Personeelsnet

BEWAREN: Wat HR moet weten over de nieuwe privacywet en wat u nog moet doen

De tijd dringt, want al op 25 mei 2018 wordt de privacywet AVG ingevoerd. HR moet zich nu echt voorbereiden om aan de nieuwe eisen te voldoen. Wie nog niet begonnen is, moet een flinke inhaalslag maken. Want HR krijgt volop te maken met de gevolgen van de AVG. Personeelsnet zet hier de belangrijkste punten voor u op een rij.

De AVG geeft werknemers meer privacyrechten. De wet stelt strengere eisen aan iedereen die persoonsgevens van burgers (en dus ook werknemers) verwerkt. HR krijgt daarom direct te maken met deze wet, omdat de gegevensverwerking van medewerkers ook onder de nieuwe regels valt. Het raakt dus de personeelsadministratie, de gegevens van sollicitanten en bijvoorbeeld het verzuimsysteem.

De AVG legt diverse verplichtingen op, waaronder een verantwoordingsplicht. U moet altijd kunnen aantonen dat u de gegevens mag verwerken en de juiste maatregelen heeft genomen om de persoonsgegevens van betrokkenen te beschermen. De Autoriteit Persoonsgegevens is toezichthouder en kan hoge boetes opleggen. De komende tijd zal dat waarschijnlijk nog niet gebeuren, maar haast maken om uw zaken op orde te brengen, is nu wel geboden.

Verwerkt ons bedrijf persoonsgegevens?

In vrijwel alle gevallen is het antwoord hierop: ja, zeker als u een personeelsadministratie heeft (al dan niet in eigen huis). Voor HR is het meest relevant dat gegevens over het personeel persoonsgegevens zijn, maar dat geldt ook voor gegevens over klanten, sollicitanten, cursusdeelnemers, externe dienstverleners, een bestand met zzp’ers.

Het gaat dan niet alleen over namen, adressen, salarissen en beoordelingen, maar ook over hun mailadres, de foto in het smoelenboek, hun wachtwoorden en het IP-adres van de computer thuis waarmee ze inloggen op het bedrijfsnetwerk. Ook als u zelf niets met de gegevens ‘doet’, maar alles uitbesteed aan derden, bent u verantwoordelijk en verwerkt u volgens de AVG persoonsgegevens.

Misschien verwerkt u zelfs ‘bijzondere persoonsgegevens’

In de AVG worden enkele kenmerken aangeduid als ‘bijzondere persoonsgegevens’, waarmee u extra zorgvuldig moet omgaan. Dat zijn persoonsgegevens waaruit ras of etnische afkomst blijkt, het lidmaatschap van een vakbond, politieke opvattingen en religieuze of levensbeschouwelijke overtuigingen.

Bijzondere persoonsgegevens gaan ook over gezondheid, of de seksuele gerichtheid. Alle reden voor HR om bijvoorbeeld de p-administratie goed door te lichten, de registratie van ziekteverzuimgegevens nog eens goed te bekijken en na te denken over wat er wordt geregistreerd in het kader van de pensioenvoorziening. Sommige werkgevers registreren activiteiten van personeel met apparaatjes die ze bij zich moeten dragen. Gegevens die daaruit komen, vallen soms ook onder de (bijzondere) persoonsgegevens.

AVG VOOR HR: Kijk hier wat je nog moet regelen!

U mag alleen gegevens verwerken met deze grondslagen

Voor elk persoonsgegeven dat u verzamelt, moet een geldige grondslag bestaan. U mag daarom alleen persoonsgegevens verwerken wanneer u aan ten minste 1 van de 6 AVG-grondslagen voldoet. Als u dat zo is, moet u dat wel goed onderbouwen, want onder de AVG heeft u namelijk een verantwoordingsplicht.

