06/04/2023 - "Diversity wins: how inclusion matters" is de titel van een rapport dat McKinsey in 2020 publiceerde. Uit hun analyse blijkt dat "bedrijven in het topkwartiel voor zowel gender als etnische diversiteit 12 procent meer kans hebben om beter te presteren dan alle andere bedrijven in de dataset".  

Er is dus een goede reden om te investeren in programma’s gericht op het bevorderen van diversiteit en inclusie (D&I). Hoewel organisaties dit erkennen, worstelen organisaties met het vinden van betrouwbare methoden om succes te meten en te begrijpen of hun programma's echt werken. In de praktijk houden dergelijke methoden in dat er diversiteitsgegevens van werknemers verzameld moeten worden om inzicht te krijgen in de situatie van vandaag en de toekomst om het effect van diversiteitsprogramma’s te kunnen meten. Door de wereldwijd uiteenlopende wet- en regelgeving als het gaat om de verwerking van “bijzondere persoonsgegevens” is de oplossing niet zo eenvoudig; vooral niet voor organisaties die in meerdere landen actief zijn.  

Overweegt u het uitvoeren van een onderzoek naar diversiteit en inclusie binnen uw organisatie? In deze blog richt ik me op enkele van de uitdagingen op het gebied van privacy en hetgeen organisaties kunnen doen om risico’s te beperken. 

Niet een maar twee rechtsgrondslagen? 

Op grond van de Algemene verordening gegevensbescherming (AVG) moet elke verwerking van persoonsgegevens gebaseerd worden op een grondslag, die is opgenomen in artikel 6 AVG. Daarnaast worden in de AVG bepaalde soorten persoonsgegevens aangemerkt als "bijzondere persoonsgegevens" die specifieke bescherming behoeven, omdat de aard van deze gegevens met zich meebrengt dat de verwerking ervan aanzienlijke risico's kan opleveren voor de fundamentele rechten en vrijheden van personen. Dit soort gegevensverwerkingen is daarom in beginsel verboden, tenzij er op grond van artikel 9, lid 2, een uitzondering geldt.  

In het kader van de uitvoering van D&I-onderzoeken is het waarschijnlijk, zo niet zeker, dat organisaties belang hebben bij het verzamelen en verwerken van bijzondere persoonsgegevens van hun werknemers om de niveaus van diversiteit binnen verschillende categorieën te kunnen bepalen. Dit betekent dat er niet alleen een grondslag op basis van artikel 6 AVG moet worden vastgesteld, maar dat ook moet worden voldaan aan een uitzondering op grond van artikel 9, lid 2, AVG om te waarborgen dat D&I-onderzoeken rechtmatig worden uitgevoerd.    

Welke D&I-gegevens gelden als bijzondere persoonsgegevens? 

Niet bij alle D&I-onderzoeken worden bijzondere persoonsgegevens verwerkt, maar binnen dergelijke onderzoeken spelen doorgaans enkele of alle van de volgende categorieën een rol:  

  • Raciale of etnische gegevens  
  • Politieke meningen 
  • Religieuze of filosofische overtuigingen
  • Seksuele geaardheid of iemands seksleven
  • Gezondheidsgerelateerde gegevens, zoals invaliditeit of andere beperkingen 

Overigens, worden gender of gegevens betreffende iemands geslacht in beginsel niet als bijzondere persoonsgegevens aangemerkt. Het is echter minder duidelijk hoe genderidentiteit (‘gender identity’) onder de AVG moet worden geclassificeerd. Hoewel het niet per definitie is aan te merken als een bijzonder persoonsgegeven is, althans niet direct, is het denkbaar dat er indirect wel dergelijke informatie uit kan worden afgeleid (zoals informatie over iemands gezondheid of seksuele geaardheid). Zo oordeelde de gegevensbeschermingsautoriteit in Noorwegen bijvoorbeeld in een zaak tegen Grindr dat het feit dat iemand een Grindr-gebruiker is, is aan te merken als een bijzonder persoonsgegevens, omdat dit er sterk op wijst dat de gebruiker in kwestie tot een seksuele minderheid behoort. Voor meer informatie over wanneer persoonsgegevens als bijzondere persoonsgegevens kunnen worden aangemerkt door middel van een gevolgtrekking, verwijs ik naar mijn eerdere blog daarover.  

