Vorige maand bracht de Autoriteit Persoonsgegevens (“AP”) het sectorbeeld Arbeid en Sociale Zekerheid naar buiten. In haar sectorbeeld beschrijft de AP de trends die zij waarneemt op het gebied van Arbeid en Sociale Zekerheid, de risico’s van deze trends en aanbevelingen om deze risico’s tegen te gaan. In dit blog ga ik in op een aantal van deze trends, risico’s en waarnemingen van de AP.
Trends en risico’s
Door de AP zijn diverse trends gesignaleerd, met name in de sector Arbeid, nu dit betrekking heeft op vrijwel alle sectoren in Nederland en er veel ontwikkelingen in deze sector plaatsvinden.
Trend: Gezondheidscontroles op de werkvloer
De AP beschrijft de trend dat er onder werkgevers een toenemende interesse is om op de hoogte te zijn van de gezondheidstoestand van werknemers, bijvoorbeeld door het afnemen van een alcohol-, drugs- of medicijnentest (ADM-test) aan de poort. De AP wijst erop dit niet is toegestaan, tenzij het gaat om het afnemen van ADM-testen voor bepaalde beroepen die worden genoemd in de Scheepvaartwet, Spoorwegwet, Wet lokaal spoor en Wet luchtvaart.
Door de AP wordt aangegeven dat er voor werkgevers meestal geen grondslag uit de AVG kan worden ingeroepen om gezondheidsgegevens van werknemers te verwerken en dat het risico bestaat dat werkgevers dit onrechtmatig doen wanneer zij wel gezondheidsgegevens verwerken. Ook benadrukt de AP dat de grondslag uitdrukkelijke toestemming voor de verwerking van gezondheidsgegevens doorgaans niet kan worden ingeroepen, gelet op de hiërarchische verhouding tussen werkgever en werknemer. De AP adviseert om gebruik te maken van de arbodienst of bedrijfsarts wanneer een werkgever gezondheidsgegevens wil verwerken.
Verder noemt de AP dat sinds 2020 wordt gewerkt aan een wijziging van de Arbeidsomstandighedenwet waarmee een wettelijke basis wordt gecreëerd voor werkgevers om ADM-testen af te nemen. Het gaat hierbij enkel om specifieke functies die cruciaal zijn voor de veiligheid binnen Brzo-bedrijven (bedrijven die met veel gevaarlijke stoffen werken), waarbij strenge voorwaarden gelden voor de inzet van ADM-testen. Verder noemt de AP dat ook wordt onderzocht of een wettelijke basis kan worden gecreëerd voor andere specifieke functies met een groot veiligheidsrisico.
Trend: personeelsvolgsystemen
Personeelsvolgsystemen zijn digitale toepassingen die door werkgevers worden gebruikt om werknemers te volgen en/of in de gaten te houden. De AP wijst erop dat er voor werkgevers niet altijd een grondslag is om met dergelijke systemen (bijzondere) persoonsgegevens te verwerken. Ook kan de inzet van personeelsvolgsystemen, zeker in combinatie met de inzet van AI en algoritmes, onder andere tot een hogere werkdruk leiden onder werknemers doordat zij hiermee nog nauwer, constant en kostenefficiënt in de gaten kunnen worden houden door hun werkgever, aldus de AP.
De AP beveelt werkgever aan om te bepalen of er een uitzonderingsgrond is om bijzondere persoonsgegevens te verwerken, bijvoorbeeld omdat dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Ook benoemt de AP de rol van ondernemingsraad bij de inzet van personeelsvolgsystemen: de ondernemingsraad heeft instemmingsrecht bij het introduceren van een personeelsvolgsysteem.
Trend: AI en algoritmes in het sollicitatieproces
De AP beschrijft dat werkgevers steeds meer gebruik maken van AI en algoritmes om bestaande werkprocessen te verbeteren en de productie te verhogen, maar ook om de inzet van algoritmes bij de werving en selectie van potentiële medewerkers te vergemakkelijken.
