Welke gegevens mogen ondernemingen verzamelen in het kader van een diversiteitsbeleid?

In het zog van de “Black Lives Matter”-beweging streven ondernemingen ernaar om meer diversiteit in hun personeelsbestand te bewerkstelligen. Werkgevers wensen daarbij soms aan hun werknemers of aan kandidaten te vragen om op vrijwillige basis persoonlijke informatie mee te delen (“diversity monitoring”). Vaak gaat het om enquêtes met vragen over ras, etnische afkomst, gezondheid, religie, seksuele geaardheid, gender, genderidentiteit of sociale afkomst.

Maar in welke mate is de verzameling van deze gegevens toegelaten onder de GDPR?


Verwerking van gevoelige persoonsgegevens: in principe verboden…

De GDPR voorziet in een bijzonder regime voor een aantal categorieën van persoonsgegevens omwille van hun gevoelig karakter. Dit gaat meer bepaald over gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gezondheidsgegevens alsook gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.

De verwerking van deze bijzondere categorieën van persoonsgegevens is in principe verboden, tenzij de onderneming zich kan beroepen op een specifieke uitzondering. Dit geldt eveneens wanneer de onderneming de inzameling van de gegevens zou uitbesteden aan een derde partij, zoals een onafhankelijk bureau, aangezien de werkgever als verwerkingsverantwoordelijke verplicht is erop toe te zien dat v verwerkers die in zijn opdracht gegevens verwerken, eveneens de GDPR naleven. In het kader van een diversiteitsbeleid zijn de volgende uitzonderingen relevant:


(i) De uitdrukkelijke toestemming van de werknemer:

De GDPR vereist dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Dit houdt onder meer in dat er geen machtsonevenwicht bestaat tussen de verwerkingsverantwoordelijke en de betrokken persoon. Om die reden is toestemming geen solide uitzondering in het kader van een diversiteitsbeleid op de werkvloer, aangezien werknemers zich onder druk gezet kunnen voelen om zich te laten registreren als iemand die behoort tot de doelgroep.


(ii) De noodzakelijkheid met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op gebied van arbeidsrecht:

Tot op heden bestaat er geen algemene wettelijke verplichting of bepaling die toelaat om diversiteit te meten in ondernemingen. Ondernemingen zouden zich eventueel kunnen baseren op de invoering van zogenaamde “positieve acties” zoals voorzien in de antidiscriminatiewetgeving. Voor de invoering van een positieve actie moet de onderneming (of de sector) nl. aantonen dat er een ongelijkheid bestaat tussen de personen van de beoogde doelgroep en de overige personen. Volgens de Gegevensbeschermingsautoriteit kan deze ongelijkheid echter ook op een andere manier aangetoond worden dan door de inzameling van persoonsgegevens. Bijgevolg kan de regelgeving inzake positieve acties volgens de Gegevensbeschermingsautoriteit niet als uitzondering worden ingeroepen op het verbod op verwerking van gevoelige persoonsgegevens..


… tenzij in Brussel via een diversiteitsplan (Actiris):

Enkel ondernemingen met maatschappelijke zetel of minstens één exploitatiezetel in het Brussels Gewest kunnen zich baseren op een uitzondering voorzien in de Brusselse regelgeving. Volgens het Besluit van de Brusselse Regering van 7 mei 2009 hebben Brusselse ondernemingen inderdaad de toelating om hun personeelsbestand op te delen in categorieën van begunstigde werknemers om op die manier een diversiteitsplan op te stellen en dit ter goedkeuring voor te leggen aan Actiris. Indien dit diversiteitsplan vervolgens correct wordt uitgevoerd, kan de onderneming een diversiteitslabel toegekend krijgen


Het is wel zo dat ondernemingen voor het opstellen van een diversiteitsplan de voorafgaandelijke steun nodig hebben van de ondernemingsraad, van het CPBW of van de vakbondsafvaardiging. Eens die steun bekomen is, kan de onderneming aan de slag met het tweejarig traject dat uit de volgende negen stappen bestaat:

  1. Ondertekenen van een intentieverklaring, waarmee de onderneming zich inschrijft in het Brussels beleid van diversiteit en non-discriminatie;
  2. Creëren van een ondersteuningsstructuur (aanduiden van 3 tot 8 personen binnen de onderneming die het project zullen opvolgen);
  3. Analyse van de stand van zaken over diversiteit in de onderneming (in deze stap kan er dus aan “diversity monitoring” worden gedaan);
  4. Actiepunten vastleggen die de onderneming zal uitvoeren in de loop van de twee jaar dat het diversiteitsplan loopt;
  5. Kosten van het plan begroten als basis voor de financieringsaanvraag;
  6. Uitvoering van het diversiteitsplan nadat de goedkeuring van Actiris bekomen werd;
  7. Evaluatie van het diversiteitsplan na twee jaar;
  8. Aanvraag van het diversiteitslabel na een positieve eindevaluatie;
  9. Diversiteit duurzaam maken in de onderneming en discriminatie blijven bestrijden na het verkrijgen van het diversiteitslabel.
Verwerking van niet-gevoelige persoonsgegevens: toegelaten mits balancing test

Andere persoonsgegevens – waaronder gender, genderidentiteit en sociale afkomst – vallen niet onder de bijzondere categorieën van gevoelige gegevens. Dit betekent echter niet dat deze gegevens zomaar kunnen opgevraagd worden. Ondernemingen moeten immers beschikken over een rechtsgrond.

Zo zouden ondernemingen zich kunnen beroepen op een gerechtvaardigd belang voor de onderneming om meer diversiteit te bekomen. De vraag zal evenwel rijzen of het in dat kader voor een onderneming noodzakelijk is om de werknemers te ondervragen over dergelijke persoonsgebonden gegevens. De onderneming zou desgevallend bovendien in het kader van het accountability principe werk moeten maken van een uitgewerkte balancing test om de belangen van de werkgever af te wegen tegen de belangen van de werknemers.


Verwerking van anonieme gegevens: de veiligste optie

In ieder geval mogen zowel gevoelige gegevens als niet-gevoelige gegevens op anonieme basis verzameld en verwerkt worden, aangezien de GDPR niet van toepassing is op anonieme gegevens. Om alle risico’s uit te sluiten, is het dan ook sterk aangewezen om werknemersgegevens enkel op anonieme basis te verzamelen en te verwerken. Het is dan wel vereist dat de gegevens op geen enkele manier kunnen worden toegeschreven aan een geïdentificeerde of identificeerbare persoon en bijgevolg van begin af aan geanonimiseerd werden (en niet pas geanonimiseerd werden na verzameling).


Door Lauren Daniels, Advocaat bij Claeys & Engels


Bron: BECI

Mots clés

Articles recommandés

Waarschuwing voor phishing - Frauduleuze e-mails uit naam van AG Insurance

Laat je niet misleiden door valse e-mails die van De Lijn afkomstig lijken te zijn!

GDPR: de do’s en dont’s bij de beëindiging van de samenwerking met werknemers en zelfstandige medewerkers