AVG

Zorg ervoor dat de relevante mensen in je organisatie op de hoogte zijn van de nieuwe privacyregels. Bijvoorbeeld je HR manager of administrateur. Zij moeten inschatten wat de impact van de AVG is op je huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG tijd kost en begin er daarom zo snel mogelijk mee.

Onder de AVG hebben de mensen van wie je persoonsgegevens verwerkt meer en verbeterde  Privacyrechten gekregen. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage (welke gegevens heb je van hen?) en het recht op correctie en verwijdering.

Maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Breng je gegevensverwerkingen in kaart. Voor welke processen gebruikt je organisatie persoonsgegevens? Bijvoorbeeld voor de salarisadministratie. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. Je kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.

Onder de AVG kan je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een verwerking van persoonsgegevens in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Je moet een DPIA uitvoeren als je beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

In onze sector zou het kunnen zijn dat je zo’n analyse moet uitvoeren als je bedrijf bijvoorbeeld de gegevens van huurders van een woningcorporatie beheert.

Komt er uit een DPIA naar voren dat je beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvang je een schriftelijk advies van de AP.

Maak je organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen je organisatie kunt invoeren.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.

Heb je de gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Bijvoorbeeld een salarisverwerker. Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Heeft je organisatie vestigingen in meerdere EU-lidstaten? Of hebben je gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.

Werkgevers verwerken veel persoonsgegevens van hun werknemers. Deze zijn vaak opgeslagen in een personeelsdossier. Werkgevers mogen alleen een personeelsdossier aanleggen als dat noodzakelijk is om een arbeidsovereenkomst.

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over de werknemer kan onderbouwen. Naast persoonlijke gegevens gaat het om informatie over arbeidsovereenkomsten en arbeidsvoorwaarden, functioneren en ontwikkeling, ziekteverzuim en bijzonderheden. Werkgevers moeten daarbij rekening houden met de privacy van hun werknemers.

In de AVG staat niets over welke gegevens wel of niet bewaard mogen worden, maar de AVG geeft wél aan onder welke voorwaarden persoonsgegevens in het personeelsdossier mogen worden bewaard. Je moet dus goed nadenken over welke gegevens je in het personeelsdossier wilt bewaren. Zo mogen de arbeidsovereenkomst en gegevens die nodig zijn voor de loonadministratie, worden bewaard op grond van de grondslagen uitvoering van een overeenkomst en uitvoering van een wettelijke bepaling. Maar medische gegevens over bijvoorbeeld ziekteverzuim mogen niet worden bewaard. Foto’s van werknemers mogen alleen met toestemming van de werknemer worden bewaard of gebruikt.

Ook hier is het belangrijk om in een privacy-reglement te hebben, waarin is vastgelegd:

• Welke gegevens er bewaard of verwerkt worden en wat het doel hiervan is;
• Hoe de beveiliging van de gegevens is geregeld en wat de bewaartermijnen zijn;
• Specifiek voor het personeelsdossier: inzagerecht van de werknemer en het recht op correctie van personeelsdossier.

De voorwaarden die de AVG geeft voor het aanleggen van personeelsdossiers, kun je lezen op de website van de Autoriteit Persoonsgegevens. 

Je mag dit opnemen in de arbeidsovereenkomst. Maar hier kleven een aantal haken en ogen aan. Belangrijk is dan dat, wanneer je dit opneemt in de arbeidsovereenkomst, je de arbeidsovereenkomst moet aanpassen of een nieuwe arbeidsovereenkomst moet opstellen als de werknemer de toestemming intrekt. Het is praktischer om dit los van de arbeidsovereenkomst te regelen in een apart toestemmingsformulier.

Het begint bij het register. Het overzicht van de verwerkingen van persoonsgegevens. Daarin kun je vermelden wat je doet met persoonsgegevens. Inzage in het personeelsdossier kan een medewerker aanvragen bij de HR afdeling/verantwoordelijke.

Je hoeft geen toestemming te vragen aan je personeel. Maar je moet wél je personeel informeren over de uitbesteding van de loonadministratie en het ziekteverzuim en een privacybeleid hebben. Overigens blijf je in dit geval eindverantwoordelijke voor de verwerking van de gegevens en dien je een verwerkersovereenkomst af te sluiten met het loonadministratiebedrijf en de verzuimbegeleider.

