begrijp de verwarring niet zo goed: afdeling 4 van de AVG is hier toch vrij duidelijjk over. Hier is (in juridische zin) sprake van een medewerker die een gegevensbeschermingseffectbeoordeling heeft gemaakt met betrekking tot het vasthouden van oude gebruikergegevens. Hij komt hierbij tot een andere afweging dan zijn chef. Krachtens Art 39.1 lid a en c (AVG) is de Functionaris de aangewezen persoon om contact mee op te nemen. Vrij vertaald: Medewerkers kunnen zich met vragen over verwerkingen altijd wenden tot de Functionaris voor de Gegevensbescherming. De Functionaris voor de Gegevensbescherming is tot geheimhouding verplicht. (Art 38.5 AVG). Dit mijns insziens ook geldt ook voor wie welke vragen stelt. De FG geniet hierbij ontslagbescherming volgens artikel 7:670 lid 10, onder d BW. (Bron tenholternoordam.nl). Dat is dan ook de reden dat ik vind dat een externe FG minder effectief is, omdat deze voor zijn contractverlenging afhankelijk is van de gegevensverwerker.

      1. Als er geen FG is, en je kampt met dit probleem, leg dan op papier vast welke afweging je maakte, welke stappen je hebt ondernomen, en waarom. En de werkopdracht van de leidinggevende ook vastleggen. 1 Je kunt dit stuk voorleggen aan de directie als je denkt dat dat je carriere niet schaadt. Accepteer vooraf dat andere mensen andere afwegingen maken: de privacywetgeving gaat nu eenmaal over het afwegen van belangen. De meeste directieleden die ik ken staan open voor het maken van afwegingen in een commercieel-politiek speelveld, dat vinden ze leuk en daarom zijn ze ook directeur. 2 Vroeg of laat kan een accountant of jurist met kennis van de AVG erom vragen. In een bedrijf met een afrekencultuur kan dat je huid redden. 3 En anders kun je het later gebruiken om uit te leggen waarom je bij, zeg Reddit, ben weggegaan, bij je volgende werkgever dus 🙂

      1. Ja en nee: niet iedere afweging tussen goed en kwaad is meteen een vonnis. Je kijkt eerst: zijn er risico’s zijn voor de rechten en vrijheden van de betrokkenen (recital 84 AVG). Dat is natuurlijk een gegevenseffectbeoordeling in zichzelf. Als er een hoog risico is, dan kijk je verder (met advies van de FG) en stel je de bij wet (art 35 AVG) verplichte DPIA op. Het kan zijn dat bij nadere bestudering tijdens de DPIA blijkt dat er helemaal geen risico is. Of dat het risico door technische en organisatorische maatregelen goed te beveiligen is. Of dat er nog een groot risico overblijft, en je de AP om advies vraagt.

        1. De complicatie is in deze casus dat de directe lijnmanager zegt “je mag geen tijd besteden aan een dpia, ik draag je op dit als legaal te beschouwen en ik wil er niets meer over horen”. Op dat moment de FG inschakelen gaat dus in tegen een dienstbevel, net als zelf alsnog een DPIA uitvoeren. Dat is arbeidsrechtelijk best problematisch, geheel los van dat de AVG dit de wenselijke route verklaart.

          1. Maakt het nog wat uit dat privacy een grondrecht is? Kun je wel een dienstbevel (wat een 19e eeuws woord!) geven omtrent iets dat de grondrechten van anderen schaadt? ( je kunt ook niet een medewerker opdragen om eens even iemand te martelen of om systematisch religieuze bijeenkomsten te gaan verstoren)

            Aan de andere kant: Ik begrijp ook wel dat je als management niet continue wilt dat je medewerkers je werk dubbel overdoen en dan, door een gebrek aan expertise of gebrek aan kennis van het grotere plaatje, tot een ander besluit komen en daarover blijven zeuren.