Al met al, worden organisaties aangemoedigd om zorgvuldig na te gaan of de gegevens die zij voornemens zijn te verzamelen, kunnen worden aangemerkt als bijzondere persoonsgegevens, hetzij vanwege hun inherent gevoelige aard (direct), hetzij bij wijze van gevolgtrekking (indirect). Dat is een voorwaarde om te bepalen welke grondslag nodig kan zijn.  

Op welke rechtsgrondslag kunt u zich beroepen?

Dit is waar een wisselend juridisch landschap inzake gegevensbescherming de zaken compliceert. Artikel 9, lid 2, AVG voorziet in uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken, waaronder (i) toestemming en (ii) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de uitoefening van de specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht. Deze laatste kan leiden tot aanvullende specifieke uitzonderingen op de AVG die per lidstaat verschillen.  

Zo is er in Nederland onder de Uitvoeringswet AVG een vrijstelling die de verwerking van ras en etnische afkomst toestaat als aan bepaalde voorwaarden wordt voldaan. Ter ondersteuning van deze vrijstelling heeft het CBS op verzoek van het ministerie van Sociale Zaken en Werkgelegenheid (SZW) de Barometer Culturele Diversiteit ontwikkeld om dit te meten, mits organisaties meer dan 250 werknemers hebben.  

Het bestaan van specifieke vrijstellingen of verplichtingen die de verzameling van D&I-gegevens toestaan of juist vereisen die van land tot land verschillen, leidt tot een situatie waarin er vaak geen one size fits all oplossing is, waardoor wereldwijde D&I-initiatieven op moeilijkheden stuiten. Hierdoor komen organisaties wellicht in de verleiding om de mogelijkheid te onderzoeken om de verwerking op de toestemming van werknemers te baseren. Het probleem hierbij is echter dat toestemming in een dergelijke context zelden wordt beschouwd als vrijwillig gegeven onder de AVG, vanwege het feit dat er sprake is van een onevenwichtige machtsverhouding tussen werkgevers en werknemers.  

Wat zou u dan moeten doen? 

Hieronder volgen enkele praktische aanbevelingen om in gedachten te houden als u D&I-onderzoeken overweegt: 

  • Bepaal zorgvuldig het doel van uw D&I-onderzoek. 
  • Beperk de verzamelde gegevens tot wat nodig is voor deze omschreven doeleinden. 
  • Probeer, waar mogelijk, de benodigde informatie te verkrijgen via echt anonieme enquêtes. 
  • Beoordeel of de gegevens die u wilt verzamelen als bijzondere persoonsgegevens kunnen worden aangemerkt. 
  • Bepaal welke rechtsgrondslag (per jurisdictie) geschikt is voor de categorieën van de verzamelde gegevens. 
  • Vermijd open invulvelden in enquêtes die bijzondere persoonsgegevens kunnen onthullen die verder gaan dan uw gedefinieerde doeleinden. 
  • Voer een DPIA uit om ervoor te zorgen dat de privacy beginselen worden nageleefd en dat de rechten van personen adequaat worden beschermd. 
  • Betrek uw werknemers om hun mening over de beoogde gegevensverzamelingen te vernemen.  
  • Verzeker uzelf van de steun van de ondernemingsraad als uw organisatie die heeft.  
  • Zorg ervoor dat D&I-verwerkingsactiviteiten worden geregistreerd in uw verwerkingsregister.  
James O'Neill Legal Consultant

Wilt u meer weten?

Bent u van plan om D&I onderzoeken uit te voeren in uw organisatie en bent u op zoek naar praktisch advies om ervoor te zorgen dat uw onderzoek voldoet aan de AVG? Of heeft u ondersteuning nodig bij het uitvoeren van een D&I DPIA? Aarzel dan niet om contact met ons op te nemen.