Risico’s waar de AP op wijst bij het gebruik van algoritmes in het sollicitatieproces zijn discriminatie en profilering. Ook zijn algoritmes en AI-toepassingen niet transparant en accuraat, met daarbij het risico van vooringenomenheid. Wanneer sollicitanten of werknemers er niet van op de hoogte zijn gebracht dat zij onderworpen zijn aan AI en algoritmes, schuurt dit onder andere met het recht op informatie en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming. De AP adviseert om als werkgever af te vragen of het gebruik van AI en algoritmes in bestaande werkprocessen noodzakelijk is. Wanneer dit zo is, dan moet je als werkgever weten hoe het algoritme is ingericht en hierover uitleg kunnen geven aan werknemers.
Ook staat de AP stil bij de komende AI Act. De AI Act brengt verschillende verplichtingen met zich mee voor gebruikers van bepaalde AI-systemen. Zo worden AI-systemen op het gebied van werkgelegenheid, personeelsbeheer en de toegang tot zelfstandige arbeid, waaronder begrepen AI-systemen voor werving, selectie en screening aangemerkt als hoog risico-systemen, op basis waarvan diverse verplichtingen gelden voor gebruikers van dergelijke systemen. Op deze classificatie als hoog risico-systeem bestaat echter een uitzondering, namelijk wanneer een dergelijk AI-systeem geen significant risico oplevert voor de aantasting van de gezondheid, veiligheid of fundamentele rechten van natuurlijke personen. Dit is overigens slechts het geval bij een beperkt aantal AI-systemen, waaronder bij een AI-systeem bedoeld om een beperkte procedurele taak uit te voeren of een AI-systeem bedoeld om het resultaat van een eerder door een mens afgeronde activiteit te verbeteren. Wanneer een AI-systeem echter wordt gebruikt voor profilering van natuurlijke personen wordt het altijd aangemerkt als hoog risico-systeem. Naast deze hoog risico-systemen zijn er onder de AI Act ook verboden AI-toepassingen, zoals een AI-systeem voor emotieherkenning op werk. De AI Act is nog niet in werking getreden, maar zal naar verwachting deze maand in werking treden, waarna de AI Act de komende jaren stapsgewijs van toepassing zal zijn.
In dat licht wijst de AP verder op de Platformrichtlijn die eraan komt. De Platformrichtlijn is van toepassing op arbeidsplatformen en mensen die werkzaam zijn via een dergelijk platform en bevat nieuwe regels voor algoritmisch management: de automatisering van de aansturing van arbeid. Ook bevat de richtlijn nieuwe regels voor geautomatiseerde monitoring en besluitvorming door platformen. De Platformrichtlijn heeft onder meer als doel de transparantie, eerlijkheid en verantwoordelijkheid te vergroten bij het gebruik van geautomatiseerde monitorings- en besluitvormingsystemen van platformen. De Platformrichtlijn is nog niet van kracht, maar wanneer dit wel zo is, hebben lidstaten twee jaar om de richtlijn te implementeren in nationale wetgeving.
Trend: gebruik van algoritmes in het sociale domein
Door de AP wordt aangegeven dat in de sociale verzekeringssector/het sociale domein door verschillende overheidsorganisaties grote hoeveelheden (bijzondere) persoonsgegevens worden verwerkt, en dat deze partijen vaak meer met deze gegevens doen dan tot hun wettelijke taken behoort. Deze partijen handelen volgens de AP vanuit het idee om cliënten zo goed mogelijk van dienst te zijn, waardoor bijvoorbeeld persoonsgegevens worden gekoppeld of uitgewisseld om burgers op te sporen die een mogelijk recht hebben op een uitkering en daar geen gebruik van maken. Door het koppelen of uitwisselen van persoonsgegevens bestaat het risico dat de grenzen worden overschreden van hetgeen is toegestaan op grond van de AVG of andere toepasselijke wet- en regelgeving. De AP noemt hierbij als voorbeelden de vertroebeling van de doelbinding, het ontbreken van een grondslag voor de verwerking en het te breed uitleggen van het juridische beginsel van noodzakelijkheid.
