Privacy op Slack valt weg bij betaalde abonnementen

Net als heel veel andere bedrijven heeft ook Slack in april zijn privacybeleid aangepast om te voldoen aan de Algemene verordening gegevensbescherming (AVG). Als je op je werk gebruikmaakt van Slack, wil je wel zeker weten dat wat jij en je collega’s bespreken ook daadwerkelijk tussen jullie blijft.Dus: hoe zit het nu precies met je privacy op Slack?

Slack laat werkgevers die gebruikmaken van de betaalde Enterprise of Plus-versie van de app alle chatberichten inzien die in een zogenaamde workspace verstuurd zijn, zelfs de berichten die tot nu toe privé waren tussen medewerkers. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien.

Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement heeft, kan alle chats binnen dat abonnement downloaden, waarvan ook privéberichten (direct messages). Als werknemer binnen zo’n bedrijfsabonnement zie je dan ineens dat jouw chats gedownload zijn door een ander.

Onder de AVG hebben betrokkenen recht op inzage en recht en recht op dataportabiliteit. Bij een verzoek om inzage moet de organisatie een kopie van je persoonsgegevens verstrekken. Met het afschrift moet je in ieder geval kunnen controleren of je gegevens kloppen. Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie.

Verschillen werkgevers en werknemers

De optie die Slack biedt om chats te downloaden, is dus op zich in lijn met het recht op inzage en dataportabiliteit. Wanneer de werkgever chatgesprekken van werknemers downloadt, komt daarmee echter de privacy van de werknemers in het geding. Het recht op inzage en dataportabiliteit is namelijk bedoeld voor betrokkenen: je moet je eigen gegevens kunnen inzien en opvragen. Het is dus eigenlijk niet de bedoeling dat de werkgever, zonder enige aanleiding, de chatgesprekken van werknemers doorleest. Het maakt daarbij niet uit of het zakelijke dan wel privé-chats zijn.

Controle van werknemers is niet verboden. Maar werkgevers moeten daarbij wel rekening houden met de privacy van de werknemers. Als er een duidelijk bedrijfsbelang is om de chats te lezen, dan mag dat. Een doel kan bijvoorbeeld zijn: systeem- en netwerkbeveiliging, beschermen van bedrijfsgeheimen of verminderen van kosten en tijdsverlies. De werkgever moet dit dan wel in een protocol hebben uitgewerkt.

© PXimport

Slack-privacybeleid

Volgens het privacybeleid zal Slack wijzigingen, die leiden tot een substantiële verandering, van jouw rechten als betrokkene hierover aanvullend informeren. Deze aanvullende notificatie wordt dan per mail of via de chatdienst zelf verstrekt. Voor andere wijzigingen dien je zelf het privacybeleid regelmatig te bekijken. Slack doet het (op papier) in ieder geval goed door belangrijke wijzigingen actief onder de aandacht te brengen.

Veranderingen in een privacybeleid die altijd aan betrokkenen dienen te worden meegedeeld zijn onder andere: een verandering in het doel van de verwerking, een verandering in de identiteit van de verwerkingsverantwoordelijke of een verandering in de wijze waarop betrokkenen hun rechten in verband met de verwerking kunnen uitoefenen. Correcties van spelfouten of stilistische/grammaticale tekortkomingen zijn voorbeelden van veranderingen waarover betrokkenen niet geïnformeerd hoeven te worden.

Onderdeel van datzelfde transparantiebeginsel is dat je als betrokkene duidelijk wordt geïnformeerd over de rechten die je bezit op grond van de AVG. In het kader daarvan vergeet Slack het recht op dataportabiliteit en het recht op de beperking van de verwerking van persoonsgegevens uitdrukkelijk te noemen. Bovendien vereist het transparantiebeginsel dat de rechten inhoudelijk worden toegelicht.

Een enkele opsomming van de rechten van de betrokkene, zoals Slack heeft gedaan, volstaat dus niet. Er ontbreekt een uitleg van de inhoud van elk specifiek recht. Voor een betrokkene is het bijvoorbeeld in de praktijk vaak onduidelijk wat het verschil is tussen het recht op verwijdering en het recht op beperking. Een korte toelichting had hierin al een wezenlijk verschil kunnen maken.

Eindoordeel

Het nieuwe privacybeleid van Slack is conform de AVG voorschrijft: helder en duidelijk gestructureerd. Ook informeert Slack je als betrokkene via mail of via Slack zelf wanneer er een substantiële wijziging in haar beleid plaatsvindt. Maar er is ook een groot minpunt aan het nieuwe privacybeleid: het staat de werkgever bij bepaalde abonnementen toe jouw chatgegevens in te zien, waardoor voorbij wordt gegaan op jouw recht op inzage en het recht op dataportabiliteit. Iets wat nou net níét de bedoeling van de AVG is.

Tekst: Lora Mourcous en Jesse Vermeij (SOLV advocaten)

Deel dit artikel
Reageer op dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000