AVG en de privacy van uw personeel: 7 tips
In de afgelopen maanden heeft u vast al vaak de term AVG horen vallen. De AVG staat voor Algemene Verordening Gegevensbescherming. Deze verordening is een uitbreiding op de huidige privacywetgeving, maar heeft zeker impact op uw organisatie. Deze wet heeft niet alleen gevolgen voor hoe u met patiëntgegevens omgaat, maar heeft ook invloed op hoe u moet omgaan met de gegevens van uw personeel. Helaas niet de meest makkelijke materie maar wel heel noodzakelijk dat u ervan op de hoogte bent.
Wat zijn persoonsgegevens?
Een persoonsgegeven is elk gegeven waarmee een natuurlijk persoon kan worden geïdentificeerd. U moet daarbij denken aan iemands naam, adres, woonplaats, telefoonnummer, BSN-nummer, functie maar ook een emailadres kan dit zijn. Het gaat hierbij ook om gegevens in beeld in geluid, zoals een bedrijfsfilmpje. Daarnaast zijn er ook bijzondere persoonsgegevens. Daarbij moet u denken aan iemands ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van een vakbond, biometrische gegevens, gezondheid en seksuele geaardheid.
Onze tips
Tip 1: Breng uw informatiestromen in kaart
Breng in kaart welke persoonsgegevens u verwerkt, van wie de persoonsgegevens zijn, met welk doel deze worden verwerkt en met wie deze persoonsgegevens worden gedeeld. Dit is de basis voor de voorbereiding op de AVG. Let op: het gaat hierbij dus ook om bijvoorbeeld telefoonnummers en geboortedatums van collega’s om elkaar te kunnen bereiken voor het ruilen van een dienst of om een kaartje te sturen op hun verjaardag.
Tip 2: Bepaal hoe u omgaat met een datalek
Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Het gaat hierbij dan niet alleen maar om het verlies van een USB-stick met een Excel-file met uw personeelsbestand, maar ook situaties als een verkeerd geadresseerde email verzenden of als bestanden worden versleuteld door een virus.
Het is belangrijk dat werknemers weten wat een datalek is en bij wie ze dit moeten melden. Afhankelijk van de aard en ernst van het datalek moeten vervolgstappen worden genomen, die variëren van registratie in een eigen register datalekken tot melding bij de Autoriteit Persoonsgegevens en bij de betrokkene zelf.
Tip 3: Uw werknemer heeft recht tot inzage in zijn persoonsgegevens
De betrokkene heeft recht op inzage en afschrift van de persoonsgegevens die van hem worden verwerkt. Uw werknemer kan dus zonder reden om een kopie van zijn eigen personeelsdossier verzoeken. Dat moet u binnen één maand verstrekken. Zorg dus dat uw dossier op orde is. Persoonlijke werkaantekeningen over een werknemer als geheugensteuntje vallen niet onder het inzagerecht. Deze gegevens mogen dus niet worden verstrekt aan derden of opgeslagen in het personeelsdossier. Staat het er wel in, dan heeft de werknemer ook recht op inzage in en afschrift daarvan.
Tip 4: U mag persoonsgegevens niet oneindig bewaren
De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. Een aantal andere wetten schrijft wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs van een werknemer bijvoorbeeld moet tot vijf jaar na einde dienstverband, worden bewaard. Ook bestaan er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.
Tip 5: U heeft een informatieplicht
U moet uw werknemers, maar ook sollicitanten, heldere informatie geven over onder andere de persoonsgegevens die u verwerkt. Voor welk doel verwerkt u de gegevens? En welke rechten hebben zij? U kunt hieraan voldoen door een privacyverklaring op te stellen en deze te verstrekken. U kunt deze bijvoorbeeld opnemen in een personeelshandboek. De verklaring moet wel duidelijk, eenvoudig en begrijpelijk zijn.