Verder wijst de AP op de ontwikkeling binnen het sociaal domein waarbij overheidsorganisaties gebruik maken van algoritmes om bijvoorbeeld burgers met een bijstandsuitkering te profileren op frauderisico. Burgers met een hoger fraudeprofiel kunnen na profilering rekenen op intensievere controle door hun gemeente, aldus de AP. Ook noemt de AP dat profilering op basis van de woonwijk waar iemand woonachtig is of op basis van woonvorm en daarmee indirect op ‘ras’, discriminatie van mensen tot gevolg kan hebben. Volgens de AP wordt de inzet van algoritmes en het experimenteren met AI vaak niet naar behoren doordacht. Een van de oorzaken hiervan kan zijn dat niet de juiste mensen aan tafel zitten, zoals de Functionaris Gegevensbescherming (“FG”).
De AP heeft de volgende aanbevelingen voor de sociale verzekeringssector/het sociale domein:
- Koppelen/uitwisselen van persoonsgegevens: het koppelen/uitwisselen van persoonsgegevens – ook als dit wordt gedaan vanuit een nobele doelstelling – is enkel mogelijk wanneer hiervoor een grondslag kan worden ingeroepen. De AP adviseert om met de verschillende partijen te onderzoeken welke juridische mogelijkheden er zijn. Ook kan eventueel guidance aan de AP worden gevraagd. Wanneer het een structureel probleem betreft, raadt de AP aan om dit onder de aandacht van de wetgever te brengen en de wetgever te vragen om een nieuwe grondslag te creëren.
- Bescherming van persoonsgegevens en betrekken FG: de AP wijst op het betrekken van het beschermen van persoonsgegevens én het betrekken van de FG vanaf het begin van een nieuw (technologisch) project waarbij persoonsgegevens worden verwerkt. Verder adviseert de AP om goed gebruik te maken van een DPIA (Data Protection Impact Assessment, ook wel “gegevensbeschermingseffectbeoordeling”), waarmee de risico’s van een voorgenomen verwerking in kaart worden gebracht en vervolgens maatregelen kunnen worden genomen om deze risico’s te verkleinen. Waar nodig kan de AP geraadpleegd worden. Verder wijst de AP op het toetsen van de noodzakelijkheid van een verwerking, de vraag of er een grondslag kan worden ingeroepen en of er sprake is van transparantie.
- Deugdelijk beveiligingsbeleid: de AP wijst op het belang van een deugdelijk beveiligingsbeleid, wat de kans op datalekken verkleint. De AP noemt het onwenselijke scenario dat gevoelige persoonsgegevens van uitkeringsgerechtigden op straat komen te liggen. Het is dan ook aan uitkeringsinstanties om ervoor te zorgen dat dat niet gebeurt. Naast een deugdelijk beveiligingsbeleid, draagt ook de regelmatige training van werknemers hierbij. Het vergroten van awareness onder werknemers kan bijvoorbeeld ook via intranet.
Hoofdwaarnemingen AP
De AP merkt op dat er grote verschillen bestaan in de privacyvolwassenheid van organisaties, zowel op het gebied van leiderschap en toezicht als op het gebied van bewustwording en bewustzijn:
- Omgang met privacy: sommige organisaties zijn bewust met privacy bezig, waarbij het ook op de agenda van het bestuur staat terwijl het voor andere organisaties een ‘invulhokje’ of nevenbezigheid is.
- Rol van de FG: in sommige organisaties is een proactieve rol weggelegd voor de FG die daardoor goed kan functioneren, en bij andere organisaties is dit in het geheel niet of in veel mindere mate het geval. Een actieve FG heeft echter doorgaans een positieve invloed op de organisatie. Wanneer een FG ook andere werkzaamheden verricht, moet je als organisatie afvragen of de FG dan genoeg tijd heeft om de FG-taken naar behoren te vervullen.
- Training en bewustzijn: veel organisaties besteden veel aandacht aan het trainen van hun werknemers op het gebied van privacy. Dit geldt echter niet voor alle organisaties. Training is belangrijk om privacybewustzijn van werknemers te vergroten.
- Ondernemingsraad: tussen ondernemingsraden bestaan verschillen op het gebied van kennis van de AVG. Wanneer ondernemingsraden hier niet goed op de hoogte van zijn, kunnen zij hun rechten op grond van de Wet op de ondernemingsraden niet goed uitoefenen.
