Privacy en personeelszaken: is jouw interne organisatie al privacyproof?

Zoals inmiddels wel bekend komt er een hoop kijken bij de invoering van de AVG. Een fikse documentatieplicht met betrekking tot gegevens van klanten, is slechts één vereiste van de AVG. Wat veel organisaties vergeten is dat de verplichtingen van de AVG niet alleen gelden voor klanten, maar ook voor werknemers! In dit artikel besteden wij daarom aandacht aan de vereisten van de AVG in het licht van (onder andere) je personeelsbeleid.

Documentatie van gegevens
Zeker op de hr-afdeling komen er nogal wat persoonsgegevens voorbij. Ook in het geval van (bijna) werknemers is het belangrijk dat je nagaat waar de gegevens vandaan komen en waar deze bewaard worden.

Veel informatie leveren werknemers zelf aan, zoals een kopie van het paspoort, een bankrekeningnummer en een adres. Maar in het kader van een sollicitatieprocedure haal jij misschien wel persoonsgegevens uit andere bronnen, bijvoorbeeld uit social media-profielen zoals Linkedin. Dit moet je goed vastleggen. Documenteer daarom ook zorgvuldig de dataflows van de persoonsgegevens van je werknemers.

Daarnaast maakt jouw organisatie waarschijnlijk gebruik van bepaalde (personeelsadministratie)systemen, bijvoorbeeld voor het opbouwen en bijhouden van personeelsdossiers. De ontwikkelaars of aanbieders van deze systemen treden vaak ook op als systeembeheerder op voor jouw organisatie. Daarbij hebben zij inzage in de persoonsgegevens van jouw werknemers. Veel bedrijven maken bovendien ook gebruik van externe partijen voor bepaalde zaken, zoals voor de salarisadministratie. Deze partijen verwerken gegevens waar jouw organisatie verantwoordelijk voor is. Dit betekent dat jouw bedrijf met deze partijen een zogenaamde ‘verwerkersovereenkomst’ moet sluiten.

Gronden voor verwerking/bewaren van gegevens
Binnen je organisatie zijn er verschillende redenen om de persoonsgegevens van werknemers te verwerken. Vaak is een reden dat dit wettelijk verplicht is, zoals bij de wettelijke verplichtingen rondom de salarisadministratie.

Maar wat wel van belang is om na te gaan, is of alle gegevens van werknemers die jouw bedrijf verzamelt ook daadwerkelijk noodzakelijk zijn, én of dit bovendien op een proportionele manier gebeurt. Voorbeeld: sommige organisaties maken op de werkvloer gebruik van camera’s om diefstal tegen te gaan. Als een bedrijf dit doet, is dit wel aan bepaalde regels gebonden. Ook komt het voor dat organisaties controles uitvoeren op de computers en werknemersaccounts. Ook dit is aan regels gebonden en mag niet zomaar gebeuren. Met deze regels moet jij als bedrijf rekening houden.

Voor de bewaartermijnen van persoonsgegevens geldt dat deze over het algemeen gebonden zijn aan wettelijke verplichtingen. Zo geldt in het voorbeeld van de salarisadministratie over het algemeen een wettelijke bewaartermijn van zeven jaar. Maar in de praktijk gebeurt het ook dat bedrijven andere soorten en bronnen van persoonsgegevens voor langere periodes bewaren. Zo hebben veel organisaties de neiging om cv’s van sollicitanten lang te bewaren, ook als deze personen niet zijn aangenomen. Onder de AVG is dit zeker niet toegestaan en is het van belang dat organisaties hier strikt(er) mee omgaan.