Je legt eerst vast in een privacybeleid wat het doel van het verwerken van deze gegevens is en alle overige zaken die nodig zijn om een privacybeleid te formuleren op dit punt. Daarna informeer je de werknemer over het doel van het vastleggen, bewaartermijn etc.

Ja, een papieren personeelsadministratie valt ook onder de definitie van bestand, en valt daardoor dus ook onder de AVG. Je moet de personeelsadministratie in het privacybeleid opnemen.

De AVG gaat niet in op de rol van de ondernemingsraad (OR) of personeelsvertegenwoordiging. Op grond van de Wet op de ondernemingsraden (WOR) moet een werkgever aan de OR instemming vragen voor een regeling voor voorzieningen die gericht zijn op, of geschikt zijn voor, de waarneming van of controle op de aanwezigheid van gedrag of prestaties van de in de onderneming werkzame personen.
Dit instemmingsrecht heeft met name betrekking op het aanleggen van een persoonsregistratie en op de door de werkgever opgestelde regelingen over het verzamelen, bewaren, gebruiken en beveiligen van deze persoonsgegevens. Ook een regeling voor bijvoorbeeld cameratoezicht, personeelsvolgsystemen of tijdsregistratiesystemen valt onder het instemmingsrecht van de OR.
Ga je beleid over persoonsgegevens opstellen of aanpassen, dan moet je dat beleid ter instemming voorleggen aan de ondernemingsraad of je personeelsvertegenwoordiging. Het kan daarom handig zijn om een vertegenwoordiger uit het medezeggenschapsorgaan bij de voorbereiding te betrekken.

De medewerkers verstrekken de informatie zelf en dan is het niet nodig om nog expliciet toestemming te verlenen voor het verwerken van de gegevens. Als je de rekening voor een ander doel wilt gebruiken dan alleen het betalen van de vergoeding volgens cao, dan moeten ze daar wel toestemming voor geven.

Als je de cv’s wilt behouden, dan moet je toestemming aan de betrokken personen vragen. Als het om nieuwe sollicitanten gaat, kan je bij de sollicitatieprocedure de sollicitant direct om toestemming vragen. Wil je dat niet, dan moeten de cv’s vier weken na het einde van de sollicitatieprocedure vernietigd worden.

Ja, dat mag. In de Wka wordt een (hoofd)aannemer gevrijwaard van de aansprakelijkheid voor loonheffingen als hij kan aantonen welke arbeidskrachten op een project werkzaam zijn geweest. Hij kan dit doen door aan zijn onderaannemers te vragen de NAW-gegevens en BSN van de werknemers van de onderaannemers op de mandagenstaten te noteren. Dit is ook vastgelegd in de Wet ketenaansprakelijkheid en daarom een wettelijke grondslag in het kader van de AVG.

Veel opdrachtgevers verlangen nog altijd mandagenregisters bij facturen voor onderaanneming. Je mag mandagenregisters naar de opdrachtgevers versturen. En je mag op de mandagenstaten NAW-gegevens en BSN vermelden op grond van de Wka.

Nee, de Wka geeft een grondslag, een wettelijke verplichting, voor het verzamelen van persoonsgegevens.

Nee, dat mag niet. Een zzp’er valt niet onder de werkingssfeer van de Wka. De Wka gaat immers over aansprakelijkheid t.a.v. de betaling van de loonheffingen en loonbelasting van werknemers. Een zzp’er is geen werknemer. Je mag wél aan de poort de identiteit van de zzp’er controleren.

Nee, dit mag niet. Je mag wél BSN, NAW en evt. het documentnummer van een ID-bewijs verschaffen aan een hoofdaannemer. Je moet je werknemers hierover wel  informeren door bijvoorbeeld het een en ander in een privacybeleid vast te leggen.

Nee, je mag vooraf (vooraanmelding) geen ID-bewijzen opvragen van werknemers van onderaannemers. Je mag wel om NAW-gegevens vragen om zo toegangspassen te maken, mits je een privacybeleid hebt opgesteld waarin het doel van het gebruik van de persoonsgegevens is opgenomen en je de werknemers van de onderaannemer hierover geïnformeerd hebt. Je mag de identiteit van de betreffende persoon wel controleren aan de poort van de bouwplaats.

Je mag wel de nummers van de ID-bewijzen opvragen, mits je in je privacy-beleid hebt vastgelegd voor welk doel (bijvoorbeeld het identificeren van mensen op de bouwplaats of de Wka) en de betreffende personen hierover hebt ingelicht.