25 mei nadert...

AVG: wat betekent dat op arbeidsrechtelijk gebied voor jouw onderneming?

Janine Bauer
De Algemene Verordening Gegevensbescherming (AVG) is reeds enige tijd geleden in werking getreden maar met ingang van 25 mei 2018 vervangt deze verordening ook daadwerkelijk de huidige Wet Bescherming Persoonsgegevens (Wbp).

Vanaf 25 mei 2018 moeten alle organisaties in Nederland aan de AVG voldoen, grote maar ook kleine organisaties in welke vorm dan ook, N.V’s, B.V.’s, maar ook eenmanszaken. Iedereen die persoonsgegevens – anders dan voor persoonlijke of huishoudelijke doeleinden – verwerkt krijgt met de AVG te maken en moet er ook echt iets mee. 

Denk bijvoorbeeld aan de verwerking van de gegevens van sollicitanten bij sollicitatieprocedures, het verwerken van persoonsgegevens in de personeelsdossiers, het bijhouden en uitwisselen van gegevens bij ziekte en re-integratie van een werknemer en zelfs indien u de contactgegevens van een visitekaartje digitaal opslaat verwerk je persoonsgegevens en moet je handelen conform de AVG. 

Niet op alle punten even duidelijk

Omdat de AVG een vrij uitgebreide verordening is die ook niet op alle punten even duidelijk is heeft de autoriteit Persoonsgegevens op haar website een vrij duidelijk stappenplan opgenomen. In dit stappenplan wordt globaal en algemeen omschreven welke stappen je dient te doorlopen. Aan mij de schone taak om kort en bondig toe te lichten wat de AVG op arbeidsrechtelijk- c.q. HR-gebied voor jou betekent. 

Vanzelfsprekend is het zaak om de informatiestromen in kaart te brengen en voor het arbeidsrechtelijke stuk ziet dit vaak op de HR-afdeling. Daarbij is van belang om vast te stellen welke persoonsgegevens hier verwerkt worden, van wie de persoonsgegevens verwerkt worden, met welk doel deze worden verwerkt en met wie deze persoonsgegevens worden gedeeld. Stel daarbij ook de vraag of de desbetreffende persoon toestemming heeft gegeven voor het verwerken (en eventueel delen) van zijn/haar persoonsgegevens. Het is immers nieuw onder de AVG dat aangetoond moet kunnen worden dat (geldige) toestemming nodig is gegevens voor het verwerken van persoonsgegevens. 

Heldere informatie

Wees duidelijk ten aanzien van de verwerking van persoonsgegevens binnen de organisatie. De AVG verplicht je werknemers, stagiaires, sollicitanten, et cetera heldere informatie te geven over onder andere de persoonsgegevens die worden verwerkt, met welk doel dit geschiedt en welke rechten de betrokkenen in dit kader hebben. Zo is het raadzaam om een privacyverklaring op te stellen en deze aan de betrokkenen te verstrekken. Deze privacyverklaring kan opgenomen worden in de arbeidsovereenkomst, het personeelshandboek, maar kan eventueel ook geplaatst worden bij de vacature(tekst). 

Een ander punt waar men rekening mee dient te houden is dat betrokkenen recht hebben tot inzage in en afschrift van hun persoonsgegevens. Een werknemer kan derhalve op ieder moment – en zonder reden – verzoeken tot inzage in zijn/haar personeelsdossier en kan hier ook een kopie van vragen. In principe dient dit verzoek direct gehonoreerd te worden. Enkel in het geval van grote dan wel complexe verzoeken kan de termijn om gehoor te geven aan het verzoek opgerekt worden naar maximaal twee maanden. 

