AVG en de privacy van uw personeel: 7 tips

In de afgelopen maanden heeft u vast al vaak de term AVG horen vallen. De AVG staat voor Algemene Verordening Gegevensbescherming. Deze verordening is een uitbreiding op de huidige privacywetgeving, maar heeft zeker impact op uw organisatie. Deze wet heeft niet alleen gevolgen voor hoe u met patiëntgegevens omgaat, maar heeft ook invloed op hoe u moet omgaan met de gegevens van uw personeel. Helaas niet de meest makkelijke materie maar wel heel noodzakelijk dat u ervan op de hoogte bent.

Wat zijn persoonsgegevens?  

Een persoonsgegeven is elk gegeven waarmee een natuurlijk persoon kan worden geïdentificeerd. U moet daarbij denken aan iemands naam, adres, woonplaats, telefoonnummer, BSN-nummer, functie maar ook een emailadres kan dit zijn. Het gaat hierbij ook om gegevens in beeld in geluid, zoals een bedrijfsfilmpje. Daarnaast zijn er ook bijzondere persoonsgegevens. Daarbij moet u denken aan iemands ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van een vakbond, biometrische gegevens, gezondheid en seksuele geaardheid.

Onze tips

Tip 1: Breng uw informatiestromen in kaart

Breng in kaart welke persoonsgegevens u verwerkt, van wie de persoonsgegevens zijn, met welk doel deze worden verwerkt en met wie deze persoonsgegevens worden gedeeld. Dit is de basis voor de voorbereiding op de AVG. Let op: het gaat hierbij dus ook om bijvoorbeeld telefoonnummers en geboortedatums van collega’s om elkaar te kunnen bereiken voor het ruilen van een dienst of om een kaartje te sturen op hun verjaardag.

Tip 2: Bepaal hoe u omgaat met een datalek

Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Het gaat hierbij dan niet alleen maar om het verlies van een USB-stick met een Excel-file met uw personeelsbestand, maar ook situaties als een verkeerd geadresseerde email verzenden of als bestanden worden versleuteld door een virus.

Het is belangrijk dat werknemers weten wat een datalek is en bij wie ze dit moeten melden. Afhankelijk van de aard en ernst van het datalek moeten vervolgstappen worden genomen, die variëren van registratie in een eigen register datalekken tot melding bij de Autoriteit Persoonsgegevens en bij de betrokkene zelf.

Tip 3: Uw werknemer heeft recht tot inzage in zijn persoonsgegevens

De betrokkene heeft recht op inzage en afschrift van de persoonsgegevens die van hem worden verwerkt. Uw werknemer kan dus zonder reden om een kopie van zijn eigen personeelsdossier verzoeken. Dat moet u binnen één maand verstrekken. Zorg dus dat uw dossier op orde is. Persoonlijke werkaantekeningen over een werknemer als geheugensteuntje vallen niet onder het inzagerecht. Deze gegevens mogen dus niet worden verstrekt aan derden of opgeslagen in het personeelsdossier. Staat het er wel in, dan heeft de werknemer ook recht op inzage in en afschrift daarvan.

Tip 4: U mag persoonsgegevens niet oneindig bewaren

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. Een aantal andere wetten schrijft wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs van een werknemer bijvoorbeeld moet tot vijf jaar na einde dienstverband, worden bewaard. Ook bestaan er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.

Tip 5: U heeft een informatieplicht

U moet uw werknemers, maar ook sollicitanten, heldere informatie geven over onder andere de persoonsgegevens die u verwerkt. Voor welk doel verwerkt u de gegevens? En welke rechten hebben zij? U kunt hieraan voldoen door een privacyverklaring op te stellen en deze te verstrekken. U kunt deze bijvoorbeeld opnemen in een personeelshandboek. De verklaring moet wel duidelijk, eenvoudig en begrijpelijk zijn.

Tip 6: U mag weinig vastleggen van uw zieke werknemers

Gegevens over gezondheid worden gezien als bijzondere persoonsgegevens. Deze mogen alleen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of cao. Zo mag u een zieke werknemer niet vragen naar de aard en/of de oorzaak van de ziekte. Er is een lijst opgesteld welke gegevens u wel mag verwerken als de werknemer zich ziekmeldt. Dat is beperkt tot:

-           het telefoonnummer en (verpleeg)adres;

-           de vermoedelijke duur van het verzuim;

-           de lopende afspraken en werkzaamheden;

-           of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);

-           of de ziekte verband houdt met een arbeidsongeval;

-           of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met eventuele regresmogelijkheden).

Tijdens de ziekteverzuimbegeleiding en re-integratie heeft de werkgever bepaalde informatie nodig om een beslissing te kunnen nemen over de loondoorbetaling, verzuimbegeleiding en re-integratie. De bedrijfsarts mag daarom de volgende gegevens verstrekken aan u als werkgever:

-           de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;

-           de verwachte duur van het verzuim;

-           de mate waarin de werknemer arbeidsongeschikt is;

-           eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Tip 7: Maak afspraken met partijen die voor u persoonsgegevens verwerken

Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, zoals een salarisverwerker of een administratiekantoor, dan moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met deze overeenkomst maakt u duidelijke afspraken over hoe de andere partij met gegevens omgaat.

Wilt u zich meer verdiepen in het onderwerp privacy en de gevolgen voor uw organisatie? Bekijk de infographic van de Autoriteit Persoonsgegevens:  De AVG in een notendop (pdf) en gebruik de Regelhulp Algemene verordening gegevensbescherming  om uw eigen situatie in kaart te brengen.

Deze 7 tips zijn zeker niet uitputtend, maar hebben hopelijk een klein tipje van de enorme AVG-sluier voor u opgelicht.

Joost de Waard, Senior HR Adviseur

Visser & Visser HRM-adviseurs (onderdeel van Visser & Visser Accountants & Belastingadviseurs)

rjdewaard@visser-visser.nl

www.visser-visser.nl/hrm-advies