Informeren
Het informeren van werknemers gebeurt op twee manieren:

  1. In de eerste plaats moeten werknemers zelf geïnformeerd worden over ‘elke vorm van gegevensverwerking’. Zoals eerder vermeld gebruiken organisaties bijvoorbeeld bewakingscamera’s. Onder de AVG is het verplicht dat je personen hiervan op de hoogte stelt, voordat je hier daadwerkelijk toe overgaat.
    Elke mogelijke actie waarbij jouw bedrijf de rechten en vrijheden van werknemers schaadt, moet je zorgvuldig en uitvoerig vermelden. Worden werknemersaccounts mogelijk gecontroleerd? Gebruiken werknemers een werktelefoon ook privé? Het is in deze gevallen noodzakelijk dat je werknemers op de hoogte stelt van persoonsgegevens die daarbij mogelijk verzameld worden, en wat de processen zijn voor eventuele controles. Vanzelfsprekend moeten werknemers op dezelfde manier geïnformeerd – en dus beschermd – worden als andere betrokkenen, zoals klanten.
  2. Anderzijds heb je als organisatie ook een verplichting om je werknemers te informeren – en eventueel op te leiden – over wat hun verplichtingen zijn in het kader van de AVG. Als organisatie moet je reglementen opstellen om persoonsgegevens te beschermen, zowel van klanten als van medewerkers. Maar alleen het opstellen van dergelijke reglementen is niet voldoende. Als bedrijf moet je je werknemers actief wijzen op hoe te handelen als er bijvoorbeeld sprake is van een datalek: wie moet er geïnformeerd worden, welke acties moeten zij ondernemen et cetera.

Kortom: niet alleen moet jouw bedrijf jouw werknemers informeren over controles die op hén uitgevoerd kunnen worden, maar óók over hoe zij moeten handelen als er in het kader van privacy iets gebeurt binnen de organisatie. Hier ligt een serieuze taak voor de afdeling personeelszaken.

Check hier, hier en hier onze andere blogs over privacy en de AVG.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Wekelijks op de hoogte blijven van juridisch nieuws?

Het stuiten van de verjaring van een geldvordering hoe zit dat

Het stuiten van de verjaring van een geldvordering: hoe zit dat?

Door Puk Birnie | augustus 3, 2018

Onlangs behandelden wij al de uitspraak waarin de rechtbank oordeelde dat een bank niet aansprakelijk is als een rekeninghouder geld naar een verkeerde rekening overboekt. Deze vorm van onverschuldigde betaling valt onder de eigen verantwoordelijkheid. Op 18 juli 2018 deed de rechtbank Midden-Nederland wederom een uitspraak over de onverschuldigde betaling. Ditmaal met een iets andere…

Opgelet bij het ontbinden van overeenkomsten!

Opgelet bij het ontbinden van overeenkomsten!

Door Puk Birnie | juli 11, 2018

Het gebeurt dagelijks: het sluiten van overeenkomsten. Helaas ontstaan er ook problemen bij de uitvoering van overeenkomsten. Zo kan een aannemer slecht werk leveren, of een product niet voldoen aan de verwachtingen.  Veel mensen houden vast aan de gedachte dat men altijd de overeenkomst nog kan ontbinden. Toch werkt het in de praktijk niet zo.…

Bedrag overgemaakt naar verkeerde ontvanger wat nu

Bedrag overgemaakt naar verkeerde ontvanger: wat nu?

Door Puk Birnie | juni 12, 2018

Als ondernemer zijn financiële handelingen aan de orde van de dag. Met een alerte controller in dienst worden fouten niet snel gemaakt. Toch kan het gebeuren dat je een geldbedrag per ongeluk naar een verkeerd rekeningnummer overmaakt. Onlangs deed de rechtbank Amsterdam uitspraak in een zaak betreffende een zogeheten ‘onverschuldigde betaling’. De zaak kwam groot…

Piloot in geldnood verzoek aan KLM om maar liefst 1 miljoen!

Piloot in geldnood: verzoek aan KLM om maar liefst 1 miljoen!

Door Charlotte van Eeden | augustus 3, 2018

Als werkgever ben jij er hopelijk mee bekend dat je een zorgplicht hebt richting je werknemers. Zo moet je ervoor zorgen dat er sprake is van een veilige werkomgeving. Maar dit betekent niet dat werknemers nooit schade kunnen lijden tijdens het werk. Zo gleed een piloot van KLM uit tijdens het uitvoeren van een zogenaamde…