De AVG komt eraan. Ook voor u als werkgever!

Per 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) WetgevingskalenderAlgemene verordening gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wbp) en is de AVG in de gehele Europese Unie van toepassing. Dit betekent dat alle organisaties in Nederland vanaf die datum aan de bepalingen in de AVG moeten voldoen

Ook voor HR is de impact van de AVG groot. Zo dient HR bijvoorbeeld sollicitatieprocedures, personeelsdossiers, bewaartermijnen, administratie en uitwisseling van gegevens bij ziekte en re-integratie in overeenstemming met de AVG te brengen. In dit kennisdocument bespreken we zes aandachtspunten over de AVG voor HR.

1. Breng informatiestromen binnen de HR-afdeling in kaart
Als start voor een zorgvuldige verwerking van persoonsgegevens, kan HR de informatiestromen in kaart brengen. Documenteer onder andere welke persoonsgegevens de HR-afdeling verwerkt, van wie persoonsgegevens en met welk doel deze worden verwerkt en met wie de persoonsgegevens worden gedeeld. Al deze informatie vormt de basis voor de voorbereiding op de AVG.

2. Bepaal hoe u omgaat met een datalek

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Uit deze definitie blijkt dat een datalek verder gaat dan slechts het verlies van persoonsgegevens (bijvoorbeeld wanneer een werknemer een laptop of usb-stick met persoonsgegevens verliest). Het omvat namelijk ook situaties als een verkeerd geadresseerde e-mail verzenden of wanneer bestanden met persoonsgegevens worden versleuteld door ransomware.

Als er sprake is van een datalek, dan is het allereerst belangrijk dat de werknemer die een (mogelijk) datalek constateert dit incident onmiddellijk meldt VoorbeelddocumentenProtocol melden datalek bij de verantwoordelijke. De verantwoordelijke kan dan de afhandeling van het datalek oppakken. Het is daarom van belang dat binnen de organisatie bekend is wie de verantwoordelijke is.

De verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en  beoordelen welke vervolgstappen genomen dienen te worden. Volgens de AVG moeten de volgende acties ondernomen worden:

  • Registratie van het datalek in een register datalekken;
  • Melding van het datalek aan de Autoriteit Persoonsgegevens,  tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Gezichtspunten die bij deze beoordeling een rol spelen zijn onder meer de omvang van het datalek, de aard van de gelekte gegevens, het aantal betrokken personen van wie persoonsgegevens zijn gelekt en de positie van de getroffen betrokkenen. De melding aan de Autoriteit Persoonsgegevens moet binnen 72 uur na de ontdekking van het datalek plaatsvinden;
  • Houdt het datalek een hoog risico in voor de rechten en vrijheden van natuurlijke personen, dan moet u het datalek ook melden aan de betrokkene.

Aangezien binnen een kort tijdsbestek verschillende acties ondernomen dienen te worden, raden wij aan een beleid datalekken op te stellen. In dit beleid kunt u op duidelijke wijze vast leggen hoe binnen uw organisatie wordt gehandeld indien er sprake is van een datalek of wanneer een datalek vermoed wordt.

3. De betrokkene heeft recht tot inzage in zijn persoonsgegevens

De betrokkene heeft recht op inzage in en afschrift van de persoonsgegevens die van hem worden verwerkt. Dit betekent bijvoorbeeld dat een werknemer op ieder moment aan de werkgever om inzage in en een kopie van zijn eigen personeelsdossier KennisdocumentenPersoneelsdossier kan verzoeken. Een werknemer hoeft geen reden te geven voor een inzageverzoek.

U moet de werknemer direct en in ieder geval binnen één maand na ontvangst van het verzoek de informatie verstrekken. Bij grote of complexe verzoeken kan die termijn met maximaal twee maanden worden verlengd.

Gelet op het recht van inzage, is het van belang dat de HR-administratie op orde is. Daarnaast moet u er rekening houden dat het ‘’heimelijk’’ opbouwen van een personeelsdossier risicovol is.

Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje, dan vallen deze aantekeningen niet onder het inzagerecht. Hiervoor is het wel belangrijk dat deze aantekeningen niet worden opgenomen in een dossier, bijvoorbeeld een personeelsdossier, of worden verstrekt aan derden. Worden de aantekeningen wel opgenomen in het personeelsdossier of verstrekt aan derden, dan heeft de werknemer ook recht op inzage in en afschrift van deze aantekeningen.

4. Persoonsgegevens mogen niet tot in oneindigheid worden bewaard

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. In een aantal andere wetten schrijven wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs Kennisdocumenten Bewaarplicht van een werknemer bijvoorbeeld, dient de werkgever vijf jaar te bewaren na einde dienstverband.

Ook bestaat er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.

5. Informatieplicht

Onder de AVG dient u werknemers, maar ook sollicitanten, heldere informatie te geven over onder andere de persoonsgegevens die u verwerkt, voor welk(e) doel(en) u deze gegevens verwerkt en de rechten die zij hebben. Dit wordt ook wel de informatieplicht genoemd.

Aan deze verplichting kunt u voldoen door een privacyverklaring op te stellen en deze aan uw werknemers en sollicitanten te verstrekken. De privacyverklaring dient u zo opstellen dat deze alle op grond van de AVG verplichte informatie bevat. Daarnaast dient de informatie toegankelijk en begrijpelijk te zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn.

Tip: plaats de privacyverklaring voor sollicitanten direct bij de vacature op de website en neem de privacyverklaring voor werknemers op in het personeelsreglement of personeelshandboek.
6. De zieke werknemer

Gegevens over de gezondheid worden aangemerkt als bijzondere persoonsgegevens. Deze gegevens mogen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of collectieve arbeidsovereenkomst.

Bij een wettelijke verplichting kunt u denken aan de verplichting van de werkgever om het loon van zieke werknemers twee jaar lang door te betalen en aan de re-integratieverplichtingen van de werkgever ten aanzien van zieke werknemers.