verbetertraject

Privacyregels aangescherpt: AVG en de aandachtspunten voor HR

Veel bedrijven zijn zich aan het voorbereiden op de nieuwe privacywetgeving (AVG) die vanaf 25 mei van dit jaar gaat gelden. Bedrijven die zelf AVG-compliant zijn, eisen dat alle bedrijven waarmee zij samenwerken ook AVG-compliant zijn. Hoe moet je je als HR afdeling voorbereiden op de AVG om boetes te voorkomen?

Privacyregels gaan een steeds grotere rol spelen in het dagelijks leven – ook op de werkvloer. Om het risico op de stevige boetes uit de wet te vermijden, moeten organisaties nog zorgvuldiger met persoonsgegevens om gaan en vooral kunnen aantonen dat zij zich aan de regels houden. Dat betekent dat er in elk geval de volgende documenten moeten worden opgesteld:

  • een privacyverklaring om aan de werknemers uit te reiken als zij hun persoonsgegevens verstrekken
  • een privacyprotocol waarin staat welke gegevensstromen er binnen de organisatie zijn en wie toegang heeft tot welke gegevens
  • een geheimhoudingsbeding moet worden gesloten met medewerkers om vast te leggen dat zij vertrouwelijk moeten om gaan met persoonsgegevens van klanten of collega’s;
  • met ingeschakelde derden moet een verwerkersovereenkomst – dit is een wettelijke verplichting als je persoonsgegevens deelt met derden. Al is het maar een externe salarisadministrateur of hostingpartij voor je server.  
Wat betekent dit nu voor de HR praktijk?

Inhoudelijk verandert er niet eens zo veel. Ook nu al is HR verplicht om persoonsgegevens te beschermen tegen onbevoegde verspreiding. Iemands BSN nummer of kopie legitimatiebewijs doorgeven mag nu ook al niet zonder meer. Onder de AVG moet je als werkgever echter ook kunnen bewijzen dat je netjes met die gegevens omgaat. Bij indiensttreding moet een werknemer geïnformeerd worden dat er gegevens verzameld gaan worden over hem en wat daarmee gaat gebeuren. Ook met wie de gegevens worden gedeeld en hoe lang de gegevens bewaard worden, moet je als werkgever vermelden. Strikt genomen speelt die informatieplicht zelfs al tijdens de sollicitatiefase. Om aan deze informatieplicht te voldoen adviseren wij werkgevers om een (standard) informatieverklaring op te stellen, die overhandigd kan worden aan nieuwe werknemers. Dit wordt ook wel een privacystatement genoemd.

Omdat de AVG particulieren het recht geeft om inzage te vragen in de persoonsgegevens die over hem verzameld zijn, kunnen ook werknemers inzage vragen in hun personeelsdossier. Ook dit is niet echt nieuw. Wel valt te verwachten dat werknemers hier actiever gebruik van gaan maken. Om ook daadwerkelijk aan dat inzagerecht te kunnen voldoen, zou je als HR de informatiestromen in kaart moeten brengen. Hierbij moeten vragen beantwoord worden als: Wat gebeurt er met personeelsgegevens? Wie hebben er toegang tot het personeelsdossier? Aan welke organisaties (denk aan salarisadministrateurs of pensioenuitvoerders) worden de gegevens verstrekt? Hoe lang worden gegevens bewaard? Het is goed om dergelijke gegevens vast te leggen in een privacy protocol, zodat je kunt aantonen als organisatie dat je de datastromen binnen je organisatie onder controle hebt.

Wat zijn persoonsgegevens waarmee ik als HR medewerker te maken krijg?

In de AVG draait alles om persoonsgegevens. Een persoonsgegeven is eigenlijk elk gegeven dat te maken heeft met een particuliere persoon. Daarbij kun je denken aan naam, adres, geboortedatum, indiensttredingsdatum, telefoonnummer of e-mailadres. Dat zijn gewone persoonsgegevens. Met die gegevens moet je als werkgever al zorgvuldig omgaan. Vooral omdat werknemers door de wet als “kwestbare personen” worden gezien.

