Diversiteitsmeting op de werkvloer - De Franse Gegevensbeschermingsautoriteit (CNIL) deelt aanbevelingen
De Franse Gegevensbeschermingsautoriteit (CNIL) heeft een aanbeveling opgesteld voor het uitvoeren van diversiteitsmetingen binnen ondernemingen. De CNIL wenst met deze aanbeveling handvaten te bieden om een evenwicht te creëren tussen de bevordering van gelijke kansen en de bescherming van persoonsgegevens.
Diversiteitsmetingen worden gebruikt om de diversiteit binnen de personeelsbestanden van onderneming te evalueren op basis van diverse factoren zoals geslacht, leeftijd, sociale, geografische of culturele afkomst en handicaps. Het doel van deze metingen is om aan de hand van objectieve cijfers maatregelen te kunnen nemen om een meer diverse en inclusieve werkplek te bevorderen. Hoewel de diversiteitsmetingen hoofdzakelijk vanuit een positieve invalshoek gebeuren, zijn er wel degelijk risico’s aan verbonden. In het bijzonder op het vlak van gegevensbescherming, privacy en discriminatie.
In een eerdere newsflash schreven we over het standpunt van de Belgische Gegevensbeschermingsautoriteit over deze materie en de complexiteit die deze teweegbrengt voor werkgevers. Deze aanbevelingen van de CNIL kunnen hierop een nuttige aanvulling zijn.
Vrijwillig karakter
De werkgever dient te verzekeren dat de deelname aan het onderzoek volledig vrijwillig is, zonder enige vorm van dwang. De werknemers moeten vrij zijn om te beslissen of ze willen deelnemen en weigering mag geen negatieve gevolgen hebben voor de werknemer. Dit niveau van vrijwilligheid moet volgens de CNIL ook gegarandeerd worden op het niveau van elke vraag (bijv. door een optie “geen antwoord” te voorzien).
Anonieme enquêtes zijn sterk aanbevolen …
De CNIL adviseert om zoveel mogelijk gebruik te maken van anonieme bevragingen. Dat wil in de praktijk zeggen dat er geen gegevens mogen worden verwerkt die kunnen leiden tot de identificatie van de respondent. Het gaat bijvoorbeeld over de naam van een respondent, de geboortedatum, het adres, het IP-adres en het personeelsnummer.
In deze context moet er rekening worden gehouden met de mogelijkheid van heridentificatie door de combinatie van antwoorden op verschillende vragen binnen dezelfde of zelfs verschillende enquêtes. De individuele antwoorden kunnen namelijk anoniem zijn, maar door de combinatie is het alsnog mogelijk om de respondent te identificeren.
Als best practice geeft de CNIL vervolgens mee om maximaal gebruik te maken van globale bewoordingen en meerkeuzevragen. Dus in plaats van een exacte leeftijd te vragen in de enquête, kan er met een ruimere marge worden gewerkt (bijv “Bent u tussen de 20 en 25 jaar, 25 en 30 jaar of ouder dan 30 jaar?”). Open vragen zijn in elk geval best te vermijden volgens de CNIL. Dit kadert eveneens in het principe van gegevensminimalisatie.
Tot slot merkt de CNIL op dat de grootte van een onderneming of specifieke afdelingen ook een belangrijk invloed zal spelen op de mogelijke heridentificatie. Een anonieme bevraging bij een afdeling met 10 werknemers zal als snel tot de heridentificatie van de respondenten leiden.
… maar niet verplicht
De CNIL erkent echter dat het niet altijd mogelijk zal zijn om anonieme bevragingen uit te voeren en bevestigt dat diversiteitsmetingen niet verplicht geanonimiseerd moeten worden om rechtsgeldig te zijn.
Indien de diversiteitsenquête niet volledig anoniem wordt uitgevoerd, is de GDPR van toepassing. Dit brengt uiteraard verschillende gevolgen met zich mee:
a) Toepasselijke rechtsgrond
Het meten van diversiteit kan volgens de CNIL worden gebaseerd op basis van het gerechtvaardigd belang van de werkgever, in het bijzonder wanneer deze meting kadert in een beleid ter preventie en bestrijding van discriminatie. De CNIL geeft vervolgens enkele aanbevelingen ter vrijwaring van het evenwicht tussen de rechten en vrijheden van de werknemers en de belangen van de werkgever.
b) Vertrouwde derde
Er wordt aanbevolen om een externe, onafhankelijke partij in te schakelen om de enquête te beheren en de resultaten anoniem terug te rapporteren om zo de veiligheid en vertrouwelijkheid van de gegevens te waarborgen. Het inschakelen van een vertrouwde derde is echter geen voorwaarde voor de rechtmatigheid van dergelijke enquêtes. Een enquête die is uitgevoerd zonder tussenkomst van een vertrouwde derde kan rechtmatig zijn, op voorwaarde dat er andere waarborgen worden getroffen, met name dat de gegevens en de antwoorden op de enquête slechts beschikbaar zijn op een strikte need-to-know basis.
c) Bijzondere categorieën van persoonsgegevens
Voor de verzameling van bijzondere categorieën van persoonsgegevens, zoals etnische afkomst of religieuze overtuigingen, moet expliciete toestemming worden gevraagd. Deze toestemming moet bovendien vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. De vraag rijst echter of toestemming in een arbeidsrelatie vrij kan zijn gelet op de afhankelijke positie waarin de werknemer zich bevindt.
d) Verdere aanbevelingen
Daarnaast benadrukt de CNIL in haar aanbevelingen het belang van volledige transparantie naar betrokkenen toe, het vastleggen van duidelijke afspraken met verwerkers en/of gezamenlijke verwerkingsverantwoordelijken, het bepalen van een bewaartermijn voor de antwoorden (waarbij de CNIL een maximum van 6 maanden suggereert), het vooraf uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en het implementeren van maatregelen om de vertrouwelijkheid en veiligheid van de gegevens te waarborgen.
Aandachtspunt
Voor Belgische werkgevers blijven de aanbevelingen uit de vorige newsflash onverminderd van belang, maar onderstaande punten kunnen ter inspiratie dienen voor een diversiteitsmeting:
- Zorg voor vrijwillige deelname zonder enige vorm van dwang.
- Anonimiseer waar mogelijk vanaf de inzameling van de gegevens.
- Geef duidelijke informatie over het doel van de enquête en de rechten van de deelnemers.
- Verzamel alleen noodzakelijke gegevens voor het onderzoek.
- Vraag expliciete toestemming voor de verwerking van gevoelige gegevens.
- Overweeg het inschakelen van een onafhankelijke partij.