AVG: privacybescherming van werknemers
Vanaf 25 mei 2018 vervangt de Algemene verordening gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). Als werkgever moet u kunnen aantonen dat u zich aan de AVG houdt. Kunt u dit niet, dan riskeert u (potentieel) enorme boetes. Maximaal € 20.000.000,- of 4% van de wereldwijde omzet. In hoeverre dit gehandhaafd gaat worden, weet niemand. Hoe dan ook vergt de AVG enige voorbereiding. De uitgangspunten en belangrijkste wijzigingen van de AVG worden hieronder op een rij gezet.
Het systeem van de AVG
Als werkgever verwerkt u persoonsgegevens. Er zijn drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens. Voor een werkgever zal er vooral sprake zijn van ‘gewone’ gegevens. Bijzondere gegevens zijn bijvoorbeeld medische gegevens. Als werkgever mag u alleen persoonsgegevens verwerken als u daarvoor een wettelijke grondslag heeft.
Voor werkgevers zijn vier grondslagen voor het verwerken van persoonsgegevens relevant:
- toestemming van de betrokken persoon;
- de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
- de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
- de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de werkgever, die voorgaan op de belangen van werknemer.
Een werkgever is zelf verantwoordelijk om te bepalen of in specifieke gevallen aan een van deze grondslagen is voldaan.
Onder punt I leest u dat een grondslag voor gegevensverwerking, de toestemming van de betreffende persoon kan zijn. Toestemming van een werknemer mag echter niet zomaar worden aangenomen. Als u bijvoorbeeld in een arbeidsovereenkomst opneemt dat er persoonsgegevens worden verwerkt, betekent de handtekening van een werknemer niet zonder meer een ‘toestemming’. In het arbeidsrecht gaat men er namelijk vanuit dat er een gezagsverhouding bestaat tussen werkgever en werknemer. De gedachte is dat de werknemer snel meebuigt met de werkgever, zonder dit echt te willen.
In dit licht is het verstandig om een aparte privacyverklaring met werknemers aan te gaan. Hierin wordt dan aangegeven welke gegevens precies worden verwerkt. In die verklaring zal ook moeten worden opgenomen dat de werknemer altijd zijn toestemming weer kan intrekken en waar de werknemer dat kenbaar kan maken. De grondslag ad I – ‘toestemming van de werknemer’ – adviseren wij echter zoveel mogelijk te vermijden.
De grondslagen II en III zijn beter geschikt om uw gegevensverwerking op te baseren. Het probleem van instemming van de werknemer speelt dan niet. Voor gegevens op basis van grondslag II kunt u denken aan de NAW-gegevens en bankgegevens van een werknemer. Een voorbeeld van III is het BSN-nummer van een werknemer. Wat betreft punt IV kan men denken aan het installeren van een GPS systeem op de vrachtwagens of het ophangen van camera’s op de werkvloer.
Het kan echter zijn dat bepaalde gegevens alleen onder I kúnnen vallen en daarom toestemming noodzakelijk is. Neem bijvoorbeeld een ‘personeelsboek’ met foto’s van al uw werknemers of melding van verjaardagen of jubilea op het intranet. Deze verwerking van persoonsgegevens is niet noodzakelijk. Werknemers moeten toestemming geven om bijv. met een foto in het personeelsboek te staan. Dit kunt u realiseren door een e-mail rond te sturen en de werknemers om toestemming vragen. De antwoorden dient u natuurlijk wel te verwerken en te registreren. Voor alle duidelijkheid: als u gegevens verwerkt zonder grondslag (te hebben geregistreerd!) riskeert u een boete.
Resumerend: als u heeft geïnventariseerd welke gegevens u binnen uw organisatie verwerkt en wilt gaan verwerken, moet u bepalen op welke grondslag dat kan. Vervolgens moet u dit registreren. Dit heet de verwerkingsplicht van de werkgever. Hoe u deze registratie invult, is geheel aan u; als het maar duidelijk en toegankelijk is. Mocht er een inspectie komen, moet u kunnen laten zien: dit zijn alle persoonsgegevens die wij verwerken en dit zijn de grondslagen waarop wij dat baseren. De verwerkingsplicht wordt verderop nog nader toegelicht.
