Veel bedrijven schenden privacy werknemers en sollicitanten door gebruik PDF

UTRECHT, 22 juni 2023 – Veel bedrijven overtreden onbewust privacywet AVG door bijzondere persoonsgegevens van hun sollicitanten te delen via een PDF-bestand. Dat zijn geen beveiligde bestanden. Daardoor riskeren ze zware boetes van de privacywaakhond Autoriteit Persoonsgegevens (AP) en lopen ze het risico van aanzienlijke reputatieschade.

Dat stelt gerenommeerd privacy en tech-expert Menno Weij, partner bij BDO Tax & Legal. Volgens hem is het bij veel bedrijven standaardpraktijk om PDF-bestanden te gebruiken voor het delen van de resultaten van assessments van werknemers en sollicitanten. Assessment resultaten zijn doorgaans bijzondere persoonsgegevens omdat het om gezondheidsgegevens gaat. Assessmentproviders delen de resultaten van deze persoonlijkheidstests met hun opdrachtgevers via een PDF-bestand. ,,Maar een PDF is geen beveiligd bestand en kan vaak ongecontroleerd, oneindig gekopieerd en verspreid worden, binnen of buiten de organisatie. Dit vormt een aanzienlijk privacy-risico. Het is een onderwerp dat vaak over het hoofd wordt gezien, maar grote gevolgen kan hebben”, stelt Weij.

Deze praktijken zijn volgens hem dan ook niet in overeenstemming met de strenge eisen die privacywet AVG stelt aan de bescherming van bijzondere persoonsgegevens. Weij: ,,Met betrekking tot assessmentresultaten betekent dit dat het zeer lastig, zo niet onmogelijk, is om te garanderen dat de gegevens van een individu verwijderd worden als dat individu daarom vraagt, simpelweg omdat een organisatie niet kan bijhouden waar de gegevens allemaal naartoe zijn gegaan.”

Hij benadrukt de noodzaak om deze resultaten wel veilig en in overeenstemming met privacywet AVG te delen via een beveiligde en traceerbare omgeving. Dit kan bijvoorbeeld door het gebruik van HTML-links. Die kunnen worden gedeactiveerd wanneer een individu zijn toestemming voor het verwerken van zijn persoonsgegevens wil intrekken of wanneer het systeem wordt gehackt.

Het gebruik van PDF-bestanden voor het delen van persoonsgegevens kan voor bedrijven en organisaties ernstige consequenties hebben. ,,Naast de risico’s van zware boetes van de privacywaakhond, is er ook het risico van aanzienlijke reputatieschade. Stel je voor wat het voor je bedrijf zou betekenen als je naam in de krant zou verschijnen met het nieuws dat de bijzondere persoonlijke gegevens van je sollicitanten op straat liggen. De financiële gevolgen daarvan, om nog maar te zwijgen over mogelijke massaclaims, kunnen aanzienlijk zijn”, zegt Weij. ,,Ik zou organisaties daarom willen aanraden om goed na te gaan hoe hun assessmentprovider met de gegevens omgaat, hoe ze deze delen en wat ze doen wanneer individuen hun toestemming voor het opslaan van hun (bijzondere) persoonsgegevens willen intrekken.”

Menno Weij is partner bij BDO Tax & Legal en gespecialiseerd in tech- en privacy-recht. Hij is regelmatig te horen op BNR nieuwsradio over deze onderwerpen. Daarnaast is hij redactielid van het Tijdschrift voor Internetrecht, bestuurslid van de Nederlandse Vereniging Voor Informatietechnologie & Recht, Kernredactielid ITenrecht.nl en Ambassadeur van de Digitale dienstenverordening.