Privacy en personeelszaken: is jouw interne organisatie al privacyproof?

Zoals inmiddels wel bekend komt er een hoop kijken bij de invoering van de AVG. Een fikse documentatieplicht met betrekking tot gegevens van klanten, is slechts één vereiste van de AVG. Wat veel organisaties vergeten is dat de verplichtingen van de AVG niet alleen gelden voor klanten, maar ook voor werknemers! In dit artikel besteden wij daarom aandacht aan de vereisten van de AVG in het licht van (onder andere) je personeelsbeleid.

Documentatie van gegevens
Zeker op de hr-afdeling komen er nogal wat persoonsgegevens voorbij. Ook in het geval van (bijna) werknemers is het belangrijk dat je nagaat waar de gegevens vandaan komen en waar deze bewaard worden.

Veel informatie leveren werknemers zelf aan, zoals een kopie van het paspoort, een bankrekeningnummer en een adres. Maar in het kader van een sollicitatieprocedure haal jij misschien wel persoonsgegevens uit andere bronnen, bijvoorbeeld uit social media-profielen zoals Linkedin. Dit moet je goed vastleggen. Documenteer daarom ook zorgvuldig de dataflows van de persoonsgegevens van je werknemers.

Daarnaast maakt jouw organisatie waarschijnlijk gebruik van bepaalde (personeelsadministratie)systemen, bijvoorbeeld voor het opbouwen en bijhouden van personeelsdossiers. De ontwikkelaars of aanbieders van deze systemen treden vaak ook op als systeembeheerder op voor jouw organisatie. Daarbij hebben zij inzage in de persoonsgegevens van jouw werknemers. Veel bedrijven maken bovendien ook gebruik van externe partijen voor bepaalde zaken, zoals voor de salarisadministratie. Deze partijen verwerken gegevens waar jouw organisatie verantwoordelijk voor is. Dit betekent dat jouw bedrijf met deze partijen een zogenaamde ‘verwerkersovereenkomst’ moet sluiten.

Gronden voor verwerking/bewaren van gegevens
Binnen je organisatie zijn er verschillende redenen om de persoonsgegevens van werknemers te verwerken. Vaak is een reden dat dit wettelijk verplicht is, zoals bij de wettelijke verplichtingen rondom de salarisadministratie.

Maar wat wel van belang is om na te gaan, is of alle gegevens van werknemers die jouw bedrijf verzamelt ook daadwerkelijk noodzakelijk zijn, én of dit bovendien op een proportionele manier gebeurt. Voorbeeld: sommige organisaties maken op de werkvloer gebruik van camera’s om diefstal tegen te gaan. Als een bedrijf dit doet, is dit wel aan bepaalde regels gebonden. Ook komt het voor dat organisaties controles uitvoeren op de computers en werknemersaccounts. Ook dit is aan regels gebonden en mag niet zomaar gebeuren. Met deze regels moet jij als bedrijf rekening houden.

Voor de bewaartermijnen van persoonsgegevens geldt dat deze over het algemeen gebonden zijn aan wettelijke verplichtingen. Zo geldt in het voorbeeld van de salarisadministratie over het algemeen een wettelijke bewaartermijn van zeven jaar. Maar in de praktijk gebeurt het ook dat bedrijven andere soorten en bronnen van persoonsgegevens voor langere periodes bewaren. Zo hebben veel organisaties de neiging om cv’s van sollicitanten lang te bewaren, ook als deze personen niet zijn aangenomen. Onder de AVG is dit zeker niet toegestaan en is het van belang dat organisaties hier strikt(er) mee omgaan.

