Nieuws

Privacy en Persoonsgegevens volgens de AVG

Privacy en Persoonsgegevens volgens de AVG

Privacy en Persoonsgegevens volgens de AVG

Rubens Advocatuur

In Nederland geldt nu de Wet bescherming persoonsgegevens. Vanaf 28 mei 2018 geldt in heel Europa de Algemene verordening gegevensbescherming. Deze regeling vervangt de Wbp, geeft de werknemer meer rechten en de werkgever meer plichten.
Voor ondernemers is van belang te weten wat er verandert. Daarover gaat dit artikel. Ik bespreek het onderwerp aan de hand van een aantal praktische vragen en richtlijnen.

• Wie is verantwoordelijk?
• Waar gaat het om?
• Wanneer doet u het goed ?
• Meer rechten voor werknemers
• Internet- en e-mailgebruik
• Meekijken en meeluisteren
• De werknemer en sociale media

Wie is verantwoordelijk?
Net als in de Wbp bent u als werkgever na 28 mei 2018 wettelijk verantwoordelijk voor het voeren van een deugdelijk privacybeleid. Deze verantwoordelijkheid wordt neergelegd in een verantwoordingsplicht. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw gegevensverwerking aan de regels van de AVG voldoet. U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:
- rechtmatigheid;
- transparantie;
- doelbinding;
- juistheid.
Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beschermen.
Als u activiteiten uitbesteedt, bijvoorbeeld de loonadministratie, dan blijft u als werkgever verantwoordelijk voor de privacy van uw werknemers. De partij waarmee u vertrouwelijke gegevens over uw werknemers uitwisselt, moet zich ook aan de AVG houden. Het is belangrijk dat u dat controleert.

De verplichtingen uit de AVG gelden ook voor een samenwerkingsverband tussen bedrijven. Als daarbij persoonsgegevens worden uitgewisseld, moeten duidelijke afspraken worden gemaakt over de wederzijdse verplichtingen op het gebied van informatiebeheer. Het verdient aanbeveling om de afspraken vast te leggen in een privacybeleid.

Waar het gaat om?
Als u uw medewerkers om persoonlijke gegevens vraagt, moet altijd duidelijk zijn voor welk doel u die gegevens nodig heeft en gaat gebruiken. U moet dat concreet omschrijven in uw privacybeleid en de bijbehorende privacyprocedure. Op grond van de AVG mogen gegevens worden gevraagd en gebruikt met de volgende doelen:
• Voor de totstandkoming en uitvoering van de arbeidsovereenkomst
• Om de 'vitale belangen' van werknemers te beschermen; hierbij gaat het om gegevens die noodzakelijk zijn voor bijvoorbeeld toegangspasjes of de bedrijfshulpverlening
• Om een wettelijke verplichting na te komen; denk bijvoorbeeld aan de verplichte aansluiting bij een arbodienst
• Wanneer een werknemer zijn ondubbelzinnige toestemming heeft gegeven; bijvoorbeeld in het geval dat hij meedoet aan een bedrijfsspaarregeling
• In het kader van een 'gerechtvaardigd belang'. Het gaat hier om een belangenafweging tussen wat goed is voor het bedrijf en wat goed is voor de (privacy van de) werknemers.
Incidenteel mag u gegevens voor een ander doel gebruiken, mits dat doel verenigbaar is met het hoofddoel van de verwerking. U mag bijvoorbeeld gegevens van toegangssystemen incidenteel gebruiken om te controleren of een werknemer zich aan zijn werktijden houdt.
Bij het gebruik van persoonsgegevens geldt als vuistregel dat het minimum aan gegevens om uw doelstellingen te verwezenlijken tevens het toegestane maximum is.

Wanneer doet u het goed ?
De werkgever die een goed gevolg geeft aan de AVG:
- maakt een privacybeleid
- een grote werkgever (250+ werknemers) houdt een register van verwerkingsactiviteiten bij;
- houdt een register bij van datalekken die zijn opgetreden;
- kan aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer voor verwerking toestemming nodig is;
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen, zoals:
- het aansluiten bij een gedragscode;
- het behalen van een bepaald certificaat;
- het hanteren van een specifiek ICT-beveiligingsbeleid;
- het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.
Voor bedrijven die veel of specifieke data verwerken, gelden bijzondere eisen.

Meer rechten voor werknemers
Het punt van toestemming is een belangrijke wijziging die de AVG meebrengt. Werknemers hebben het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Ook hebben zij het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens. In het privacybeleid staat ook opgenomen hoe lang bepaalde gegevens worden bewaard.
Nieuw in het kader van de privacy is dat voor dataverwerking die wat verder gaat dan het reguliere doel van de registratie toestemming is vereist.
Als voorbeeld kan worden gekeken naar de werkgever die zijn werknemers korting op producten of diensten van andere bedrijven wil geven. Als zo’n bedrijf daarvoor wil beschikken over gegevens uit uw personeelsadministratie, dan zal daarvoor de toestemming van de werknemer nodig zijn.
De toestemming van de werknemer moet een in vrijheid gegeven toestemming zijn. Dat is voor werknemers niet altijd duidelijk, de werknemer zit immers in een afhankelijke positie, zodat het verstandig is om terughoudend met deze bevoegdheid om te gaan.

Internet- en e-mailgebruik controleren mag
Werkgevers hebben er belang bij dat zij grenzen kunnen stellen aan gebruik van e-mail en internet door medewerkers. Ook op grond van de AVG mag een werkgever bijhouden welke websites door zijn medewerkers worden bezocht, zolang de lijst geanonimiseerd is. Hij mag dus niet onderzoeken wie precies welke sites bezoekt op de computers van de zaak, maar kan wel een goede indruk krijgen van de mate waarin misbruik wordt gemaakt van de geboden digitale voorzieningen. Om misbruik tegen te gaan kan de werkgever 'internetbeleid' uitvaardigen. De werkgever mag controleren of iedereen zich aan de afspraken houdt. Dit moet weer aan de hand van geanonimiseerde lijsten.

Meekijken en meeluisteren
Videobewaking kan soms worden gebruikt om fraude door het personeel op te sporen. U mag verborgen camera's gebruiken maar moet uw personeel wel mededelen dat videobewaking plaatsvindt. De bewaartermijn van videobeelden hangt af van het concrete doel dat zij dienen en de effectiviteit ervan. Dat geldt ook voor opnamen van (telefoon)gesprekken. Meeluisteren mag voor doeleinden van training en begeleiding, individuele beoordeling, bewijs van telefonische transacties, beheersing van telefoonkosten, tegengaan privégebruik en het opsporen van fraude. Bij deze maatregelen heeft de medezeggenschap een belangrijke rol. De ondernemingsraad of personeelsvertegenwoordiging heeft instemmingsrecht bij het invoeren van systemen om werknemers technisch te controleren.

De werknemer en sociale media
Dit onderwerp krijgt, met de toename van het gebruik van sociale media, een steeds groter bereik. Aanleiding voor het benoemen in dit kader is de vraag of het is toegestaan om sollicitanten te googelen en een beeld van hen te verkrijgen aan de hand van sporen die ze achtergelaten hebben op het web. In de nieuwe verordening wordt hier tegenwicht aan geboden.
Het is normaal dat een gebruiker van Social Media zijn profiel publiekelijk zichtbaar maakt. Dit heeft als gevolg dat werkgevers bij deze informatie kunnen en ook aannemen dat het inspecteren van de sociale profielen van potentiële kandidaten tijdens een sollicitatieprocedure gerechtvaardigd is.
Volgens de verordening mogen werkgevers hier niet van uitgaan.
Voor het verwerken (dus ook inzien) van deze gegevens is een wettelijke reden vereist, zoals een legitiem belang.

De werkgever moet - voorafgaand aan de inspectie van een kandidaat-profiel – afwegen of het profiel van de kandidaat zakelijk is, of privé. Dat kan een belangrijke aanwijzing zijn voor de juridische toelaatbaarheid van de gegevens
inspectie. Werkgevers mogen bovendien alleen persoonsgegevens verzamelen en verwerken met betrekking tot sollicitanten, voor zover het verzamelen van die gegevens noodzakelijk is en relevant voor de uitvoering van de baan. Ook geldt dat de kandidaat correct moet worden geïnformeerd over screening voordat ze solliciteren. Het zou dus al in de advertentie moeten worden gemeld.
Er is geen wettelijke reden voor een werkgever werknemers te verplichten om de werkgever toegang verschaffen tot de inhoud van hun profielen.

Dit deel van de regeling leidt, begrijpelijk, tot de nodige discussie. Hoe wordt dit gecontroleerd ? Waarom zou het niet mogen – het is toch openbaar ? Risico is wel dat de Autoriteit Persoonsgegevens op enig moment een klacht hierover gegrond verklaart, wat de deur open zet voor een schadeclaim van de kandidaat of de werknemer.

Belangrijkste advies is dat u als werkgever alert bent op de gevolgen van de nieuwe Algemene verordening gegevensbescherming. Volgens mij begint het met het behandelen van de privacy van uw werknemers, zoals u wilt dat met uw privacy wordt omgegaan.