Nieuws

AVG en personeelsgegevens: ben jij er klaar voor?

17 april 2018

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (‘AVG’) in werking. Als werkgever verdient de AVG zeker de aandacht. Je bent verantwoordelijk om ervoor te zorgen dat jouw organisatie klaar is voor de AVG. Diverse malen hebben wij jou geïnformeerd over de gevolgen van de inwerkingtreding. Aangezien de werkvloer bezaaid ligt met persoonsgegevens, zoomen wij in dit artikel in op de gevolgen van de AVG voor de werkgever-werknemer relatie.
 
Personeelsgegevens op de werkvloer
Het doel van AVG is een (nog) betere bescherming van persoonsgegevens te garanderen. In de AVG zijn dan ook flink wat regels opgenomen over de verwerking van persoonsgegevens.
Wat zijn nou persoonsgegevens van een werknemer? Een persoonsgegeven is informatie van een persoon die direct of indirect terug te herleiden is naar een persoon. Dit kan bijvoorbeeld zijn: een naam, een adres, een e-mailadres, een telefoonnummer, geboortedatum of gegevens van de kinderen. Zelfs een notitie dat er een afspraak is gemaakt met de bedrijfsarts kan worden aangemerkt als persoonsgegeven.

Daarnaast geldt volgens de AVG dat vrijwel alles wat er met het persoonsgegeven wordt gedaan, moet worden gezien als een verwerking. De verwerking kan worden aangeduid als het verzamelen, het opslaan, het raadplegen, het verstrekken, maar ook bijvoorbeeld het wissen of vernietigen van persoonsgegevens. De AVG is niet alleen van toepassing op digitale personeelsgegevens maar op iedere verwerking van personeelsgegevens, dus ook voor het fysieke personeelsdossiers.

Verder dien je erop attent te zijn dat regels gelden voor specifieke verwerkingen die kunnen plaatsvinden op de werkvloer. Daarbij moet je denken aan de verwerking van bijzondere persoonsgegevens (zoals medische of strafrechtelijke gegevens), de controle op e-mail en internetverkeer, cameratoezicht en mogelijk alcohol- of drugscontroles. Als vuistregel kun je aanhouden dat de AVG van toepassing is op alles wat enige inbreuk maakt op het recht op privacy van een werknemer.

Toestemming werknemer voldoende?
Om persoonsgegevens te mogen verwerken, moet er een wettelijke grondslag zijn. Deze grondslag is bijvoorbeeld aanwezig wanneer de verwerking noodzakelijk is voor de uitvoering van de (arbeids)overeenkomst, de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting (denk aan belasting) of de werkgever een gerechtvaardigd belang heeft waarvoor de verwerking noodzakelijk is en het belang van de werkgever zwaarder weegt dan het belang van de werknemer. Houd dus in gedachten dat je bij iedere verwerking van de personeelsgegevens van jouw werknemer, dient na te gaan op welke grondslag deze verwerking kan worden gebaseerd.

Een verwerking van persoonsgegevens kan ook rechtmatig zijn wanneer er toestemming gegeven is door de betrokkene. De toestemming van degene van wie de gegevens worden verwerkt volstaat alleen niet in de verhouding werkgever/werknemer. Toestemming kan alleen een rechtmatige grondslag zijn voor een verwerking van persoonsgegevens wanneer deze vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Door de gezagsverhouding tussen een werkgever en een werknemer is van het voorgaande doorgaans geen sprake.
 
Verdere aandachtspunten
Naast het voorgaande is het van belang om de bewaartermijnen in het achterhoofd te houden. Hoofdregel is dat personeelsgegevens niet langer bewaard mogen worden dan noodzakelijk. Schoon dus regelmatig jouw personeelsdossiers op, zodat diverse gegevens niet langer bewaard blijven dan noodzakelijk. Dit geldt overigens niet alleen voor jouw werknemers, maar ook voor sollicitanten. De bewaartermijn voor sollicitatiegegevens bedraagt vier weken.

Denk er verder aan dat je  jouw werknemers informeert over de verwerking van hun gegevens. Als werkgever dien je jouw werknemers te informeren over de gegevens die worden verwerkt, voor welk doeleinde dit gebeurt, de rechtsgrond voor de verwerking, wie de gegevens zullen ontvangen en welke bewaartermijn er wordt gehanteerd. Als je gebruik maakt van tracking van auto’s van jouw werknemers, cameratoezicht en/of monitoring van internet- en e-mailgebruik om jouw werknemers te monitoren, dien je jouw werknemers hierover te infomeren. Attendeer jouw werknemers ook over de consequenties van constatering van eventueel onrechtmatig gebruik. Neem dit op als gedragscode of in het huishoudelijk regelement.

Informeer jouw werknemers verder ook hun recht op inzage, het recht op correctie en het recht om gegevens te laten wissen (“recht op vergetelheid”) aangaande hun persoonsgegevens. Het recht op vergetelheid is niet onbeperkt en geldt niet voor alle gegevens. Een werknemer kan bijvoorbeeld niet vragen om een recente negatieve beoordeling of waarschuwing uit het personeelsdossier te wissen.

Verder ben je als werkgever verplicht om de persoonsgegevens passend te beveiligen. En dien je eventuele datalekken te melden bij de Autoriteit Persoonsgegevens en onder bepaalde voorwaarde bij de betreffende personen.

Wil je meer weten? Neem dan contact met ons op!

Groet,
 

Nina, Maud, Lydia en Hilde

Nieuws - Archief