  1. Toestemming: er moet een rechtsgeldige toestemming zijn voor gegevensverwerking. Dit houdt in dat mensen de vrije keuze moeten hebben om toestemming te geven. Voor toestemming van werknemers gelden extra waarborgen, omdat zij een afhankelijke positie hebben. U mag niet zomaar hun foto’s in het smoelenboek zetten, omdat dit in de huisregels staat waar ze indirect ‘voor hebben getekend’. Voor iedere verwerking moet u expliciet toestemming verkrijgen.
  2. Noodzakelijk voor de uitvoering van een overeenkomst: denk hierbij aan de gegevens in een arbeidsovereenkomst als u iemand in dienst neemt.
  3. Voor het nakomen van een wettelijke verplichting: de wet legt werkgevers wettelijke taken op die zij moeten uitvoeren. U moet belasting en premies inhouden, u moet een kopie van het paspoort opslaan. Daarom mag u bepaalde gegevens verwerken, zoals het BSN-nummer en heeft u een grondslag om het paspoort te kopiëren en de kopie op te slaan.
  4. Noodzakelijk ter bescherming van vitale belangen: geen grondslag waar werkgevers veel mee te maken hebben, want het gaat letterlijk over leven en dood. Bij dergelijke spoedgevallen mag de privacy geschonden worden, als dat levens redt.
  5. Voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag: van toepassing voor overheidsorganisaties die een publieke taak uitoefenen voor het algemeen belang of openbaar gezag.
  6. Noodzakelijk voor de behartiging van gerechtvaardigde belangen: het belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.
    U moet wel nagaan of het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt en of u het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken. U mag de gegevens niet langer bewaren dan nodig is voor het doel van de verwerking, maar denk wel aan de wettelijke bewaartermijnen.

Moeten we een functionaris gegevensbescherming aanstellen?

In bepaalde gevallen moet u van de AVG een functionaris voor de gegevensbescherming (FG) aanstellen. Dit is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG.

Dat moet altijd, als het een overheidsinstantie betreft (uitgezonderd rechtbanken). Verder ook als uw organisatie op grote schaal bijzondere persoonsgegevens overwerkt en het een kernactiviteit is van de organisatie. Bijvoorbeeld een ziekenhuis die zonder de verwerking van medische gegevens geen zorg kan bieden. Als laatste moet u een FG aanstellen als u aan regelmatige of stelselmatige observatie van personen doet.

De meeste organisaties zullen geen verplichte FG hoeven aan te stellen. Soms kan het wel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

Moeten we data protection impact assessment uitvoeren?

Met een DPIA brengt u vooraf de privacyrisico’s van de gegevensverwerking in kaart. Met de uitkomsten in de hand, kunt u maatregelen nemen om de risico’s te verkleinen.

Een DPIA is alleen verplicht als de  verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de mensen van wie u persoonsgegevens verwerkt. Dat gebeurt alleen, als u aan 2 of meer van de onderstaande 9 criteria voldoet:

  1. U beoordeelt mensen op basis van persoonskenmerken, zoals profiling
  2. U neemt geautomatiseerde beslissingen met rechtsgevolgen
  3. Stelselmatige en grootschalige monitoring
  4. Verwerking van gevoelige gegevens of gegevens van zeer persoonlijke aard
  5. Op grote schaal verwerken van persoonsgegevens
  6. Gebruik van gekoppelde databases
  7. Gegevensverwerking over kwetsbare personen
  8. Gebruik van onbekende nieuwe technologieën
  9. Verwerking van persoonsgegevens om een recht, dienst of contract te blokkeren

Voor de meeste organisaties zal een DPIA niet nodig zijn. Maar ook als geen (of maar één) van de criteria gelden, kan er sprake zijn van een hoog privacyrisico. U moet zelf een inschatting maken van de risico's van uw gegevensverwerking voor de betrokken personen.

Wat is privacy by design en by default?

Privacy by design, betekent dat u al bij het ontwerp voorziet in technische en organisatorische maatregelen om de privacyrisico's voor mensen zo klein mogelijk te maken. Kortweg is het verstandig om niet meer gegevens van mensen op te slaan, dan nodig is. Ook bij de ontwikkeling van nieuwe producten en diensten van de HR-afdeling, moet u zich afvragen of de ‘standaardvragen’ over naam, adres, telefoon, e-mail, cursusgegevens wel nodig zijn. Want de verwerking van elk persoonsgegeven, moet u kunnen verantwoorden.

Privacy by default houdt in dat gebruikers niets aan de instellingen en functies hoeven te wijzigen om hun privacy te beschermen. U moet er daarom voor zorgen dat u:

  • alleen persoonsgegevens verwerkt die noodzakelijk zijn voor de specifieke doelen waarvoor u de gegevens verkrijgt;
  • de gegevens niet langer bewaart dan strikt noodzakelijk;
  • de toegang tot de gegevens beperkt.

Ja, ook u moet een register van verwerkingsactiviteiten opzetten

Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een register van verwerkingsactiviteiten bij te houden.

