Meer privacyrechten voor werknemers per 25 mei 2018: zorg dat je bent voorbereid!

Dat een werkgever persoonsgegevens van een werknemer verwerkt is logisch en wettelijk verplicht. Maar vaak worden meer NAW gegevens geregistreerd dan strikt noodzakelijk.

Het verwerken van deze aanvullende gegevens mag een werkgever vanaf 25 mei 2018 (na de inwerkingtreding van de Algemene Verordening Gegevensbescherming “AVG”) alleen nog als zij voorafgaande, expliciete en ondubbelzinnige toestemming heeft van de werknemer. Volgens de AVG moet alle software die een werkgever gebruikt voldoen aan ‘privacy by design’: zo min mogelijk mensen dienen toegang te hebben tot privacygevoelige gegevens van werknemers, zo min mogelijk gegevens dienen te worden verwerkt en zo kort mogelijk te worden bewaard.

Meldplicht

Per 25 mei a.s. heb je als werkgever een meldplicht bij aanvang van de arbeidsovereenkomst om je werknemer te informeren in begrijpelijke taal over wie toegang heeft tot de gegevens, met welk doel je deze registreert, hoe je die gegevens verwerkt, met wie je deze gegevens deelt en hoe lang je die gegevens bewaard. Je doet er daarom verstandig aan om een privacyverklaring of een privacyreglement op te stellen, dan wel deze informatie in het personeelshandboek op te nemen.

Check jouw handboek hier ook op!

 

Met welke privacyregels dien je als werkgever vanaf 25 mei a.s. verder rekening te houden?

– Zorg voor toestemming van iedere werknemer als je meer gegevens registreert dan wettelijk noodzakelijk is en maak vervolgens een proportionaliteitstoets. Aan de intrekking van de gegeven toestemming mogen geen extra voorwaarden worden gesteld, noch andere vormvereisten worden verbonden.

– Er dient een transparant en helder beleid te zijn met betrekking tot de verwerking van persoonsgegevens. Vragen van een werknemer hierover dienen binnen 1 maand te zijn beantwoord. Vormen deze gegevens bijvoorbeeld basis voor een bonus of salarisverhoging, dan dient dat kenbaar te worden gemaakt.

– De werknemer krijgt recht om een kopie te vragen van zijn volledige personeelsdossier, welke de werkgever in PDF-vorm binnen 1 maand moet verstrekken. Nu kan een werkgever nog gegevens weigeren in verband met de privacyschending van derden.

– De werknemer heeft het recht op dataportabiliteit. Dat wil zeggen dat de werknemer het recht heeft om zijn persoonsgegevens mee te kunnen nemen op bijvoorbeeld een USB-stick.

– De werknemer heeft het recht op vergetelheid. Als de verwerking van de persoonsgegevens niet langer nodig zijn voor de verwezenlijking van het doel, dan kan de werknemer vorderen dat deze gegevens definitief worden verwijderd.

– Als werkgever wordt je verplicht om een Functionaris Gegevensverwerker aan te stellen in de onderneming, als aan de voorwaarden daarvoor wordt voldaan.

– Een werkgever met meer dan 250 werknemers en ondernemingen die op grote schaal persoonsgegevens verwerken, moeten registers bijhouden van de persoonsgegevens verwerking.

– Als je als werkgever sollicitanten googelt of gebruik maakt van gegevens verkregen via social media of internet (ook al zijn die bronnen openbaar), dan dien je dit vooraf in de advertentie kenbaar te maken en aan te geven dat dit onderdeel van de sollicitatieprocedure kan zijn en dat de sollicitant door te solliciteren zijn toestemming daaraan verleent. Immers, je verwerkt dan strikt juridisch genomen al persoonsgegevens en de Autoriteit Persoonsgegevens heeft kenbaar gemaakt dat het checken van een potentiele werknemer via een Twitter of Facebook accountant niet is toegestaan.

– Zorg dat de werknemers bewust worden van datalekken en dat het beleid werkbaar is, zodat datalekken zo veel als mogelijk wordt voorkomen. Per 25 mei 2018 dient elk datalek worden gemeld bij de Autoriteit Persoonsgegevens.

– Toegankelijke digitale personeelsregistratiesystemen dienen voorzien te zijn van een tweefactor authenticatie (naast een wachtwoord is er ook een toegangscode die moet worden ingevoerd). Vermoedelijk zal het niet meer zijn toegestaan om personeelsgegevens te verwerken in daarvoor niet geschikte software, zoals Word of Excel.

 

De AVG heeft niet alleen gevolgen ten aanzien van de verwerking van persoonsgegevens van werknemers, maar ook ten aanzien van bijvoorbeeld klanten.  Zorg er voor dat je jouw onderneming ook ten aanzien van die verwerkingen tegen het licht houdt en daar waar nodig passende maatregelen treft.