Tip 6: U mag weinig vastleggen van uw zieke werknemers
Gegevens over gezondheid worden gezien als bijzondere persoonsgegevens. Deze mogen alleen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of cao. Zo mag u een zieke werknemer niet vragen naar de aard en/of de oorzaak van de ziekte. Er is een lijst opgesteld welke gegevens u wel mag verwerken als de werknemer zich ziekmeldt. Dat is beperkt tot:
- het telefoonnummer en (verpleeg)adres;
- de vermoedelijke duur van het verzuim;
- de lopende afspraken en werkzaamheden;
- of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
- of de ziekte verband houdt met een arbeidsongeval;
- of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met eventuele regresmogelijkheden).
Tijdens de ziekteverzuimbegeleiding en re-integratie heeft de werkgever bepaalde informatie nodig om een beslissing te kunnen nemen over de loondoorbetaling, verzuimbegeleiding en re-integratie. De bedrijfsarts mag daarom de volgende gegevens verstrekken aan u als werkgever:
- de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
- de verwachte duur van het verzuim;
- de mate waarin de werknemer arbeidsongeschikt is;
- eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
Tip 7: Maak afspraken met partijen die voor u persoonsgegevens verwerken
Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, zoals een salarisverwerker of een administratiekantoor, dan moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met deze overeenkomst maakt u duidelijke afspraken over hoe de andere partij met gegevens omgaat.
Wilt u zich meer verdiepen in het onderwerp privacy en de gevolgen voor uw organisatie? Bekijk de infographic van de Autoriteit Persoonsgegevens: De AVG in een notendop (pdf) en gebruik de Regelhulp Algemene verordening gegevensbescherming om uw eigen situatie in kaart te brengen.
Deze 7 tips zijn zeker niet uitputtend, maar hebben hopelijk een klein tipje van de enorme AVG-sluier voor u opgelicht.
Joost de Waard, Senior HR Adviseur
Visser & Visser HRM-adviseurs (onderdeel van Visser & Visser Accountants & Belastingadviseurs)
rjdewaard@visser-visser.nl
Bij het thema van dit artikel betrokken organisaties
Lees verder - met dit thema
Zes essentiële onderdelen van de arbeidsovereenkomst
14 mrt om 13:00 uur 4 minEen arbeidsovereenkomst opstellen is meer dan een kwestie van kiezen. Je moet namelijk wel weten wat de…
Grip op verzuim in de zorg: Hoe zetten we het dalende ziekteverzuimpercentage door?
7 mrt om 16:06 uurDe zorg blijft één van de meest veeleisende sectoren om in te werken. Werknemers verzorgen dagelijks talloze…
Een veilige werkomgeving creëren? Vier handvatten voor de praktijk
26 feb om 14:00 uur 5 minEen veilige werkomgeving creëren. Het is een van dé topics van het afgelopen jaar in de media en maatschappij:…
‘Het grote 9-tot-5-taboe’ biedt een frisse kijk op intimiteit op de werkvloer
12 feb om 16:00 uur 6 minVerhoogde prestaties in fysiopraktijken dankzij SpotOnMedics
22 jan om 12:52 uurDat data niet eng hoeft te zijn, dat weten de experts van SpotOnMedics al lang. Hun software wordt gebruikt…
Verlagen van werkdruk in de zorg door efficiënte communicatie en kennisuitwisseling
18 jan om 11:45 uur 4 minVolle wachtkamers, overvolle agenda's en telefoonlijnen, administratieve druk. We weten allemaal dat de zorg…
Tandarts Rob Kuypers en adviseur Mascha van Wermeskerken: 'Kuypers Mondzorg is klaar voor de toekomst'
20 dec 2023 5 minRob Kuypers, eigenaar van Kuypers Mondzorg, runde ruim dertig jaar een bloeiende tandartspraktijk binnen een…
Een positief gezonde organisatie worden: welke stappen zet je in de praktijk?
29 nov 2023 5 minVoor de invoering van het model ‘positieve gezondheid’ in de praktijk is het belangrijk dat je de filosofie ook…
Reactie toevoegen