Hierboven hebben wij het systeem van de AVG – in een korte schets – verduidelijkt zodat u er zelf mee aan de slag kunt. Wat wordt er nu concreet vernieuwd onder de AVG? Hieronder de (belangrijkste) rechten en plichten in vogelvlucht.
Nieuwe rechten van de werknemer
- Het recht op inzage van de werknemer is uitgebreid. De werknemer heeft nu recht op een kopie (dat is meer dan inzage) van zijn personeelsdossier. De werknemer heeft ook het recht te weten hoelang deze gegevens worden bewaard.
- De werknemer heeft het ‘recht van vergetelheid’. Als de verwerking van de gegevens berust op de toestemming van de werknemer, kan hij vragen dat deze informatie wordt vernietigd. Het kan ook zo zijn dat de werknemer gegronde bezwaren heeft tegen gegevensverwerking, zonder dat zijn toestemming nodig was.
- Verder is er het recht op overdraagbaarheid van gegevens. Dit is voor werknemers niet relevant.
Nieuwe verplichtingen van de werkgever
- De werkgever moet de werknemer informeren over het doel van de verwerking van de persoonsgegevens, wie verantwoordelijk is binnen de organisatie en hoelang de gegevens worden bewaard. De werkgever moet ook expliciet laten weten dat eenmaal verleende toestemming door de werknemer altijd kan worden ingetrokken. Het advies is om een jaarlijkse informatiebrief op te stellen en deze naar uw werknemers te mailen.
- Zoals opgemerkt geldt de documentatieplicht. Alle gegevens die worden verwerkt moeten binnen één register worden opgeslagen. Daar komen we hieronder op terug.
- Onder omstandigheden is het verplicht een functionaris voor de gegevensverwerking aan te stellen. Dit geldt voor de overheid en voor bedrijven die belast zijn met de verwerking van bijzondere persoonsgegevens. Voor de meeste onderneming geldt dit dus niet.
- De persoonsgegevens moeten goed beveiligd zijn. Dit vergt voornamelijk input op ICT-gebied.
De registratieplicht
Indien u zelf – u kunt het immers ook uitbesteden – het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt, bent u ‘de verwerkingsverantwoordelijke’. Zoals besproken dient u dan een register bij te houden. In ieder geval moet het volgende in dit register worden opgenomen:
- de naam en contactgegevens van: uw organisatie; andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld; de Functionaris voor de gegevensbescherming (FG) (indien aangesteld); eventueel andere internationale organisaties waar u persoonsgegevens mee deelt;
- de doelen (hierboven besproken) waarvoor u persoonsgegevens verwerkt;
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt zoals werknemers, klanten, relaties, sollicitanten;
- een beschrijving van de categorieën van persoonsgegevens zoals het BSN, NAW-gegevens, e-e-mailadressen, bankgegevens, personeelsdossiers, telefoonnummers, camerabeelden of IP-adressen;
- de datum waarop de gegevens gewist moeten worden;
- de categorieën van ontvangers aan wie persoonsgegevens worden verstrekt;
- mochten er gegevens worden gedeeld met ondernemingen of organisaties buiten de EU, dient u dat ook te verwerken;
- een uiteenzetting van de technische en organisatorische maatregelen die u heeft genomen om persoonsgegevens te beveiligen.
Zoals hiervoor al opgemerkt is niet bekend hoe groot de risico’s van de AVG zijn. Dat er wordt gehandhaafd is wel zeker en de boetes kunnen hoog zijn. Het is dus van belang goed voorbereid te zijn.
Ter naslag hebben wij hieronder twee links geplaatst. We adviseren uw beleid op deze (betrouwbare bronnen) te baseren. Op het internet zijn veel korte blogs geschreven over dit onderwerp. Deze zijn niet altijd volledig en niet specifiek. Het is niet aan te raden uw beleid hierop te baseren. Mocht u verder vragen hebben over deze materie, dan zijn wij u graag verder van dienst.
https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom
Verheij Advocatuur, Amsterdam maart 2018
Comments are closed.