Het ging om informatie over bijvoorbeeld vakanties, ziekteverlof of andere redenen om afwezig te zijn. Zodra medewerkers weer terugkwamen kregen ze een gesprek met een manager. Die noteerde niet alleen de reden voor de afwezigheid, maar ook symptomen van ziektes en diagnoses. Tijdens privégesprekken en gesprekken op de werkvloer werd allerlei andere persoonlijke informatie over het personeel verzameld. Het ging dan om details over het gezinsleven, maar ook de geloofsovertuiging.

De verzamelde informatie werd op een netwerkschijf opgeslagen die voor vijftig andere managers binnen het bedrijf toegankelijk was. Naast de privégegevens werden ook de werkprestaties van medewerkers bij deze data opgeslagen, zodat er een uitgebreid profiel kon worden gemaakt. Door het combineren van privé en werkactiviteiten in deze profielen zijn de burgerrechten van medewerkers aangetast, zo stelt de Hamburgse databeschermingstoezichthouder.

Het bestaan van de dataverzameling kwam eind vorig jaar door een configuratiefout aan het licht. De gegevens waren door de configuratiefout enkele uren voor iedereen in het bedrijf beschikbaar. Het bleek om zo’n 60 gigabyte aan data te gaan. Volgens de toezichthouder is er sprake van een ernstige overtreding en is een boete van 35 miljoen euro op zijn plaats. Inmiddels heeft H&M aan alle betrokken medewerkers excuses gemaakt en hen een schadevergoeding betaald. Tevens heeft de kledingketen verschillende databeschermingsmaatregelen genomen.

Lees meer op security.nl