A.I. & Privacy: Mag de werkgever data van werknemers op social media onbeperkt gebruiken?

Vanochtend berichtte het Financieel Dagblad dat PwC VS voortaan kunstmatige intelligentie inschakelt bij overnames. Het Amsterdamse bedrijf Focus Orange gaat het accountantskantoor – voorals nog alleen in de USA - helpen om personeelsrisico’s bij overnames te verkleinen. Focus Orange werkt in Nederland al voor grote corporates als Schiphol, KLM, ASML en Randstad. De software van Focus Orange maakt het mogelijk met speciale algoritmes processen, risico’s en scenario’s te herkennen en door te rekenen. Ook (openbare) teksten van werknemers op social media kunnen worden geanalyseerd. Volgens Focus Orange zal de privacy van werknemers de komende jaren centraal staan. Zij gaat ervanuit dat data die werknemers op social media kanalen zet, eigenlijk openbaar is. Is deze conclusie terecht? En kan er zo makkelijk van worden uitgegaan dat werkgevers in de toekomst data van werknemers op social media kan en mag gebruiken zonder enige beperking? In Amerika waar doorgaans minder zwaar wordt getild aan privacy zal dit mogelijk minder bezwaarlijk zijn. Vanuit Europees privacyrechtelijk oogpunt dringt de vraag zich echter op of de verwerking van persoonsgegevens in dit verband wel onbeperkt is toegestaan.

Het is natuurlijk aantrekkelijk voor werkgevers en overnamekandidaten om zoveel mogelijk te weten (te komen) over het personeel. Op deze manier kunnen risico’s worden ingeperkt. Maar ook voor werkgevers geldt het zogenaamde ‘doelbindings-principe’, waarbij slechts persoonsgegevens van personeelsleden mogen worden verzameld voor zover dit te rechtvaardigen (lees: strikt noodzakelijk) is binnen arbeidsrelatie. Het is dus uitdrukkelijk niet de bedoeling dat de werkgever onbeperkt gegevens, zoals bijvoorbeeld berichten op Facebook, foto’s op Instagram en video’s op YouTube, van haar personeel verzamelt, ook al is dit met de beste intenties. Zo heeft de Autoriteit Persoonsgegevens eerder negatief geadviseerd over het verstrekken van wearables (zoals activity trackers) aan werknemers, voor zover de werkgever daarmee tot doel had werknemers te monitoren dan wel daarmee een gezonde(re) levensstijl te bevorderen.

Als we kijken naar ‘gewone’ persoonsgegevens die een werknemer ‘kennelijk’ uit eigen beweging publiekelijk heeft gemaakt (bijvoorbeeld op Facebook of LinkedIn), valt op dat werkgevers dergelijke gegevens volgens de nieuwe Algemene Verordening Gegevensbescherming in beginsel mogen verwerken. Dit geldt echter niet voor speciale categorieën persoonsgegevens, zoals medische en strafrechtelijke persoonsgegevens of gegevens over bijvoorbeeld etniciteit, politieke- en levensovertuigingen. Verwerking van zulke ‘bijzondere’ persoonsgegevens is slechts in uitzonderlijke gevallen toegestaan. En zelfs als de verwerking in beginsel is toegestaan, dan nog wil dat niet zeggen dat de werkgever alles met die persoonsgegevens mag doen. Buiten het oorspronkelijke doel voor de gegevensverwerking zal dan vaak worden gezocht naar een geobjectiveerd gerechtvaardigd belang van de werkgever voor die specifieke verwerking. Daarbij zal onder andere de zogenaamde ‘noodzakelijkheidstoets’ een belangrijke rol spelen. Hierbij moet een afweging worden gemaakt tussen de belangen van in dit geval de werkgever om de gegevens te gebruiken en het privacybelang van de werknemer.

Het gaat veel té ver om te oordelen dat publiekelijk gemaakte gegevens van werknemers zomaar met de interne personeelsadministratie mogen worden gekoppeld. Ook in dit kader kan de noodzakelijkheidstoets de doorslag geven. Die horde is echter niet gemakkelijk te nemen, nu de privacy van de werknemer een hoogwaardig recht is dat in de weg kan staan aan de koppeling van de persoonsgegevens door de werkgever. Zo zal er moeten worden beoordeeld of er niet gewoon toestemming aan de werknemer kan worden gevraagd dan wel of minder vergaande mogelijkheden zijn om het beoogde doel te bereiken. Of de werknemer in een arbeidsrelatie wel vrijelijk toestemming kàn geven staat ook ter discussie. Er is immer sprake van een afhankelijkheidsrelatie.

Een specifiek probleem van kunstmatige intelligentie is dat het mogelijk wordt werknemers diepgaand te profileren. Voor profileren gelden echter – ook in de Algemene Verordening Gegevensbescherming – strikte regels. Individuen hebben namelijk het recht niet te worden onderworpen aan een uitsluitend geautomatiseerde verwerking, waaraan rechtsgevolgen worden verbonden. Dit is het geval bij Focus Orange. Uitzonderingen zijn slechts mogelijk indien dit (wederom) noodzakelijk is in de uitvoering van de arbeidsverhouding, met uitdrukkelijke toestemming van de werknemer of een andere specifieke wettelijke grondslag. Als op basis van kunstmatige intelligentie arbeidsprofielen worden gecreëerd op basis waarvan beslissingen worden genomen die van invloed zijn op de arbeidsverhouding is dat in beginsel verboden. Vanuit privacyrechtelijk oogpunt lijken de mogelijkheden van kunstmatige intelligentie en big data in Europa ten opzichte van de VS dus aardig te verschillen.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.