Vorige maand bracht de Autoriteit Persoonsgegevens (“AP”) het sectorbeeld Arbeid en Sociale Zekerheid naar buiten. In haar sectorbeeld beschrijft de AP de trends die zij waarneemt op het gebied van Arbeid en Sociale Zekerheid, de risico’s van deze trends en aanbevelingen om deze risico’s tegen te gaan. In dit blog ga ik in op een aantal van deze trends, risico’s en waarnemingen van de AP.
Trends en risico’s
Door de AP zijn diverse trends gesignaleerd, met name in de sector Arbeid, nu dit betrekking heeft op vrijwel alle sectoren in Nederland en er veel ontwikkelingen in deze sector plaatsvinden.
Trend: Gezondheidscontroles op de werkvloer
De AP beschrijft de trend dat er onder werkgevers een toenemende interesse is om op de hoogte te zijn van de gezondheidstoestand van werknemers, bijvoorbeeld door het afnemen van een alcohol-, drugs- of medicijnentest (ADM-test) aan de poort. De AP wijst erop dit niet is toegestaan, tenzij het gaat om het afnemen van ADM-testen voor bepaalde beroepen die worden genoemd in de Scheepvaartwet, Spoorwegwet, Wet lokaal spoor en Wet luchtvaart.
Door de AP wordt aangegeven dat er voor werkgevers meestal geen grondslag uit de AVG kan worden ingeroepen om gezondheidsgegevens van werknemers te verwerken en dat het risico bestaat dat werkgevers dit onrechtmatig doen wanneer zij wel gezondheidsgegevens verwerken. Ook benadrukt de AP dat de grondslag uitdrukkelijke toestemming voor de verwerking van gezondheidsgegevens doorgaans niet kan worden ingeroepen, gelet op de hiërarchische verhouding tussen werkgever en werknemer. De AP adviseert om gebruik te maken van de arbodienst of bedrijfsarts wanneer een werkgever gezondheidsgegevens wil verwerken.
Verder noemt de AP dat sinds 2020 wordt gewerkt aan een wijziging van de Arbeidsomstandighedenwet waarmee een wettelijke basis wordt gecreëerd voor werkgevers om ADM-testen af te nemen. Het gaat hierbij enkel om specifieke functies die cruciaal zijn voor de veiligheid binnen Brzo-bedrijven (bedrijven die met veel gevaarlijke stoffen werken), waarbij strenge voorwaarden gelden voor de inzet van ADM-testen. Verder noemt de AP dat ook wordt onderzocht of een wettelijke basis kan worden gecreëerd voor andere specifieke functies met een groot veiligheidsrisico.
Trend: personeelsvolgsystemen
Personeelsvolgsystemen zijn digitale toepassingen die door werkgevers worden gebruikt om werknemers te volgen en/of in de gaten te houden. De AP wijst erop dat er voor werkgevers niet altijd een grondslag is om met dergelijke systemen (bijzondere) persoonsgegevens te verwerken. Ook kan de inzet van personeelsvolgsystemen, zeker in combinatie met de inzet van AI en algoritmes, onder andere tot een hogere werkdruk leiden onder werknemers doordat zij hiermee nog nauwer, constant en kostenefficiënt in de gaten kunnen worden houden door hun werkgever, aldus de AP.
De AP beveelt werkgever aan om te bepalen of er een uitzonderingsgrond is om bijzondere persoonsgegevens te verwerken, bijvoorbeeld omdat dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Ook benoemt de AP de rol van ondernemingsraad bij de inzet van personeelsvolgsystemen: de ondernemingsraad heeft instemmingsrecht bij het introduceren van een personeelsvolgsysteem.
Trend: AI en algoritmes in het sollicitatieproces
De AP beschrijft dat werkgevers steeds meer gebruik maken van AI en algoritmes om bestaande werkprocessen te verbeteren en de productie te verhogen, maar ook om de inzet van algoritmes bij de werving en selectie van potentiële medewerkers te vergemakkelijken.
