Print deze pagina

30 april 2018

Wat betekent de Algemene verordening gegevensbescherming (AVG) voor u als werkgever?

U heeft er vast al iets over gehoord of gelezen: ‘de Algemene verordening gegevensbescherming’ (hierna: AVG). Deze verordening beoogt de persoonsgegevens van natuurlijke personen te beschermen. Vanaf 25 mei 2018 treedt deze Europese verordening in werking. Vanaf dat moment gelden er voor u als werkgever nieuwe regels. Hieronder zal ik een aantal belangrijke verplichtingen voor u als werkgever bespreken.

Toepassingsbereik AVG

Persoonsgegevens

De AVG beoogt de natuurlijke persoon tegen bewerking van de persoonsgegevens te beschermen. Maar wat valt er onder het begrip persoonsgegevens? De AVG omschrijft persoonsgegevens als: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Dit begrip is behoorlijk breed. Zo spreekt voor zich dat het BSN-nummer van een werknemer onder deze begripsbepaling valt. Maar ook de GPS-gegevens van een vrachtwagenchauffeur kunnen hieronder vallen.

Verwerking

Een ander belangrijk begrip in de AVG is ‘verwerking’. Verwerking is: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens “. Als werkgever bent u verplicht een administratie van bepaalde gegevens van uw werknemers bij te houden en deze aan de Belastingdienst te verstrekken.  Het opslaan en verstrekken van deze gegevens vallen onder het begrip ‘verwerking’. Daarnaast bewaart u als werkgever ook gegevens van uw sollicitanten. Ook dit valt onder het verwerkingsbegrip in de zin van de AVG.

Hieruit blijkt wel dat u als werkgever als snel onder het toepassingsbereik van de AVG valt. U ontkomt dan ook niet aan de verplichtingen die uit de AVG voortvloeien.

Informatieplicht

De werknemer moet kunnen weten welke persoonsgegevens u bewaart. Wanneer een werknemer wil weten waarom, waar of hoe lang deze gegevens worden bewaard, dient u deze informatie in principe schriftelijk of elektronisch te verstrekken. Deze informatie moet daarnaast begrijpelijk worden aangeleverd. Het is dus belangrijk om na te gaan welke persoonsgegevens u van uw sollicitanten of werknemers bewaart en of er nog een grond is om deze gegevens te bewaren. Een wettelijke plicht – zoals bijvoorbeeld de administratieplicht van de Belastingdienst – zou een grond kunnen zijn.

Wanneer u een arbeidsovereenkomst met een nieuwe werknemer sluit, moet u de werknemer informeren over zijn privacy-rechten. U kunt hierbij denken aan een standaardbrief die u bij het aangaan van een nieuwe arbeidsovereenkomst overhandigd.

Rectificatie en wissen van persoonsgegevens

Wanneer er in het personeelsdossier van de werknemer fouten blijken te staan, moet u dat op verzoek van de werknemer corrigeren. Dit geldt ook voor de gegevens die u aan derden hebt verstrekt. Hierbij kunt u denken aan het bedrijf dat u inschakelt om de loonadministratie van uw werknemers te doen. Ook bij dit bedrijf zullen de gegevens aangepast moeten worden.

Werknemers of sollicitanten hebben ook het recht om hun gegevens bij u te wissen. Het kan bijvoorbeeld zijn dat een sollicitant u toestemming heeft gegeven om haar gegevens te bewaren voor als er een vacature bij uw bedrijf vrijkomt.  Wanneer de sollicitant zijn toestemming hiervoor na enige tijd intrekt, bent u verplicht de persoonsgegevens van deze sollicitant te wissen.

Bijhouden van een register

Heeft u meer dan 250 werknemers in dienst? Dan bent u verplicht een register op te stellen, waarin staat welke persoonsgegevens worden bewaard. In dit register moet u per gegeven aangeven waarom u dit gegeven bewaart. Oftewel wat is de wettelijke grondslag voor het bewaren van dit gegeven? Of is er mogelijk toestemming van de werknemer dat u dit gegeven mag bewaren?

Er zijn ook werkgevers die minder dan 250 werknemers in dienst hebben die dit register ook moeten opstellen. Het gaat dan om bedrijven die persoonsgegevens op grote schaal verwerken. U kunt hierbij denken aan uitzendbureaus. Ook bedrijven die gevoelige informatie van de werknemers hebben, moeten een register bijhouden. Bedrijven die zich bezighouden met het behandelen van zieke werknemers zullen dus ook een register moeten opstellen.

Functionaris voor de gegevensverwerking

Een functionaris voor de gegevensverwerking moet toezicht houden op de naleving van de AVG binnen het bedrijf. Hij zal u en uw werknemers moeten adviseren over de rechten en verplichtingen uit de AVG. Deze functionaris moet worden aangesteld bij onder andere een organisatie die bijzondere persoonsgegevens – zoals medische gegevens – verwerken en waarvan dit een kernactiviteit is. Arbodiensten zullen hierdoor een functionaris voor de gegevensverwerking moeten aanstellen. Wanneer uw bedrijf op grote schaal individuen volgt, moet u ook een functionaris voor de gegevensverwerking hebben. Dit zou voor grote bedrijven binnen de marketingsbranche kunnen gelden.

Melden datalek

Heeft uw HR-manager personeelsdossiers met belangrijke persoonsgegevens van uw werknemers in de trein laten liggen? Meld dit dan meteen bij de Autoriteit Persoonsgegevens. Daarnaast dient u ook de werknemers waarom het draait, hierover te informeren.

mr. G. (Gerrit) van den Brink

deel: