Waar kunnen we u mee helpen?

    Artikel

    Werkgever: Dit is wat u moet weten over de AVG

    Of het nu gaat om salarisgegevens, beoordelingen, ziektemeldingen, of het monitoren van uw werknemers, als werkgever moet u zich bij het verwerken van deze gegevens houden aan de privacyregels. Wij lichten voor u als werkgever toe wat de AVG betekent bij het verwerken van werknemersgegevens.

    Sinds 25 mei 2018 staan deze regels in de Algemene Verordening Gegevensverwerking (AVG), met bijbehorende Uitvoeringswet (UAVG). Veel van wat in de AVG en UAVG staat, gold ook al daarvoor, maar omdat veel organisaties een achterstand hebben in te halen qua privacy compliance, is er veel werk te doen.

    Daarnaast is er een aantal belangrijke nieuwe verplichtingen bijgekomen. Dit in combinatie met de verscherpte mogelijkheden tot handhaving en de forse sancties die kunnen worden opgelegd, maakt dat organisaties privacy hoog op de agenda moeten hebben staan. Bedrijven zullen daadwerkelijk kunnen aantonen dat zij voldoen aan de AVG. In haar toezichtkader 2018-2019 heeft de Autoriteit Persoonsgegevens aangekondigd dat zij dat actief gaat controleren. Zo is zij onder meer begonnen met een verkennend onderzoek naar de naleving van de verplichting om een verwerkingsregister te hebben. Verder zijn ook al de eerste rechterlijke uitspraken over de uitleg van de AVG binnen de arbeidsrelatie gewezen.

    Wat de AVG voor u betekent

    1. Verwerkingsregister

    Onder de AVG dient u een intern verwerkingsregister bij te houden. In dit register moet u opnemen welke persoonsgegevens u van uw werknemers verwerkt, voor welke doeleinden, hoe lang u de persoonsgegevens bewaart, wie toegang heeft tot deze persoonsgegevens en welke beveiligingsmaatregelen u toepast. Dit verwerkingsregister heeft ten doel dat u richting de toezichthouder, de Autoriteit Persoonsgegevens (AP), kunt verantwoorden dat u zich aan uw privacy verplichtingen houdt. De AP kan bij u komen checken of u alle verwerkingen op de juiste wijze in het register heeft opgenomen. 

    Voor het register gelden geen vormvoorschriften. Dat betekent dat u zelf mag bepalen hoe u het register vormgeeft. Het mag bijvoorbeeld in Excel, maar dat is vooral voor grotere organisaties niet raadzaam. Wij adviseren in dat geval liever gebruik te maken van één van de IT-tools die hiervoor inmiddels speciaal zijn ontwikkeld. 

    2. Functionaris voor Gegevensbescherming

    Onder de AVG moet u mogelijk een Functionaris voor Gegevensbescherming (FG) aangesteld hebben. Dat is in ieder geval verplicht voor alle overheidsinstanties. Voor private organisaties geldt de FG-verplichting alleen als hun kernactiviteit bestaat uit het op grote schaal regelmatig en stelselmatig observeren van personen, of het op grote schaal verwerken van gevoelige persoonsgegevens, zoals gezondheidsgegevens. Indien u bijvoorbeeld gebruikmaakt van cameratoezicht op de werkvloer of een personeelsvolgsysteem heeft ingezet, kan het zijn dat u een FG moet hebben. Het is ook mogelijk op vrijwillige basis een FG te benoemen.

    De FG dient te adviseren over wat de AVG betekent voor uw organisatie en ook toe te zien op de naleving daarvan. Verder is de FG het aanspreekpunt voor privacykwesties in uw organisatie, zowel voor de AP als voor uw werknemers. De FG moet daartoe aan bepaalde eisen voldoen, zoals op hoog niveau kennis hebben van de privacyregelgeving, en ook zijn "mannetje" staan wanneer het gaat om ingewikkelde privacy-aangelegenheden in uw organisatie.

    U kunt hiervoor iemand intern aanstellen als FG, maar het is ook toegestaan om het extern te beleggen. Bij de keuze tussen het intern of extern benoemen van een FG kan worden meegenomen dat de functie parttime mag worden vervuld. Als iemand de functie van FG op parttimebasis vervult, zal moeten worden gewaarborgd dat geen sprake is van belangenverstrengeling. Sommige functies laten zich daardoor lastig verenigen met de FG-taak. Uw HR-manager kan bijvoorbeeld niet ook de FG zijn.

    3.     Toestemming vragen: niet doen, maar wel van de OR

    Als werkgever mag u alleen persoonsgegevens van uw werknemers verwerken als u daarvoor een geldige wettelijke grondslag heeft. Vaak zijn werkgevers geneigd om hun personeel om akkoord te vragen voor het verwerken van allerhande persoonsgegevens, bijvoorbeeld bij het invoeren van een internetbeleid. Dat kunt u beter niet doen, omdat toestemming van uw werknemers in dat geval geen geldige basis voor het verwerken van uw werknemersgegevens biedt. De toestemming moet vrijelijk zijn gegeven, terwijl dat in de werknemer-werknemer relatie vaak niet mogelijk is vanwege de hiërarchische relatie.

    In de meeste gevallen heeft u van de werknemers ook geen toestemming nodig. De meeste werknemersgegevens zal u verwerken ter uitvoering van de arbeidsovereenkomst die u met hen heeft gesloten. Dat geldt bijvoorbeeld voor de verwerking van hun salarisgegevens of beoordelingsgegevens. Ook kan het zijn dat u een gerechtvaardigd bedrijfsbelang heeft. Dat geldt bijvoorbeeld voor urenregistratiesystemen, cameratoezicht of een klokkenluidersregeling. In sommige gevallen heeft u een wettelijke plicht tot het verwerken van bepaalde gegevens, zoals het BSN van uw werknemers. Op welke grondslag de gegevensverwerking ook is gebaseerd, u moet steeds goed de privacybelangen van uw personeel in acht nemen. U mag nooit meer persoonsgegevens verwerken dan nodig, en als er andere middelen zijn om uw doel te bereiken die minder privacy-impact hebben, moet u die toepassen.

    Indien in uw organisatie een ondernemingsraad (OR) is aangesteld, dient u zijn instemming in ieder geval te hebben voor het vaststellen, wijzigen of intrekken van een regeling aangaande het verwerken of de bescherming van persoonsgegevens van personeel. Dit staat los van de rechtsgrond voor het verwerken van uw werknemersgegevens. De instemming van de OR komt niet in de plaats van individuele instemming van een werknemer, maar zoals aangegeven is dit laatste doorgaans sowieso geen goede grond om werknemersgegevens te verwerken.

    4.     Privacybeleid

    U dient uw werknemers op een beknopte, transparante, begrijpelijke en toegankelijke wijze te informeren over de verwerking van hun persoonsgegevens. U mag zelf bepalen hoe u aan uw informatieplicht wilt voldoen. U kunt uw privacy beleid opnemen in uw personeelshandboek, maar dat beleid mag ook in een of meer privacyverklaringen worden vastgelegd, of door het aanbrengen van stickers of posters op plekken die voor de werknemers zichtbaar zijn. Wat een gepaste wijze van informeren is, hangt af van de gegevensverwerking waar het om gaat.

    Het is daarbij goed om te weten dat de informatieplicht onder de AVG is uitgebreid. Aspecten waarover u uw werknemers tenminste dient te informeren zijn: de verwerkingsdoeleinden en grondslag voor de verwerking, de geldende bewaartermijnen, hun privacyrechten, alsook hun recht om een klacht in te dienen bij de AP. Per situatie dient in kaart te worden gebracht over welke zaken uw werknemers verder moeten worden geïnformeerd.

    5.     Afspraken met dienstverleners

    Indien u de salarisverwerking heeft uitbesteed, of als u bijvoorbeeld werknemerstevredenheidsonderzoeken laat uitvoeren, moet u met deze dienstverleners afspraken maken over de wijze waarop zij uw werknemersgegevens mogen verwerken. Wat voor afspraken in een dergelijke overeenkomst moeten staan, hangt af van de privacyrol van deze partijen. Dienstverleners zullen vaak als 'verwerkers' kwalificeren. Dit houdt in dat zij uw werknemersgegevens alleen voor u en niet (ook) voor eigen doeleinden mogen verwerken. In andere gevallen bepalen de dienstverleners zelf ook de doeleinden van de gegevensverwerking. In dat geval zijn deze dienstverleners, evenals u, een verwerkingsverantwoordelijke, zoals bijvoorbeeld aan Arbodienst. De AVG stelt nieuwe eisen aan welke afspraken u met de dienstverleners moet maken. Het kan gaan om een verwerkersovereenkomst of een overeenkomst tussen twee gezamenlijke verwerkingsverantwoordelijken.

    6.     Privacyrechten van werknemers

    Onder de AVG zijn de privacyrechten van werknemers uitgebreid. Werknemers die hun rechten uitoefenen, zoals het recht op inzage, dienen daarbij in principe binnen een maand te worden geïnformeerd over of u gevolg geeft aan het verzoek. Een afwijzing van een verzoek dient gemotiveerd te zijn en informatie te bevatten over de mogelijkheid voor de werknemer om een klacht bij de AP in te dienen. Sinds de introductie van de AVG hebben zich twee kantonrechters gebogen over het recht van een werknemer op inzage/kopie van het personeelsdossier. Uit de uitspraken van de kantonrechters volgde onder meer dat (i) een personeelsdossier onder het recht van inzage zoals opgenomen in de AVG valt en (ii) een werknemer op grond van de AVG recht heeft op een kopie van zijn personeelsdossier, ook al heeft de werknemer de desbetreffende gegevens al eens eerder ontvangen. De kosten daarvan zijn voor rekening van de werkgever.

    7.     Sancties

    Het sanctieregime is onder de AVG aanmerkelijk verzwaard. Naast het opleggen van een last onder dwangsom en bestuursdwang kan de AP onder de AVG sneller een boete opleggen: zij is niet langer verplicht eerst een bindende aanwijzing op te leggen. Verder kan de AP aanzienlijk hogere boetes opleggen. De boetemaxima zijn onder de AVG opgehoogd tot EUR 20 miljoen of 4% van uw wereldwijde jaaromzet. Dit boetemaximum geldt bijvoorbeeld als de gegevensverwerking een geldige grondslag mist, of als de rechten van de betrokken werknemers worden genegeerd. Voor het niet aanstellen van een FG of het onzorgvuldig bijhouden van het verwerkingsregister, kunnen de boetes oplopen tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet. Uitspraken van de AP plegen te worden gepubliceerd, zodat u ook rekening dient te houden met imagoschade.

    Nog los van het risico op handhaving en sancties is het goed om aandacht te schenken aan privacy compliance. Met privacy compliance in uw organisatie is sprake van een gezonder werkklimaat, dat ook toekomstgericht is. 

    Laat u informeren

    De impact van de AVG kan groot zijn. Laat u daarom goed informeren door onze specialisten. Heeft u vragen over de toepassing van de AVG op uw organisatie in de HR-context, neem dan contact op met Elisabeth Thole of Cara Pronk.