Informeren
Het informeren van werknemers gebeurt op twee manieren:

  1. In de eerste plaats moeten werknemers zelf geïnformeerd worden over ‘elke vorm van gegevensverwerking’. Zoals eerder vermeld gebruiken organisaties bijvoorbeeld bewakingscamera’s. Onder de AVG is het verplicht dat je personen hiervan op de hoogte stelt, voordat je hier daadwerkelijk toe overgaat.
    Elke mogelijke actie waarbij jouw bedrijf de rechten en vrijheden van werknemers schaadt, moet je zorgvuldig en uitvoerig vermelden. Worden werknemersaccounts mogelijk gecontroleerd? Gebruiken werknemers een werktelefoon ook privé? Het is in deze gevallen noodzakelijk dat je werknemers op de hoogte stelt van persoonsgegevens die daarbij mogelijk verzameld worden, en wat de processen zijn voor eventuele controles. Vanzelfsprekend moeten werknemers op dezelfde manier geïnformeerd – en dus beschermd – worden als andere betrokkenen, zoals klanten.
  2. Anderzijds heb je als organisatie ook een verplichting om je werknemers te informeren – en eventueel op te leiden – over wat hun verplichtingen zijn in het kader van de AVG. Als organisatie moet je reglementen opstellen om persoonsgegevens te beschermen, zowel van klanten als van medewerkers. Maar alleen het opstellen van dergelijke reglementen is niet voldoende. Als bedrijf moet je je werknemers actief wijzen op hoe te handelen als er bijvoorbeeld sprake is van een datalek: wie moet er geïnformeerd worden, welke acties moeten zij ondernemen et cetera.

Kortom: niet alleen moet jouw bedrijf jouw werknemers informeren over controles die op hén uitgevoerd kunnen worden, maar óók over hoe zij moeten handelen als er in het kader van privacy iets gebeurt binnen de organisatie. Hier ligt een serieuze taak voor de afdeling personeelszaken.

Check hier, hier en hier onze andere blogs over privacy en de AVG.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Bestuurder BV handelt onrechtmatig wat nu

Bestuurder BV handelt onrechtmatig: wat nu?

Door Michel Zaaijer | augustus 22, 2018

Een BV kan aansprakelijk zijn voor schade omdat contractuele of wettelijke verplichtingen worden geschonden. Naast de BV kan de bestuurder achter de BV evengoed aansprakelijk zijn voor schade. Het gebeurt steeds vaker dat bij schade de bestuurder wordt aangesproken als diegene – gelet op zijn wettelijke taakuitoefening – onzorgvuldig of onbehoorlijk handelt. Als vast komt…

Contract taalkundige uitleg of toch de bedoeling van partijen

Contract: taalkundige uitleg of toch de bedoeling van partijen?

Door Puk Birnie | september 26, 2018

Het zorgt bij gesloten contracten vaak voor veel problemen: de ene partij die op basis van de overeenkomst iets anders verwachtte dan de andere partij. In de juridische wereld is er daarom door de Hoge Raad al lang geleden een belangrijk toetsingskader in het leven geroepen, namelijk het ‘Haviltex-criterium’. Uit het Haviltex-arrest volgt dat bij…

Het stuiten van de verjaring van een geldvordering hoe zit dat

Het stuiten van de verjaring van een geldvordering: hoe zit dat?

Door Puk Birnie | augustus 3, 2018

Onlangs behandelden wij al de uitspraak waarin de rechtbank oordeelde dat een bank niet aansprakelijk is als een rekeninghouder geld naar een verkeerde rekening overboekt. Deze vorm van onverschuldigde betaling valt onder de eigen verantwoordelijkheid. Op 18 juli 2018 deed de rechtbank Midden-Nederland wederom een uitspraak over de onverschuldigde betaling. Ditmaal met een iets andere…

Opgelet bij het ontbinden van overeenkomsten!

Opgelet bij het ontbinden van overeenkomsten!

Door Puk Birnie | juli 11, 2018

Het gebeurt dagelijks: het sluiten van overeenkomsten. Helaas ontstaan er ook problemen bij de uitvoering van overeenkomsten. Zo kan een aannemer slecht werk leveren, of een product niet voldoen aan de verwachtingen.  Veel mensen houden vast aan de gedachte dat men altijd de overeenkomst nog kan ontbinden. Toch werkt het in de praktijk niet zo.…