Er zijn echter ook bijzondere persoonsgevens. Dat zijn onder andere gegevens over iemands godsdienst, ras, sexuele geaardheid of politieke voorkeur en medische gegevens. Die gegevens mag je als werkgever alleen verwerken als er een speciale wettelijke uitzondering geldt. Zodra je met dit soort gegevens te maken krijgt, moet je je als HR goed afvragen of je deze gegevens wel kunt verwerken. Zekerheidshalve kun je dergelijke gegevens beter niet vastleggen, tenzij je zeker weet dat het wel mag. Let daarbij op dat toestemming van de werknemer bijna nooit een geldige grond is voor verwerken van gegevens!

De AVG spreekt ook over gevoelige gegevens. Daarbij kan je denken aan locatiegegevens (bijvoorbeeld door auto-tracking, toegangs-tags of MAC-gegevens van de telefoon), financiele gegevens (al heel makkelijk toegankelijk via het BSN nummer) of gegevens over surfgedrag (IP-adres). Zulke gegevens mogen in bepaalde situaties wel verwerkt worden, maar hier moet je als werkgever extra zorgvuldig mee om gaan.

Wanneer verwerk ik als HR persoonsgegevens?

Het begrip “verwerken” is heel ruim. Zodra je gegevens verzamelt, vastlegt, opslaat, ordent, doorstuurt, aanpast of vernietigt is er al sprake van verwerking van persoonsgegevens. Zodra dat aan de orde is, moet je je afvragen of je wel voldoet aan regels van de AVG.

Waar moet ik aan denken als ik persoonsgegevens verwerk?

Een belangrijk element van de privacywetgeving in de AVG is dat telkens moet worden bekeken wat de juridische basis (de “grondslag“) is voor de verwerking van de persoonsgegevens. Of simpel gezegd: waarom mag de werkgever die gegevens verzamelen? In de AVG wordt een aantal grondslagen genoemd waaruit je kan kiezen. Als geen van die grondslagen aan de orde is, moet de conclusie zijn dat de persoonsgegevens niet mogen worden verwerkt.

In de relatie werkgever-werknemer zal de grondslag voor veel gegevensverwerkingen zijn: het uitvoeren van de arbeidsovereenkomst. Dat is logisch. Om salaris te kunnen betalen heeft de werkgever nou eenmaal bepaalde gegevens nodig.

Er gelden ook wettelijke verplichtingen voor de werkgever om bepaalde gegevens te verzamelen. De Belastingdienst eist bijvoorbeeld dat er bepaalde gegevens worden vastgelegd. Op grond van de Wet Arbeid Vreemdelingen (de WAV) moet een werkgever een kopie ID in het personeelsdossier opslaan om te bewijzen dat een werknemer tewerk mag worden gesteld. Die kopie mag echter pas worden gemaakt als de werknemer daadwerkelijk in dienst komt en dus niet al tijdens de sollicitatie.

Een groot deel van de gegevensverwerkingen waarmee HR te maken krijgt valt dus onder de grondslag “uitvoering van de overeenkomst” of “wettelijke verplichting“. Er kunnen echter ook andere situaties zijn waarin persoonsgegevens worden verwerkt door de werkgever, waar die twee grondslagen niet als basis kunnen worden gebruikt. Wat geldt er dan?

Grondslag toestemming in de arbeidsrelatie

Particulieren kunnen hun toestemming geven voor het gebruik van hun persoonsgegevens. Die toestemming moet echter wel vrijwillig gegeven kunnen worden. Omdat in de werkgever-werknemer relatie sprake is van een hiërarchische relatie, zal een gegeven toestemming niet snel als vrijwillig worden gekwalificeerd. Daarnaast geldt dat de toestemming voor de gegevensverwerking op grond van de wet op ieder moment kan worden ingetrokken door degene die de toestemming heft gegeven. Dat kan lastig zijn. Als een werknemer  zijn toestemming zou intrekken, vervalt de grondslag voor de gegevensverwerking en is er (dus) geen grondslag meer voor de verwerking, waarmee de werkgever in overtreding is. Daarom moet in de relatie werkgever-werknemer bij voorkeur een andere grondslag worden gekozen dan de grondslag toestemming.

