“Our boss explicitly, and repeatedly, instructed us to refrain from deleting the email addresses, even when told by multiple people in my team that this would be in violation of the AVG, and our own privacy statement.” Zo vertelt een anonieme Redditor over zijn dilemma: de werkgever draagt hem en zijn collega’s op om de AVG te schenden, en wat zou dat betekenen voor hen als de Autoriteit Persoonsgegevens erachter komt?

De kern is dat gegevens van oude (ex-)gebruikers van de app nog bewaard worden, in strijd met de bewaartermijn uit de privacyverklaring en dus in strijd met de AVG. Men wil dit weggooien en de boze baas zegt, dat mag niet want dan zien onze gebruikersaantallen er slechter uit.

En toegegeven, ineens je “al $numUsers mensen gingen u voor!” reclametekst zien halveren, dat is niet echt fijn. Alleen ja, als je gezegd hebt dat je bewaartermijn zeg twee maanden na einde gebruik is, dan hadden die userprofielen echt allang weggemoeten.

Maar wat nu: wet zegt weg, baas zegt nietes. Nou ja, dan wint de wet natuurlijk. Maar de wet zegt wat het bedrijf moet doen, en uiteindelijk is het de directie die beslist wat het bedrijf gaat doen. (Mogelijk op advies van de FG, als die er is.) Niet een individuele werknemer. Dus zelf een weggooiactie ondernemen om het bedrijf weer AVG-compliant te krijgen, dat is géén goed idee.

Inderdaad ben je als werknemer niet verplicht om dingen te doen die (evident) in strijd zijn met de wet. Je werkgever kan je niet ontslaan omdat je weigert iets te doen dat niet mag. Alleen hier gaat het om iets wél willen doen waarvan de werkgever het verboden heeft, namelijk een grote groep klantgegevens wissen. Dan kom je bij de arbeidsrechter niet ver met “maar volgens mij mochten wij die gegevens niet bewaren, daarom heb ik ze weggegooid” want als je werkgever expliciet nee zegt, dan is het nee.

Loop je nu persoonlijk een risico dat de AP achter je aankomt? Nee, in het geheel niet. In zo’n situatie is de wet duidelijk: de werkgever (het bedrijf, niet je manager privé) is aansprakelijk voor naleving van de AVG, en kan dus beboet of anders gesanctioneerd worden als de AP erachter komt. Betrokkenen kunnen claims indienen, die het bedrijf dan moet betalen.

Dus nee, het is zuur maar ik zie geen manier om deze AVG schending te beëindigen als de verantwoordelijke in de hiërarchie zegt dat ze er vrolijk mee door gaan. Over diens hoofd gaan kán natuurlijk: weet de bedrijfsjurist en/of FG hiervan, en wat zouden die tegen de algemeen directeur zeggen? Alleen is het een bekend verschijnsel in grotere bedrijven dat over het hoofd van je lijnmanager gaan, zelden tot goede resultaten leidt.

Als je dit een zeer ernstige misstand vindt, dan kun je gaan klokkenluiden. Ik las bij Reddit al de tip om de lijst met adressen te dumpen, en in de bibliotheek vanuit een nieuw aangemaakt mailadres die mensen te tippen dat hun account bij X nog steeds bestaat. Zullen we dat gewoon niet doen? Werknemer A klaagt, er gebeurt niets, de klanten krijgen van een anoniempje een signaal en dienen claims in, goh wie oh wie zou daarvoor gezorgd hebben en welk boetemaximum staat er in zijn arbeidscontract bij de geheimhoudingsclausule?

Arnoud

Source