Onlangs kreeg de H&M een boete van ruim 35 miljoen euro opgelegd. In het H&M Service Center in Neurenberg werden in het toezicht op enkele honderden medewerkers privacyregels overtreden. De overtreding werd ontdekt nadat de data in oktober 2019 bedrijfsbreed toegankelijk werd voor enkele uren wegens een configuratiefout. H&M werd op het matje geroepen en ging spreekwoordelijk met de billen bloot.
Door Lisanne Wigboldus
Welkom Terug Gesprekken
Sinds 2014 waren bij H&M delen van het personeelsbestand uitgebreid met gegevens over het privé-leven van verschillende werknemers. In de “Welkom Terug Gesprekken” – die werden gehouden als werknemers afwezig waren geweest vanwege een korte vakantie of vanwege ziekteverlof – werden werknemers door hun leidinggevende ondervraagd bij terugkomst. Van deze gesprekken werd een verslag bijgehouden en opgeslagen.
Gevoelige informatie
Het ging in de gesprekken niet alleen om vragen over bijvoorbeeld een (geslaagde) vakantie, ook ziektesymptomen en diagnoses werden vastgelegd. In de persoonlijke gesprekken ging het soms om onschuldige details, maar ook om gezinskwesties of religieuze overtuigingen. De vastlegging kon zien op een korte periode, maar ook op langere perioden waarin de ontwikkeling van de besproken problemen van de betreffende werknemer werd gedocumenteerd.
Een deel van de informatie is vastgelegd en digitaal opgeslagen. Daarnaast is de informatie toegankelijk voor maximaal vijftig andere managers door het hele bedrijf. Naast dat de informatie dus werd vastgelegd, werd deze ook gebruikt om een gedetailleerd profiel van werknemers te verkrijgen voor maatregelen en beslissingen met betrekking tot hun dienstverband. Dit leidde tot een aantasting van de burgerrechten van deze werknemers.
Maatregelen
De Hamburg Commissioner for Data Protection and Freedom of Information (‘HmbBfDI’) ontdekte de overtreding en gaf de opdracht de netwerkschijf te ‘bevriezen’ en deze te overhandigen. Ongeveer zestig gigabytes aan data werden ter evaluatie voorgelegd. Ook veel getuigen werden ondervraagd, waarmee de werkwijze van H&M werd bevestigd. Tot slot heeft HmbBfDI aan H&M een boete opgelegd van 35.258.707,95 euro.
De verantwoordelijken bij H&M werden verplicht corrigerende maatregelen te nemen en overhandigden HmbBfDI een concept over hoe gegevensbescherming vanaf nu geïmplementeerd is in het Service Center van H&M in Neurenberg. Een van de maatregelen die H&M treft is het aanstellen van een gegevensbeschermingscoördinator. Het management van H&M heeft niet alleen excuses aangeboden aan de gedupeerden maar ook aangeboden een aanzienlijke schadevergoeding te betalen.
De Press Release van de Hamburg Commissioner for Data Protection and Freedom of Information hierover is hier te vinden.