Registratie van de gegevensverwerking

Uit de wet blijkt dat je als werkgever voor iedere verwerking van persoonsgegevens ergens moet hebben vastgelegd waarom je de gegevens verzameld, met welk doel, op welke grondslag en hoe lang de gegevens bewaard zullen blijven. Zo moet de grondslag voor een bepaalde verwerking dus al genoemd worden in de documentatie over de gegevensverwerking, maar ook de bewaartermijn en degenen die toegang hebben tot de gegevens.

Met welke gegevens moet je als werkgever extra voorzichtig omgaan?

Als werkgever verzamel je allerlei persoonsgegevens, soms zelfs zonder dat je je daarvan bewust bent. Het gaat niet alleen om NAW-gegevens van werknemers, maar ook (en juist) om gevoelige gegevens die door allerlei volgsystemen worden vastgelegd.

Gegevens die worden verzameld bijvoorbeeld met behulp van een toegangs-tag kunnen als gevoelige gegevens worden aangemerkt. Het gaat daarbij immers om locatiegegevens: met de toegangstag kan namelijk worden geregistreerd waar iemand zich op een bepaald moment bevond.

Dat medische gegevens extra goed moeten worden beschermd, zal voor de meeste HR medewerkers geen nieuws zijn. Niet voor niets bevat de wet al jaren de nodige regels waardoor toegang tot medische gegevens van werknemers zoveel mogelijk wordt afgeschermd. Aandachtspunt vormen nog wel de medische gegevens die een medewerker zelf spontaan verstrekt: als een medewerker opbelt om zich ziek te melden en daarbij meldt wat zijn medische toestand is (bijvoorbeeld: buikgriep of longontsteking) dan is het niet de bedoeling om die gegevens op te schrijven. Het aanhoren van de enkele mededeling door de werknemer is dus nog wel toegestaan, het noteren van die medische informatie kan aangemerkt worden als gegevensverwerking en mag dus niet.

Een kopie van een identiteitsbewijs bevat niet alleen het BSN-nummer (een gegeven waar potentieel misbruik kan worden gemaakt) maar ook een pasfoto (waaruit gegevens over iemands ras kunnen worden afgeleid). Hetzelfde geldt voor CV’s waarop die informatie te vinden is. Met deze gegevens moet dan ook zorgvuldig worden omgesprongen. Dat geldt sowieso voor foto’s van medewerkers. Het doorsturen van een foto van een medewerker ter identificatie aan klanten kan daarom ook op de nodige problemen stuiten. Daarnaast kan ook gedacht worden aan beelden van beveiligingscamera’s die aanwezig zijn in het bedrijf van de werkgever. Bij het installeren van dergelijke camera’s zal moeten worden nagedacht over de grondslag van de gegevensverwerking (dat zal vaak veiligheid zijn) maar ook over de manier waarop de inrbeuk op de privacy van de werknemers zoveel mogelijk kan worden gewaarborgd (denk bijvoorbeeld aan het beperken van de kring van personen die de camerabeelden kunnen uitlezen en een beperkte bewaartermijn van de beelden).

Maar ook software die juist bedoeld is om de persoonsgegevens van klanten en de medewerkers te beschermen, kan er soms toe leiden dat er persoonsgegevens van een werknemer worden vastgelegd. Het gaat dan om bijvoorbeeld screeningssoftware, waarmee al het mailverkeer in het bedrijf wordt gecontroleerd op ongeoorloofde uitingen. Als dat soort software wordt gebruikt, is het van belang dat de medewerkers daarover van tevoren goed zijn geïnformeerd. Daarnaast is het van belang dat er een afweging is gemaakt, waarin de vraag aan de orde is gesteld of het noodzakelijk is (en zo ja: ten behoeve van welke belangen) dat er een inbreuk wordt gemaakt op de privacy van de medewerkers.

Andere AVG aandachtspunten

Natuurlijk is het van belang om de privacy van de eigen medewerkers te beschermen. Als er binnen het bedrijf van de werkgever echter wordt gewerkt met persoonsgegevens van anderen, is het daarnaast ook van groot belang om bepaalde afspraken met de medewerkers te maken over hoe zij op hun beurt de privacyrechten van anderen zoveel mogelijk veilig stellen. Lees daarvoor ons andere artikel over aanpassingen in de arbeidsovereenkomst met het oog op de AVG en de Datalekkenwetgeving.

Tags: