In een vorige blog hebben wij u al geïnformeerd over de belangrijkste gevolgen van en verplichtingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei a.s. van kracht wordt. Verder hebben wij in onze blog van 13 april jl. de belangrijkste begrippen uit de AVG toegelicht. Voor werkgevers zijn er ook een aantal wijzigingen. De belangrijkste zetten wij hieronder voor u op een rij.
Als een werkgever persoonsgegevens van een werknemer (maar ook van een zzp’er, sollicitant, uitzendkracht of stagiaire) vraagt, moet hij de werknemer tijdig en in duidelijke taal informeren over wat er gebeurt met zijn persoonsgegevens, voor welk doel deze gegevens worden verwerkt en hoe lang de persoonsgegevens worden bewaard. U kunt aan deze verplichting voldoen door bijvoorbeeld een privacyregeling in het personeelshandboek op te nemen. U moet er dan wel voor zorgen dat in de arbeidsovereenkomst naar dit handboek wordt verwezen.
Belangrijk is ook dat werknemers in de privacyregeling worden gewezen op hun overige rechten uit de AVG. Hierbij moet u onder meer denken aan:
Een werknemer mag met redelijke tussenpozen vragen of, en zo ja welke, persoonsgegevens er van hem verwerkt worden. Dat is niet beperkt tot het personeelsdossier. Dit recht heeft de werknemer overigens ook al onder de huidige Wet bescherming persoonsgegevens. Nieuw is het recht op het ontvangen van een kopie van deze gegevens in schriftelijke (waaronder elektronische ) vorm. Bij het verstrekken van deze informatie moet u rekening houden met de bescherming van de persoonsgegevens van een derde. Voor het verstrekken van een kopie mag u geen kosten in rekening brengen.
Een werknemer krijgt onder voorwaarden het recht op het verwijderen van zijn gegevens. Dit recht heeft hij bijvoorbeeld als de persoonsgegevens niet langer nodig zijn voor het doel waarvoor deze gegevens zijn verzameld, als ze onrechtmatig zijn verwerkt of vanwege een wettelijke verplichting. Ook als de gegeven toestemming voor verwerking van de gegevens door de werknemer wordt ingetrokken, kan er een verwijderingsplicht voor de werkgever ontstaan. Toestemming alleen is in de arbeidsrelatie geen gerechtvaardigde grondslag voor de verwerking van persoonsgegevens. Werkgever en werknemer hebben immers een gezagsverhouding, waardoor het geven van toestemming geacht wordt niet in vrijheid te zijn gegeven. Er moet dus bij de verwerking van persoonsgegevens van werknemers altijd een andere grondslag aanwezig zijn. Een andere grondslag kan bijvoorbeeld zijn dat de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van de arbeidsovereenkomst. U kunt daarbij denken aan de plicht tot identificatie op basis van de Wet op de Loonbelasting. Ook kan het zijn dat het belang van de werkgever bij verwerking van de persoonsgegevens zwaarder weegt dan het belang van de werknemer om deze gegevens niet te verstrekken, bijvoorbeeld in verband met het bijhouden van een personeelsdossier met betrekking tot het functioneren van de werknemer.
In het verlengde van het recht op verwijdering ligt het recht van de werknemer om onder bepaalde omstandigheden “vergeten te worden”. Het gaat dan bijvoorbeeld om de situatie dat u als werkgever persoonsgegevens openbaar heeft gemaakt, bijvoorbeeld door online, op de eigen website, melding te maken van een ontslag van de werknemer. De werknemer kan u in zo’n geval vragen die persoonsgegevens te wissen. U moet deze gegevens dan wissen uit uw eigen systeem en redelijke technische en organisatorische maatregelen nemen om andere verwerkingsverantwoordelijken hier ook op te wijzen. Als het bericht inmiddels door media is gebruikt, gaat het niet zover dat u ook die media moet verzoeken om verwijdering.
De werknemer heeft recht op overdracht van zijn persoonsgegevens aan hem of rechtstreeks aan een andere organisatie in een gestructureerde, gangbare en machineleesbare vorm.
Los van de informatieplicht aan werknemers, verwerkt u wellicht ook gegevens van bijvoorbeeld klanten. Vanwege de documentatieplicht die u heeft onder de AVG is het zonder meer aan te raden (en in de meeste gevallen verplicht) om daarnaast een register van verwerkingsactiviteiten bij te houden. In zo’n register moet u onder andere opnemen welke persoonsgegevens u verwerkt, met welk doel, hoe u aan deze gegevens komt, met wie deze gegevens worden gedeeld, hoe lang de gegevens worden bewaard, etc. U kunt het register bijhouden in bijvoorbeeld een Exceldocument of door middel van speciale softwareapplicaties.
Als u als werkgever door een derde persoonsgegevens laat verwerken van uw werknemers (bijvoorbeeld een externe salarisadministratie of Arbodienst) is het verplicht om met die derde een verwerkingsovereenkomst te sluiten waarin o.a. de duur, aard en doel van de verwerking en de soort gegevens wordt opgenomen. Ook de beveiliging van de persoonsgegevens en beperkte toegang daartoe door gemachtigde personen zijn zaken die hierin opgenomen dienen te worden.
De privacy van werknemers speelt ook een rol bij bijvoorbeeld screening (denk aan medische keuringen), controle van e-mail en internetgebruik van werknemers, het doen van alcohol- en drugtesten en het inzetten van (heimelijk) cameratoezicht. Daarvoor gelden specifieke regels. Er moet altijd een gerechtvaardigd belang zijn van de werkgever en de privacy inbreuk moet zo beperkt mogelijk zijn. In een aantal gevallen heeft de Ondernemingsraad (voor zover aanwezig) vooraf een instemmingsrecht.
Het is belangrijk dat u zich bewust bent van uw verplichtingen en van de rechten van werknemers en andere betrokkene onder de AVG. Als u vragen heeft over de AVG of bijvoorbeeld hulp wilt bij het opstellen van een privacyregeling in uw personeelshandboek, neemt u dan gerust contact op met het AVG-team van Benthem Gratama Advocaten. In de volgende blog zullen wij u informeren over de verwerkersovereenkomst die u mogelijk moet sluiten.
Team AVG:
Marjet Bartelds-Dikkeschei
Philine Elzerman | pelzerman@benthemgratama.nl
Martijn Kerkdijk | makerkdijk@benthemgratama.nl
Adriaan van Rinsum