Privacy en personeelszaken: is jouw interne organisatie al privacyproof?

Zoals inmiddels wel bekend komt er een hoop kijken bij de invoering van de AVG. Een fikse documentatieplicht met betrekking tot gegevens van klanten, is slechts één vereiste van de AVG. Wat veel organisaties vergeten is dat de verplichtingen van de AVG niet alleen gelden voor klanten, maar ook voor werknemers! In dit artikel besteden wij daarom aandacht aan de vereisten van de AVG in het licht van (onder andere) je personeelsbeleid.

Documentatie van gegevens
Zeker op de hr-afdeling komen er nogal wat persoonsgegevens voorbij. Ook in het geval van (bijna) werknemers is het belangrijk dat je nagaat waar de gegevens vandaan komen en waar deze bewaard worden.

Veel informatie leveren werknemers zelf aan, zoals een kopie van het paspoort, een bankrekeningnummer en een adres. Maar in het kader van een sollicitatieprocedure haal jij misschien wel persoonsgegevens uit andere bronnen, bijvoorbeeld uit social media-profielen zoals Linkedin. Dit moet je goed vastleggen. Documenteer daarom ook zorgvuldig de dataflows van de persoonsgegevens van je werknemers.

Daarnaast maakt jouw organisatie waarschijnlijk gebruik van bepaalde (personeelsadministratie)systemen, bijvoorbeeld voor het opbouwen en bijhouden van personeelsdossiers. De ontwikkelaars of aanbieders van deze systemen treden vaak ook op als systeembeheerder op voor jouw organisatie. Daarbij hebben zij inzage in de persoonsgegevens van jouw werknemers. Veel bedrijven maken bovendien ook gebruik van externe partijen voor bepaalde zaken, zoals voor de salarisadministratie. Deze partijen verwerken gegevens waar jouw organisatie verantwoordelijk voor is. Dit betekent dat jouw bedrijf met deze partijen een zogenaamde ‘verwerkersovereenkomst’ moet sluiten.

Gronden voor verwerking/bewaren van gegevens
Binnen je organisatie zijn er verschillende redenen om de persoonsgegevens van werknemers te verwerken. Vaak is een reden dat dit wettelijk verplicht is, zoals bij de wettelijke verplichtingen rondom de salarisadministratie.

Maar wat wel van belang is om na te gaan, is of alle gegevens van werknemers die jouw bedrijf verzamelt ook daadwerkelijk noodzakelijk zijn, én of dit bovendien op een proportionele manier gebeurt. Voorbeeld: sommige organisaties maken op de werkvloer gebruik van camera’s om diefstal tegen te gaan. Als een bedrijf dit doet, is dit wel aan bepaalde regels gebonden. Ook komt het voor dat organisaties controles uitvoeren op de computers en werknemersaccounts. Ook dit is aan regels gebonden en mag niet zomaar gebeuren. Met deze regels moet jij als bedrijf rekening houden.

Voor de bewaartermijnen van persoonsgegevens geldt dat deze over het algemeen gebonden zijn aan wettelijke verplichtingen. Zo geldt in het voorbeeld van de salarisadministratie over het algemeen een wettelijke bewaartermijn van zeven jaar. Maar in de praktijk gebeurt het ook dat bedrijven andere soorten en bronnen van persoonsgegevens voor langere periodes bewaren. Zo hebben veel organisaties de neiging om cv’s van sollicitanten lang te bewaren, ook als deze personen niet zijn aangenomen. Onder de AVG is dit zeker niet toegestaan en is het van belang dat organisaties hier strikt(er) mee omgaan.

Informeren
Het informeren van werknemers gebeurt op twee manieren:

  1. In de eerste plaats moeten werknemers zelf geïnformeerd worden over ‘elke vorm van gegevensverwerking’. Zoals eerder vermeld gebruiken organisaties bijvoorbeeld bewakingscamera’s. Onder de AVG is het verplicht dat je personen hiervan op de hoogte stelt, voordat je hier daadwerkelijk toe overgaat.
    Elke mogelijke actie waarbij jouw bedrijf de rechten en vrijheden van werknemers schaadt, moet je zorgvuldig en uitvoerig vermelden. Worden werknemersaccounts mogelijk gecontroleerd? Gebruiken werknemers een werktelefoon ook privé? Het is in deze gevallen noodzakelijk dat je werknemers op de hoogte stelt van persoonsgegevens die daarbij mogelijk verzameld worden, en wat de processen zijn voor eventuele controles. Vanzelfsprekend moeten werknemers op dezelfde manier geïnformeerd – en dus beschermd – worden als andere betrokkenen, zoals klanten.
  2. Anderzijds heb je als organisatie ook een verplichting om je werknemers te informeren – en eventueel op te leiden – over wat hun verplichtingen zijn in het kader van de AVG. Als organisatie moet je reglementen opstellen om persoonsgegevens te beschermen, zowel van klanten als van medewerkers. Maar alleen het opstellen van dergelijke reglementen is niet voldoende. Als bedrijf moet je je werknemers actief wijzen op hoe te handelen als er bijvoorbeeld sprake is van een datalek: wie moet er geïnformeerd worden, welke acties moeten zij ondernemen et cetera.

Kortom: niet alleen moet jouw bedrijf jouw werknemers informeren over controles die op hén uitgevoerd kunnen worden, maar óók over hoe zij moeten handelen als er in het kader van privacy iets gebeurt binnen de organisatie. Hier ligt een serieuze taak voor de afdeling personeelszaken.

Check hier, hier en hier onze andere blogs over privacy en de AVG.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

#4, Vakblad Aannemer, waarschuwingsplicht

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | april 30, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…

Bruidspaar schrikt tijdens huwelijksdiner van schenken 0.0-bier

Bruidspaar schrikt tijdens huwelijksdiner van schenken 0.0-bier

Door Babette van de Venne | april 17, 2019

De uitbater van restaurant de IJ-kantine daagde een bruidspaar voor de rechter, omdat zij hun huwelijksdiner niet betaalden. Het restaurant verzorgde het hele huwelijksdiner voor het bruidspaar en haar tweehonderd gasten. Toch weigerde het bruidspaar de eindfactuur te betalen, omdat het restaurant haar afspraken uit de overeenkomst niet zou zijn nagekomen. Het paar vorderde daarom…

‘Er blijft weinig van de eerste etage van de woning over’ voldoende waarschuwing

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | maart 4, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…

De Wet bescherming bedrijfsgeheimen een waardevolle toevoeging

De Wet bescherming bedrijfsgeheimen: een waardevolle toevoeging?

Door Babette van de Venne | januari 30, 2019

Anno 2019 is het geheimhouden van bedrijfsinformatie een stuk ingewikkelder en complexer dan voorheen. Werknemers stappen vaker over naar een andere werkgever of ze beginnen voor zichzelf. Het komt dan ook met enige regelmaat voor dat een (oud-)werknemer vertrouwelijke informatie kopieert en lekt aan die nieuwe werkgever of aan de concurrent. Daarnaast speelt de digitalisering…