H&M krijgt boete van 35 miljoen euro voor schenden privacy personeel

Kledingketen H&M heeft van de Hamburgse databeschermingstoezichthouder een boete van 35 miljoen euro gekregen wegens het schenden van de privacy van het personeel. Dat meldde Security.nl onlangs. Sinds 2014 werden zaken over het privéleven van medewerkers van het servicecentrum in Nuremberg in groot detail bijgehouden. Dit kwam eind vorig jaar door een configuratiefout aan het licht; het gehele bedrijf kon bij de 60 gigabyte aan personeelsdata. Met een stevige boete én schadevergoeding wordt daar nu een einde aan gemaakt.

Je vraagt je af wie er anno 2020 nog zó stom kan zijn:

Het ging om informatie over bijvoorbeeld vakanties, ziekteverlof of andere redenen om afwezig te zijn. Zodra medewerkers weer terugkwamen kregen ze een gesprek met een manager. Die noteerde niet alleen de reden voor de afwezigheid, maar ook symptomen van ziektes en diagnoses. Tijdens privégesprekken en gesprekken op de werkvloer werd allerlei andere persoonlijke informatie over het personeel verzameld. Het ging dan om details over het gezinsleven, maar ook de geloofsovertuiging.
Echt, serieus. Dat je als manager denkt informatie over iemands ziekte te moeten noteren, hoe kom je erbij. Daar is gewoon geen enkele reden voor, geen argument. Iemand is ziek of niet, en die informatie krijg je in binaire vorm. Hetzij van de werknemer, hetzij (als je die niet vertrouwt) van een arts. En alleen die arts beoordeelt ziektesymptomen en diagnoses, dus alleen die heeft die informatie.

Ik hoef denk ik niet uit te leggen waarom details over gezinsleven of geloof niet in een personeelsdossier thuishoren.

Ik ben vooral verbaasd dat dit überhaupt is gebeurd, niet dat het op enig moment door een datalek aan het licht kwam. Want datalekken zijn geen als, maar een wanneer. Zeker bij dit soort stommigheden.

Het is wel weer mooi dat H&M als organisatie het zo serieus oppakt. Want naast een boete van 35 miljoen euro, heeft H&M aan alle betrokken medewerkers excuses gemaakt en hen een schadevergoeding betaald. Tevens heeft de kledingketen verschillende databeschermingsmaatregelen genomen en zijn diverse managers ontslagen.

En beste lezer, ben je van HR of personeelsmanagement en denk je nu “ja oké gelukkig noteren wij qua ziekte of gezin alleen maar X” dan bij deze mijn weloverwogen juridisch advies: wil je daar mee stoppen alsjeblieft?

Arnoud