Menselijke aanpak, meesterlijke oplossingen.
MENU

De AVG: wat moet je daar als werkgever ook alweer mee?

De AVG is inmiddels ruim een jaar van toepassing. Toch wordt deze door veel organisaties nog niet goed nageleefd. Zo ook met betrekking tot de persoonsgegevens van het personeel. Dat is jammer. Niet alleen omdat de kans op een inbreuk in verband met persoonsgegevens bij deze organisaties groter is, maar ook omdat daardoor onnodig het risico wordt gelopen op maatregelen van de Autoriteit Persoonsgegevens. Tijd dus om daar verandering in te brengen!
 

Hoe zat het ook alweer?
 

De AVG legt aan organisaties verschillende verplichtingen op met betrekking tot de verwerking van persoonsgegevens. Hoe dat ook alweer zat en welke verplichtingen dat voor jou als werkgever zijn, volgt uit deze bijdrage. Mocht jouw organisatie met betrekking tot de verwerking van persoonsgegevens van het personeel nog niet aan de eisen van de AVG voldoen, dan helpt deze bijdrage wellicht om daar verandering in te brengen.
 

Gronden voor verwerking
 

Jouw organisatie mag van het personeel alleen persoonsgegevens verwerken als daar een wettelijke grondslag voor is. Voor de meeste verwerkingen zal rechtvaardiging kunnen worden gevonden in de arbeidsovereenkomst of de wettelijke verplichtingen die jouw organisatie als werkgever heeft. Echter, soms verwerken organisaties meer persoonsgegevens dan wettelijk is toegestaan. Bijvoorbeeld als in een verzuimregistratie niet alleen wordt opgenomen wanneer een werknemer ziek is, maar ook waarom een werknemer ziek is. Dat laatste mag niet. Het is dus belangrijk hier alert op te zijn.
 

Uit de AVG volgt dat een grond voor verwerking ook gelegen kan zijn in toestemming van de betrokkene. Werkgevers zijn dus snel geneigd de betrokken werknemers toestemming te vragen voor een bepaalde verwerking. Toch kun je dat beter niet doen. Toestemming is namelijk alleen een rechtsgeldige grond, als deze vrijelijk wordt gegeven. In een arbeidsrelatie is altijd sprake van een hiërarchische relatie, waardoor het vrijelijk geven van toestemming vaak niet mogelijk is. Probeer verwerkingshandelingen dus zoveel mogelijk te baseren op een van de andere in de AVG genoemde gronden.
 

Informatieplicht
 

Als werkgever moet je de werknemers informeren over wat er met hun persoonsgegevens gebeurt. Uit die informatie moet onder meer blijken met welk doel en op jouw organisatie hun persoonsgegevens verwerkt en welke rechten zij met betrekking tot hun persoonsgegevens kunnen uitoefenen. De informatie kan aan het personeel worden verstrekt in de vorm van een privacyverklaring.
 

Register van verwerkingsactiviteiten
 

Als organisatie dien je op grond van de AVG een register bij te houden waaruit blijkt welke persoonsgegevens worden verwerkt, met welk doel deze worden verwerkt, hoe lang deze worden bewaard, wie daar toegang toe heeft en op welke manier deze worden beveiligd. Ook de verwerkingen van persoonsgegevens van het personeel dienen daarin te worden opgenomen. Dit register heeft als doel dat jouw organisatie de Autoriteit Persoonsgegevens kan laten zien dat aan de eisen van de AVG wordt voldaan. De Autoriteit Persoonsgegevens kan dat namelijk komen controleren.
 

Functionaris voor Gegevensbescherming
 

Op grond van de AVG kan jouw organisatie verplicht zijn een Functionaris voor Gegevensbescherming aan te stellen. Voor private organisaties geldt die verplichting alleen als de kernactiviteit bestaat uit het op grote schaal regelmatig en stelselmatig observeren van personen of het op grote schaal verwerken van bijzondere persoonsgegevens. Daarvan is niet snel sprake, maar als jouw organisatie bijvoorbeeld gebruik maakt van cameratoezicht op de werkvloer of een systeem waarmee het personeel wordt gevolgd, kan jouw organisatie daar wel toe verplicht zijn. Het is belangrijk je daar als organisatie bewust van te zijn.
 

Afspraken met dienstverleners
 

Met betrekking tot personeelszaken komt het vaak voor dat een organisatie bepaalde werkzaamheden heeft uitbesteed aan een dienstverlener. Denk bijvoorbeeld aan de salarisadministratie of de arbodienst. Met die dienstverlener moeten afspraken worden gemaakt over de wijze waarop persoonsgegevens mogen worden verwerkt. Voor de inhoud van die afspraken is van belang of de betreffende dienstverlener mede het doel en de middelen van de verwerking bepaalt. Is dat niet het geval en bepaalt alleen jouw organisatie en doel en de middelen van de verwerking, dan is de dienstverlener een verwerker en moet tussen jouw organisatie en de dienstverlener een verwerkersovereenkomst worden gesloten. Is dat wel het geval, dan zijn jouw organisatie en de dienstverlener gezamenlijk verwerkingsverantwoordelijken en moet een ander soort overeenkomst worden gesloten om daarover afspraken te maken.
 

Privacyrechten werknemers
 

Naast dat de AVG aan de ene kant verplichtingen oplegt aan werkgevers, kent deze aan de andere kant rechten toe aan werknemers. Deze rechten kunnen werknemers uitoefenen met betrekking tot de persoonsgegevens die de werkgever van hen verwerkt. Zo heeft een werknemer bijvoorbeeld het recht op inzage. Op grond daarvan kan een werknemer om inzage verzoeken in zijn personeelsdossier. Het is voor jouw organisatie van belang om op de privacyrechten van werknemers te anticiperen, zodat adequaat kan worden gereageerd indien een werknemer daarop een beroep doet.
 

Win advies in!
 

De gevolgen van het niet naleven van de privacywetgeving kunnen groot zijn. Loop daarom geen risico en win advies in als je vragen hebt over het implementeren van de AVG in jouw organisatie.
 

Mochten wij je daarbij van dienst kunnen zijn, dan helpen wij je natuurlijk graag verder!
 

Mw. mr. M.A.J. (Marjolein) van Hulten, advocaat Haans Advocaten Bergen op Zoom B.V.

Terug naar het overzicht