Risico’s waar de AP op wijst bij het gebruik van algoritmes in het sollicitatieproces zijn discriminatie en profilering. Ook zijn algoritmes en AI-toepassingen niet transparant en accuraat, met daarbij het risico van vooringenomenheid. Wanneer sollicitanten of werknemers er niet van op de hoogte zijn gebracht dat zij onderworpen zijn aan AI en algoritmes, schuurt dit onder andere met het recht op informatie en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming. De AP adviseert om als werkgever af te vragen of het gebruik van AI en algoritmes in bestaande werkprocessen noodzakelijk is. Wanneer dit zo is, dan moet je als werkgever weten hoe het algoritme is ingericht en hierover uitleg kunnen geven aan werknemers.
Ook staat de AP stil bij de komende AI Act. De AI Act brengt verschillende verplichtingen met zich mee voor gebruikers van bepaalde AI-systemen. Zo worden AI-systemen op het gebied van werkgelegenheid, personeelsbeheer en de toegang tot zelfstandige arbeid, waaronder begrepen AI-systemen voor werving, selectie en screening aangemerkt als hoog risico-systemen, op basis waarvan diverse verplichtingen gelden voor gebruikers van dergelijke systemen. Op deze classificatie als hoog risico-systeem bestaat echter een uitzondering, namelijk wanneer een dergelijk AI-systeem geen significant risico oplevert voor de aantasting van de gezondheid, veiligheid of fundamentele rechten van natuurlijke personen. Dit is overigens slechts het geval bij een beperkt aantal AI-systemen, waaronder bij een AI-systeem bedoeld om een beperkte procedurele taak uit te voeren of een AI-systeem bedoeld om het resultaat van een eerder door een mens afgeronde activiteit te verbeteren. Wanneer een AI-systeem echter wordt gebruikt voor profilering van natuurlijke personen wordt het altijd aangemerkt als hoog risico-systeem. Naast deze hoog risico-systemen zijn er onder de AI Act ook verboden AI-toepassingen, zoals een AI-systeem voor emotieherkenning op werk. De AI Act is nog niet in werking getreden, maar zal naar verwachting deze maand in werking treden, waarna de AI Act de komende jaren stapsgewijs van toepassing zal zijn.
In dat licht wijst de AP verder op de Platformrichtlijn die eraan komt. De Platformrichtlijn is van toepassing op arbeidsplatformen en mensen die werkzaam zijn via een dergelijk platform en bevat nieuwe regels voor algoritmisch management: de automatisering van de aansturing van arbeid. Ook bevat de richtlijn nieuwe regels voor geautomatiseerde monitoring en besluitvorming door platformen. De Platformrichtlijn heeft onder meer als doel de transparantie, eerlijkheid en verantwoordelijkheid te vergroten bij het gebruik van geautomatiseerde monitorings- en besluitvormingsystemen van platformen. De Platformrichtlijn is nog niet van kracht, maar wanneer dit wel zo is, hebben lidstaten twee jaar om de richtlijn te implementeren in nationale wetgeving.
Trend: gebruik van algoritmes in het sociale domein
Door de AP wordt aangegeven dat in de sociale verzekeringssector/het sociale domein door verschillende overheidsorganisaties grote hoeveelheden (bijzondere) persoonsgegevens worden verwerkt, en dat deze partijen vaak meer met deze gegevens doen dan tot hun wettelijke taken behoort. Deze partijen handelen volgens de AP vanuit het idee om cliënten zo goed mogelijk van dienst te zijn, waardoor bijvoorbeeld persoonsgegevens worden gekoppeld of uitgewisseld om burgers op te sporen die een mogelijk recht hebben op een uitkering en daar geen gebruik van maken. Door het koppelen of uitwisselen van persoonsgegevens bestaat het risico dat de grenzen worden overschreden van hetgeen is toegestaan op grond van de AVG of andere toepasselijke wet- en regelgeving. De AP noemt hierbij als voorbeelden de vertroebeling van de doelbinding, het ontbreken van een grondslag voor de verwerking en het te breed uitleggen van het juridische beginsel van noodzakelijkheid.
Verder wijst de AP op de ontwikkeling binnen het sociaal domein waarbij overheidsorganisaties gebruik maken van algoritmes om bijvoorbeeld burgers met een bijstandsuitkering te profileren op frauderisico. Burgers met een hoger fraudeprofiel kunnen na profilering rekenen op intensievere controle door hun gemeente, aldus de AP. Ook noemt de AP dat profilering op basis van de woonwijk waar iemand woonachtig is of op basis van woonvorm en daarmee indirect op ‘ras’, discriminatie van mensen tot gevolg kan hebben. Volgens de AP wordt de inzet van algoritmes en het experimenteren met AI vaak niet naar behoren doordacht. Een van de oorzaken hiervan kan zijn dat niet de juiste mensen aan tafel zitten, zoals de Functionaris Gegevensbescherming (“FG”).
De AP heeft de volgende aanbevelingen voor de sociale verzekeringssector/het sociale domein:
- Koppelen/uitwisselen van persoonsgegevens: het koppelen/uitwisselen van persoonsgegevens – ook als dit wordt gedaan vanuit een nobele doelstelling – is enkel mogelijk wanneer hiervoor een grondslag kan worden ingeroepen. De AP adviseert om met de verschillende partijen te onderzoeken welke juridische mogelijkheden er zijn. Ook kan eventueel guidance aan de AP worden gevraagd. Wanneer het een structureel probleem betreft, raadt de AP aan om dit onder de aandacht van de wetgever te brengen en de wetgever te vragen om een nieuwe grondslag te creëren.
- Bescherming van persoonsgegevens en betrekken FG: de AP wijst op het betrekken van het beschermen van persoonsgegevens én het betrekken van de FG vanaf het begin van een nieuw (technologisch) project waarbij persoonsgegevens worden verwerkt. Verder adviseert de AP om goed gebruik te maken van een DPIA (Data Protection Impact Assessment, ook wel “gegevensbeschermingseffectbeoordeling”), waarmee de risico’s van een voorgenomen verwerking in kaart worden gebracht en vervolgens maatregelen kunnen worden genomen om deze risico’s te verkleinen. Waar nodig kan de AP geraadpleegd worden. Verder wijst de AP op het toetsen van de noodzakelijkheid van een verwerking, de vraag of er een grondslag kan worden ingeroepen en of er sprake is van transparantie.
- Deugdelijk beveiligingsbeleid: de AP wijst op het belang van een deugdelijk beveiligingsbeleid, wat de kans op datalekken verkleint. De AP noemt het onwenselijke scenario dat gevoelige persoonsgegevens van uitkeringsgerechtigden op straat komen te liggen. Het is dan ook aan uitkeringsinstanties om ervoor te zorgen dat dat niet gebeurt. Naast een deugdelijk beveiligingsbeleid, draagt ook de regelmatige training van werknemers hierbij. Het vergroten van awareness onder werknemers kan bijvoorbeeld ook via intranet.
Hoofdwaarnemingen AP
De AP merkt op dat er grote verschillen bestaan in de privacyvolwassenheid van organisaties, zowel op het gebied van leiderschap en toezicht als op het gebied van bewustwording en bewustzijn:
- Omgang met privacy: sommige organisaties zijn bewust met privacy bezig, waarbij het ook op de agenda van het bestuur staat terwijl het voor andere organisaties een ‘invulhokje’ of nevenbezigheid is.
- Rol van de FG: in sommige organisaties is een proactieve rol weggelegd voor de FG die daardoor goed kan functioneren, en bij andere organisaties is dit in het geheel niet of in veel mindere mate het geval. Een actieve FG heeft echter doorgaans een positieve invloed op de organisatie. Wanneer een FG ook andere werkzaamheden verricht, moet je als organisatie afvragen of de FG dan genoeg tijd heeft om de FG-taken naar behoren te vervullen.
- Training en bewustzijn: veel organisaties besteden veel aandacht aan het trainen van hun werknemers op het gebied van privacy. Dit geldt echter niet voor alle organisaties. Training is belangrijk om privacybewustzijn van werknemers te vergroten.
- Ondernemingsraad: tussen ondernemingsraden bestaan verschillen op het gebied van kennis van de AVG. Wanneer ondernemingsraden hier niet goed op de hoogte van zijn, kunnen zij hun rechten op grond van de Wet op de ondernemingsraden niet goed uitoefenen.