Dossieropbouw

Het voorgaande betekent dan ook dat het opbouwen van een dossier zoals veel werkgevers (leidinggevenden) dat kennen – namelijk om uiteindelijk tot een beëindiging van de arbeidsovereenkomst te kunnen komen – wellicht anders vorm gegeven dient te worden. Adviezen van juristen ten aanzien van de opbouw van zo’n dossier, persoonlijke notities die zien op het functioneren of het gedrag van een werknemer en ‘anonieme’ klachten van collega’s zullen thans vaak in het personeelsdossier opgenomen worden. Een personeelsdossier welke onder de AVG op ieder moment opgevraagd kan worden door de desbetreffende werknemer zelf. Het is de vraag hoe hiermee om te gaan zodat enerzijds wel voldaan wordt aan de AVG, maar anderzijds voorkomen kan worden dat deze vertrouwelijke en gevoelige informatie in handen komt van de desbetreffende werknemer. Houd er rekening mee dat zodra stukken zoals hiervoor genoemd in het personeelsdossier opgenomen worden dan wel verstrekt worden aan derden de desbetreffende werknemer ook recht heeft op inzage van deze stukken. 

Een ander punt om even bij stil te staan is de bewaartermijn van de persoonsgegevens. Want hoewel in de AVG zelf geen bewaartermijnen opgenomen zijn, is hierin wel bepaald dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld. Voor het bewaren van persoonsgegevens van sollicitanten na het einde van een sollicitatieprocedure staat maximaal vier weken. Wens je de persoonsgegevens van een sollicitant langer te bewaren, dan dien je hiervoor toestemming te vragen aan de sollicitant. 

Wat te doen bij datalek

Wat gebeurt er als sprake is van een datalek? En wat is een datalek? Van een datalek is sprake in het geval van een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling van de organisatie was. 

Nog niet zo lang geleden werd ik benaderd door een cliënte (werkgever) van mij. Eén van haar oud werknemers had een groot deel van het relatiebestand gedownload en ‘overhandigd’ aan de nieuwe werkgever (concurrent). Een voorbeeld dat tot de verbeelding van menig werkgever spreekt en ja, dit betreft dus ook een datalek. 

Een datalek moet altijd gemeld worden. In eerste instantie bij de verantwoordelijke. Derhalve dient binnen iedere organisatie iemand hier verantwoordelijk voor te zijn. Dat kan een Functionaris Gegevensbeschermer zijn (FG, binnen sommige organisaties is het verplicht een dergelijk FG aan te stellen), maar er kan ook een ‘gewone’ werknemer aangewezen worden als verantwoordelijke. 

Autoriteit Persoonsgegevens

Het is vervolgens aan de verantwoordelijke om de aard en de ernst van het datalek in kaart te brengen, alsmede om te beoordelen welke acties ondernomen dienen te worden. In dat kader schrijft de AVG het volgende voor:

-    Registratie datalek in het register datalekken (altijd);
-    Melding datalek aan de Autoriteit Persoonsgegevens binnen 72 uur na het ontdekken van het datalek(in sommige gevallen); 
-    Melding datalek aan betrokkenen (in sommige gevallen).

Melding aan de Autoriteit Persoonsgegevens is aan de orde indien het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarbij spelen zaken als de omvang van het datalek, de aard van de gelekte gegevens, de posities van de betrokken personen een grote rol. 

Het datalek dient gemeld te worden aan de betrokken personen indien sprake is van een hoog risico voor de rechten en de vrijheden van natuurlijke personen c.q. betrokken personen. 

Het is raadzaam om ook een beleid datalekken op te stellen, zodat in het geval van een datalek duidelijk is hoe gehandeld moet worden en ook daadwerkelijk snel én binnen de termijnen gehandeld kan worden. 

Conclusie

Om een lang verhaal kort te maken, het is goed en raadzaam om je hier wel (even) in te verdiepen of om iemand binnen jouw organisatie verantwoordelijk te maken voor de privacy en het naleven van de AVG. Sancties zullen uiteindelijk (waarschijnlijk) opgelegd worden indien blijkt dat je niet handelt conform de AVG. Sancties van maximaal 20 miljoen euro of 4 procent van jouw (wereldwijde) omzet. 
 

afbeelding van Janine Bauer
Door: Janine Bauer

Janine Bauer | Arbeidsrechtjurist voor het collectief biedrA

Bekijk alle artikelen van Janine