            1. Grondrechten zijn nooit absoluut, je moet ze altijd afwegen tegen andere rechten. Zoals het grondrecht een onderneming te voeren, of het grondrecht van eigendom (van het bedrijf). “Schaden” is dus een te beladen term. Maar ja, je kunt grondrechten inperken vanuit een dienstverband: ik kan jou als werknemer geheimhouding opleggen, of je verbieden tegelijkertijd bij de concurrent te werken, ik kan je verplichten beveiligingscameratoezicht te ondergaan en ik kan je zelfs voorschrijven wat je aan moet. Binnen het redelijke mag ik als werkgever dat gewoon bepalen en jij hebt dat te doen. Dit raakt allemaal aan grondrechten van jou, maar het is (vanwege dat redelijke) gerechtvaardigd dat ik die beperk.

              1. Misverstand blijkbaar, jij antwoord vanuit de grondrechten van de werknemer gezien. Ik bedoelde de grondrechten (met name privacy) van de klanten.

                Met andere woorden: Heeft de werknemer meer rechten om een dienstbevel te negeren als het gaat om inbreuk maken op grondrechten van ee derde (de klant) dan wanneer het gaat om interne organisatie of verplicht gebruik van bepaalde templates.

                1. Op die manier. Ja, het bedrijf moet rekening houden met de grondrechten van klanten. (Niet elke overtreding van de AVG zou ik meteen een grondrechten-kwestie noemen, maar dat terzijde.) Voor mij is dan de vraag wel, wie moet die afweging maken? Is dat iedere werknemer op ieder moment, of mag je als bedrijf zeggen, dat doet de verantwoordelijke manager al dan niet samen met Legal/Privacy en de rest moet gewoon haar eigen werk doen. Ik neig wel naar dat laatste, bij andere bedrijfsprocessen is het ook raar als zeg de junior QA tester besluit dat een factuur voor de kantine betaald kan worden of de camera bij de ingang gaat weghalen omdat deze de privacy schendt.

                  1. Ik neig daar ook naar, omdat het bedrijf anders wel zeer moeilijk te managen valt. Maar aan de andere kant… als je willens en wetens je werknemer vraagt de grondrechten van een ander te schenden, dan kan ik me voorstellen dat dat toch anders ligt.

                    Bijvoorbeeld: moet de technische dienst voldoen aan een opdracht (‘dienstbevel’) om een beveiligingskamera zo op te hangen dat de voordeur van het homocafe aan de overkant van de straat lekker goed in beeld komt? Toch niet, lijkt me. Waarom moet dan de IT-er dan wel gedwongen meewerken aan een privacyschending?

                    1. Het lastige aan deze casus is dat het niet een keiharde evidente overtreding is waar geen tegenverhaal op mogelijk is. Het gaat hier om een interpretatie van de bewaartermijn uit de PV, die accounts mogen al weg volgens de werknemer. Heeft de manager argumenten? Is er op hoger niveau misschien een reden om ze nog wél te bewaren, loopt er misschien een audit door de AP of zijn gegevens bevroren vanwege een accountantsonderzoek ten behoeve van een overname? Zo’n reden zou de werkgever niet hoeven te vertellen, sterker nog misschien niet eens mógen. Maar dan is het dus geen privacyschending.

                      1. Geen keiharde evidente overtreding, zeg je?

                        Volgens je eigen blog: In tegenspraak met de eigen privacyverklaring. Volgens de redditbron: Het enige belang volgens de baas is om het aantal gebruikers hoger te laten lijken.

                        Welk tegenargument vanuit het management zou je redelijk vinden, gegeven deze omstandigheden ?

                        1. Nou ja, dat zou het management natuurlijk zeggen als er een geheime audit plaatsvindt door een investeerder die 10 miljoen voor 40% van de aandelen gaat betalen. Anders gezegd: je weet niet het hele plaatje, de “in tegenspraak met de eigen PV” is dus niet zeker weten het hele verhaal. Mag je van de baas verwachten dat die zegt “ik kan je de redenen niet geven maar geloof me, het klopt”? Of mag die een smoesje geven en je dan afkappen?

                          Wat zou jij als manager zeggen als jij onder strikte NDA wist van die investeerder en onder geen voorwaarde dit onder de mensen bekend mag maken? Maar als de data gewist wordt voor de audit klaar is, gaat die 10 miljoen niet door.

                          1. Dit een wel behoorlijk vergezochte voorbeeldsituatie, maar afgezien daarvan: ik vind prima dat de baas kan zeggen: ‘Ik weet dat het niet klopt, maar er zijn goede redenen voor die ik niet bekend mag maken’

                            En dan nog: die privacyverklaring aanpassen zodat je in ieder geval de deur open laat voor tijdelijke afwijkingen van je eigen beleid is ook een kleine moeite.

                            En dan het belangrijkste: Lijken in de kast bewust verbergen bij een potentiele overname…? Dat vind je een redelijk tegenargument?

                    2. Niet elke privacyschending is een overtreding van de AVG. Dus ik zou zeggen dat je daaraan mee hebt te werken als je dat opgedragen wordt. Er kunnen prima redenen zijn waarom het tóch mag. Bijvoorbeeld een belangenafweging.

          2. Werknemers moeten weten dat ze altijd naar de FG mogen om advies. Het begint met collegiaal overleg: “Wat vind jij?”. Misschien zie je het verkeerd. Je staat sterker als al je collega’s het volledig met je eens zijn. Maar ingaan tegen een dienstbevel om te strijden voor mensenrechten is inderdaad een probleem. De ervaring leert dat je daar hooguit een verzuurde werkrelatie van krijgt. Alleen in een uitzonderlijk geval krijg je een standbeeld. 🙂

  6. Als het goed is, zorgt de FG via opleidingen voor privacybewustzijn onder de werknemers. Voor er een (nieuwe) verwerking van persoonsgegevens plaats vindt, denk de werknemer dus even na over de privacy, cq de mogelijke gevolgen van de verwerking voor de betrokkenen. Als hij een risico ziet, overlegt hij met collega’s, leidinggevende en de FG. (Die wil natuurlijk zijn verwerkingenregister bijwerken, dus contact met de FG is bijna altijd nodig, ook als je b.v. een vakantierooster voor het personeel in de cloud maakt). Het bedrijf (gehoord het advies van de FG) blijft verantwoordelijk voor de afweging (of ze het opschrijven in een DPIA of niet). Als er een DPIA ligt (waarin rekening gehouden is met de normatieve richtlijnen en jurisprudentie) zal de rechter misschien tot een andere afweging van de belangen kunnen komen, maar hij zal dan geen overtreding van de AVG kunnen constateren.

      1. Het Landesgericht Bonn heeft in zijn 1&1-uitspraak geconstateerd dat de Technische en Organisatorische Maatregelen ex Art 32 niet voldoende waren afgewogen. Voor die risico-afweging is uiteraard een DPIA ex art 35 e.v. nodig. Het gerecht vond geen overtredingen van de AVG, en constateerde dat er geen richtlijnen waren op het moment van overtreding, maar oordeelde wel dat alleen een geboortedatum te weinig is voor een identificatie in een callcenter. (!) De rechter bracht de door de autoriteit opgelegde boete terug van 9 miljoen naar 9 ton. (https://openjur.de/u/2310641.html) (Juridisch Duitsland was vooral geschokt dat er hier geen enkele natuurlijke persoon een fout had gemaakt en toch de onderneming als rechtspersoon werd beboet. Dat geeft onrust in de directiekamers. 🙂 )

  7. Het begint er natuurlijk mee dat je behoorlijk je best hebt gedaan. Dat begint met Art 5.1.a AVG : Persoonsgegevens moeten: a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, BEHOORLIJK en transparant is („rechtma­tigheid, behoorlijkheid en transparantie”); De duitse tekst vind ik duidelijker: “nach Treu und Glauben”. Dan moet je naar eer en geweten een DPIA hebben gedaan. En dan zou je geen boete van de AP kunnen krijgen voor overtreding van de AVG. En toch kan je dan wel fout zitten en opdraaien voor de (rechts-)gevolgen van dat handelen. De Tennisbondzaak is een voorbeeld waar de afweging van de AP heel anders is dan de afweging van de Tennisbond. Maar daar is nog geen uitspraak over. Als je er vanuit gaat dat de gemeente Rotterdam netjes een DPIA heeft gemaakt voor een lijst met overlastgevers, dan is er wel een uitspraak over die behoorlijke wijze van verwerken. ECLI:NL:RBROT:2018:8921 zie https://www.hekkelman.nl/app/uploads/2019/07/Noot-JBP-2019_1-onzorgvuldige-verwerking.pdf

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.