Personeelsnet

Noodplan AVG: deze stappen moet u in ieder geval nog zetten

Aanstaande vrijdag, 25 mei 2018, wordt de nieuwe privacywet AVG definitief ingevoerd. Ook HR heeft volop te maken met de nieuwe privacywet, want veel van de gegevens over medewerkers zijn bijzonder gevoelig. Daar moet u van de wet extra zorgvuldig mee omgaan. Hebt u nog niets, of veel te weinig, geregeld? Met dit noodplan, zet u de eerste stappen en kunt u boetes vermijden.

Vanaf 25 mei 2018 moeten alle organisaties een passend privacybeleid hebben, zowel zzp’ers als bedrijven met duizenden werknemers. Klanten (en medewerkers) kunnen een klacht indien bij de Autoriteit Persoonsgegevens (AP) als zij vinden dat u niet goed omgaat met hun persoonsgegevens. Zonder deugdelijk privacybeleid, maakt u kans op forse boetes.

AVG VOOR HR: Kijk hier wat je nog moet regelen!

De Autoriteit Persoonsgegevens gaat vanaf 25 mei direct handhaven, maar er is wel toegezegd dat kleinere organisaties voorlopig worden ontzien. Ga nou niet achterover leunen, want klachten van betrokkenen moet de AP altijd in behandeling nemen. Als de klacht serieus is en blijkt dat u nog helemaal niets heeft uitgevoerd om te voldoen aan de AVG, dan kan de AP toch tot handhaving overgaan.

Begin daarom in ieder geval met de volgende stappen te zetten:

NOODPLAN AVG

1. De basis: maak een register met alle persoonsgegevens die u verwerkt
Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel. Dat geldt in ieder geval voor organisaties die geregeld gegevens van personeel bijhouden voor de personeelsadministratie.

Daarbij maakt het niet uit of u dat zelf doet, of bijvoorbeeld een administratiekantoor, want u bent zelf verantwoordelijk voor de juiste verwerking van de gegevens. U moet het register kunnen verstrekken, wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Persoonsgegevens zijn niet alleen naam, adres en woonplaats, maar ook de functie, gegevens over vakantie en verzuim, personeelsbeoordelingen. Maar het kan ook gaan over het mailadres of het IP-nummer waarmee een medewerker vanuit huis inlogt op uw netwerk. Of om de gegevens van de prikklok.

In de praktijk blijken organisaties veel meer gegevens te verwerken van personeel en klanten dan ze dachten. Begin daarom met zoveel mogelijk gegevens op te nemen in het register die voor de hand liggen en vul aan, wanneer meer verwerkingen bekend worden. U moet in het register onder meer aangeven wie wat verwerkt, wie toegang heeft tot de gegevens, hoe u ze beveiligt en hoe lang u gegevens bewaart.

2. Zorg voor voldoende beveiliging
Als u gegevens verwerkt, moet u die van de AVG goed bewaren. Daarbij moet uw beveiliging afgestemd zijn op de risico’s die de gegevensverwerking met zich meebrengt. Daarbij maakt het niet uit of u nu per ongeluk fouten maakt of niet. Gegevens over het personeel zijn gevoelig en moet u daarom extra goed beveiligen.

Daarbij moet u denken aan fysieke maatregelen (sleutelbeleid, kasten op slot, geen plakkertje met wachtwoorden op de pc) en aan IT-beveiliging (ten minste goede Antivirus software, versleutelde opslag van gegevens op de server). De beveiliging moet meegaan met de laatste stand van de techniek en passen bij de gevoeligheid van de gegevens die u verwerkt. Daarbij moet u meenemen hoe erg het zou zijn als de gegevens per ongeluk zouden worden gelekt.

Als u nieuwe diensten ontwikkelt, moet bescherming van de privacy altijd worden meegenomen in de ontwikkeling. Verder moet privacy altijd ‘aan staan’. U mag bijvoorbeeld geen optie voorleggen, waarbij betrokkenen akkoord zouden gaan met ‘minder privacy’ om toegang te krijgen tot een dienst of product.

3. Sluit een verwerkersovereenkomst af met uw administratiekantoor en arbodienst
De meeste bedrijven hebben een arbodienst of een administratiekantoor. Of misschien besteedt u opleidingsactiviteiten wel uit of heeft u een afspraak over bedrijfsfitness of personeelsvervoer.

Met alle externe dienstverleners die persoonsgegevens van uw medewerkers ontvangen en verwerken, moet u daarom een verwerkersovereenkomst afsluiten. U moet, als verwerkingsverantwoordelijke, er op kunnen vertrouwen dat zij net zo zorgvuldig met de persoonsgegevens omgaan als u dat doet.

In de verwerkersovereenkomst legt u onder andere vast welke gegevens er worden verwerkt, hoe ze worden beveiligd, wie er over de gegevens mag beschikken en wat er moet gebeuren als er data lekt. Als er wat fout gaat bij een externe partij, blijft u zelf verantwoordelijk. Daarom is het afsluiten van een verwerkersovereenkomst zo belangrijk.

4. Maak geen fout bij de grondslag voor de verwerking
In het verwerkingsregister moet u aangeven op basis waarvan u persoonsgegevens verwerkt. Voor gegevens van het personeel, zal dat bijna uitsluitend gaan op basis van wetgeving of het uitvoeren van de arbeidsovereenkomst.

Aan klanten kunt u ook toestemming vragen voor het verwerken van persoonsgegevens, maar dat is geen grondslag voor het verwerken van de gegevens van personeel. Omdat medewerkers een afhankelijke positie hebben, gaat de wet er vanuit dat zij nooit vrijelijk hun toestemming kunnen geven.

Het heeft daarom dus bijvoorbeeld ook geen nut om medewerkers een verklaring te laten ondertekenen waarmee ze ‘akkoord’ zouden gaan met het verzamelen en verwerken van allerlei persoonsgegevens.

5. Respecteer de rechten van medewerkers, maar ook de bewaartermijnen
In de nieuwe wet, krijgen betrokkenen (dus ook personeelsleden) meer rechten om hun gegevens te beheren. Zorg dat u daar klaar voor bent. Het gaat om de volgende rechten:

·         Recht op inzage van gegevens

·         Het recht om gegevens te wijzigen

·         Het recht om ‘vergeten’ te worden

·         Recht om gegevens eenvoudig over te dragen (zoals het personeelsdossier)

·         Recht op informatie

Vanaf 25 mei 2018 mogen betrokkenen deze rechten uitoefenen, dus zorg dat u een procedure op papier zet waarmee u eventuele verzoeken kunt afhandelen. U moet binnen een maand reageren, waarbij u wel rekening moet houden met andere wet- en regelgeving. Zo staan er bijvoorbeeld bewaartermijnen in verschillende wetten, waardoor u de gegevens van een (ex-)medewerker niet zo maar mag verwijderen.

AVG VOOR HR: Kijk hier wat je nog moet regelen!

Neem een abonnement en download meer dan 300 actuele HR-instrumenten

Wilt u als HR-professional ook niks meer missen op uw vakgebied?