Maar de meeste organisaties met minder dan 250 medewerkers moeten dat ook als u persoonsgegevens van medewerkers verwerkt, of van uw klanten, cliënten en patiënten. Dit geldt helemaal als u extra gevoelige persoonsgegevens verwekt, of bijzondere persoonsgegevens over bijvoorbeeld godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

AVG VOOR HR: Kijk hier wat je nog moet regelen!

Hoe zit het met de beveiliging?

Uw organisatie moet een ‘gegevensbeschermingsbeleid’ opstellen, waarmee u vooraf in kaart brengt welke verwerkingen u uitvoert. Vervolgens bepaalt u welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn.

Zo moet u apparatuur goed beveiligen en moet u de data met persoonsgegevens versleuteld opslaan. Software moet up-to-date zijn en er moet goede antivirussoftware zijn. Hoe groter de bestanden, en hoe gevoeliger, hoe belangrijker de technische beveiliging is. U moet daarbij een afweging maken van technische mogelijkheden en uitvoeringskosten enerzijds, met de aard, omvang, context en de verwerkingsdoeleinden, en de risico's voor de rechten en vrijheden van betrokkenen anderzijds.

Verder moet u in de organisatie bijvoorbeeld bekijken wie er allemaal toegang moeten hebben tot gegevens en of er niet minder persoonsgegevens kunnen worden verwerkt. Ook kunt u denken aan het werken met protocollen en het afsluiten van verwerkersovereenkomsten.

Verwerkersovereenkomsten sluiten met externe verwerkers

Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een 'verwerkersovereenkomst' afsluiten. Denk bijvoorbeeld aan bedrijven die u helpen met de personeelsadministratie, recruitmentsystemen, telefoondiensten of verzuimregistratie. Maar ook bedrijven die de persoonsgegevens opslaan (externe servers, back-up servers).

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen, zodat de privacy van mensen goed worden beschermd.

Een verwerkersovereenkomst moet ten minste de volgende informatie bevatten:

  • schriftelijke instructies, onder meer voor de doorgifte van persoonsgegevens aan derden en het inschakelen van subverwerkers;
  • vertrouwelijkheid;
  • beveiliging van de verwerking;
  • verlenen van bijstand bij het vervullen van de plicht van de verwerkingsverantwoordelijke om te voldoen aan verzoeken van betrokken personen. Bijvoorbeeld wanneer iemand inzage wil in zijn of haar gegevens;
  • verlenen van bijstand met betrekking tot beveiliging en DPIA en voorafgaande raadpleging;
  • het wissen van persoonsgegevens na afloop van de dienst;
  • alle informatie ter beschikking stellen die nodig is om nakoming van verplichtingen aan te tonen en audits mogelijk te maken.

U moet een privacyverklaring maken

Mensen hebben het recht om te weten wat er met hun persoonsgegevens gebeurt. Daarom moet u betrokkenen op een begrijpelijke manier uitleggen welke gegevens u voor welk doel verwerkt en op welke grondslag. In de privacyverklaring moet het volgende worden vastgelegd:

  • Contactgegevens van uw organisatie en de eventuele functionaris gegevensbescherming.
  • De doelen en rechtsgrond van de verwerking of het belang.
  • De (categorieën van) ontvangers van de persoonsgegevens.
  • Of u persoonsgegevens doorgeeft buiten de EU of een internationale organisatie en op welke juridische grond.
  • De bewaartermijn van de persoonsgegevens.
  • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering. En het recht van de betrokkene om de gegeven toestemming in te kunnen trekken.
  • Dat de betrokkene een klacht kan indienen bij de privacytoezichthouder.
  • Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
  • Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt.
  • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

Rekening houden met de (nieuwe) privacyrechten van mensen:

U moet uw systemen, procedures en interne organisatie inrichten op de (nieuwe) privacyrechten van mensen. Want vanaf 25 mei 2018 moet u op de juiste manier kunnen reageren op verzoeken van mensen die hun rechten uitoefenen. Onder de AVG gelden de volgende rechten, ook voor medewerkers:

  • Recht op inzage van hun persoonsgegevens
  • Recht op rectificatie en aanvulling
  • Recht op vergetelheid
  • Recht op dataportabiliteit
  • Recht op beperking van de verwerking
  • Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
  • Recht van bezwaar

U moet een verzoek binnen één maand kunnen afhandelen, of aangeven waarom u geen gehoor geeft aan het verzoek. In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek, bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen één maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.

AVG VOOR HR: Kijk hier wat je nog moet regelen!

Neem een abonnement en download meer dan 300 actuele HR-instrumenten

Wilt u als HR-professional ook niks meer missen op uw vakgebied?