Afgelopen maand was het zover, een hele dag training over de impact die de Algemene verordening gegevensbescherming (AVG) heeft op HR, verzorgd door HR Academy i.s.m. Van Diepen Van der Kroef Advocaten. Via deze blog wil ik graag mijn opgedane kennis met jullie delen. Eerst leg ik uit wat de AVG is en wat van belang is voor HR. Daarna deel ik graag de 5 grootste eye-openers van de training. 🙂
Allereerst: wat is nu de AVG?
De huidige Europese Privacywetgeving stamt uit 1995, toen internet nog in de kinderschoenen stond. Tijd voor een update dus. Die update legt ook meer nadruk op de verantwoordelijkheid van de organisatie om de wet na te leven. Organisaties moeten vanaf 25 mei a.s kunnen aantonen dat zij zich aan de wet houden, zgn. accountable zijn.
Artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU) geeft rechtsbasis voor EU-wetgeving ter bescherming van persoonsgegevens van natuurlijke personen en geeft de opdracht tot het stellen van regels. De AVG is de uitvoering van deze opdracht. Het betreft één privacywet in de hele EER (EU-lidstaten plus Liechtenstein, Noorwegen en IJsland).
Wat zijn nu persoonsgegevens?
Artikel 4, lid 1 van de AVG geeft de volgende definitie van “persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de “betrokkene”);
- betrokkene: de natuurlijke persoon op wie de gegevens betrekking hebben
- identificeerbaar: een natuurlijk persoon die (in)direct uniek kan worden onderscheiden binnen een groep
- (zonder onevenredige inspanning) herleidbaar tot een persoon
De AVG en de grondslagen voor verwerking van persoonsgegevens
Iedere verwerking van persoonsgegevens die onder de AVG valt, moet verantwoord worden op een van de zes grondslagen van artikel 6 van de AVG. De dikgedrukte grondslagen zijn, waar wij als HR professionals, voornamelijk mee te maken zullen hebben.
De verwerking:
1) Is nodig om een overeenkomst met de betrokkene voor te bereiden of uit te voeren
2) Is nodig om aan een wettelijke verplichting te voldoen
3) Is voor iemand van levensbelang (beschermen vitale belangen)
4) Is nodig om een overheidstaak goed te kunnen vervullen
5) Is voor u van zodanig belang dat dat zwaarder weegt dan de belangen van de betrokkenen (gerechtvaardigd belang van werkgever <-> grondrechten en fundamentele vrijheden van de betrokkene)
6) De betrokkene heeft zijn toestemming gegeven voor de verwerking
Een aantal voorbeelden om wat meer inzicht te geven:
Grondslag 1) Als werkgever hebben we bepaalde persoonsgegevens nodig, zoals NAW-gegevens, geboortedatum en BSN-nummer, anders kunnen we geen arbeidsovereenkomst opmaken. Ook een bankrekeningnummer is nodig om een salarisbetaling te kunnen doen.
Grondslag 2) Op grond van de bewaarplicht zijn we als werkgever verplicht om een kopie van een ID-bewijs in onze loonadministratie te houden en te bewaren tot tenminste vijf jaar na uitdiensttreding. Ook gegevens over frequentie en duur ziekteverzuim zijn nodig om Wet Poortwachter te kunnen uitvoeren.
Grondslag 3) Er is een collega met diabetes en het team wordt geïnformeerd over het toedienen van een insulinespuit. Dit kan letterlijk van levensbelang zijn.
Grondslag 4) De gemeente plaatst cameratoezicht op openbare plaatsen voor de openbare veiligheid.
Grondslag 5) Het aanbrengen van camerabeveiliging kan een inbreuk op de privacy van individuele medewerkers zijn. Camerabeveiliging is wel mogelijk wanneer het bedrijfsbelang zwaarder weegt dan het individuele belang en er aan de volgende voorwaarden voldaan is:
- Er moet sprake zijn van een gerechtvaardigd belang, zoals beschermen werknemers/bezoekers of tegengaan van diefstal;
- Cameratoezicht is noodzakelijk om het doel te bereiken;
- De camera’s maken onderdeel uit van een pakket van maatregelen;
- Er moet voorafgaand een privacytoets gemaakt worden;
- Er is een informatieplicht jegens medewerkers;
- Bewaartermijn: maximaal 4 weken of tot incident is afgehandeld;
- Er is instemming van de OR;
Grondslag 6) Voor een smoelenboek hebben we volgens de AVG toestemming nodig. Immers, het zijn persoonsgegevens die identificeerbaar en herleidbaar zijn naar een natuurlijk persoon.
Voor toestemming zijn er wel een paar belangrijke voorwaarden, die ik graag met jullie deel. Ik schrijf dit vanuit het oogpunt vanuit werkgever-medewerker. Met enige fantasie kun je dit ook algemeen toepassen door daar waar werkgevers en medewerkers staat, ook organisaties en mensen te lezen.
Vrijelijk gegeven: we mogen medewerkers niet onder druk zetten om toestemming te geven. Het is verboden om een medewerker te benadelen wanneer er geen toestemming gegeven wordt. Let op: een medewerker kan een vraag van zijn werkgever wellicht moeilijk weigeren, er kan immers sprake zijn van een machtsverhouding.
Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling, zoals een (digitale) schriftelijke of mondelinge verklaring. Het gebruik van voor-aangevinkte vakjes is derhalve niet toegestaan.
Geïnformeerd: medewerkers moeten geïnformeerd worden over:
- het doel van elke verwerking waarvoor er toestemming gevraagd wordt;
- welke persoonsgegevens er verzameld en gebruikt worden;
- het recht dat de mensen hebben om de toestemming weer in te trekken.
Noot: Wanneer er geen sprake is van werkgever-medewerker: dan moet de organisatie ook informeren over zijn identiteit.
Specifiek: de toestemming geldt voor een specifieke verwerking en een specifiek doel. Zijn er meerdere doelen, dan moet hier afzonderlijk toestemming voor gevraagd worden. Doelen mogen ook niet veranderen indertijd, dan is opnieuw toestemming nodig.
Het moet voor medewerkers net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
Als werkgever moet je kunnen aantonen dat je geldige toestemming hebt verkregen.
Ook belangrijk om nog te benoemen, is dat de rechten van de betrokkene, dus de persoon om wiens persoonsgegevens het gaat, worden uitgebreid:
- uitbreiding recht op inzage (hoe lang worden de gegevens bewaard, informatie over het recht op rectificatie en het recht om een klacht in te dienen bij de privacytoezichthouder);
- recht op een kopie van het volledige personeelsdossier (mits geen afbreuk aan de rechten en vrijheden van anderen);
- recht op vergetelheid: als de verwerking niet langer noodzakelijk is voor verwezenlijking van het doel, als de rechtsgrond ontbreekt of als de werknemer de toestemming om gegevens te verwerken intrekt.
Mijn eye-openers van de training
Dat er een nieuwe privacywet moest komen, is heel erg logisch. Persoonsgegevens zijn een groot goed en moeten (meer) beschermd worden. We moeten ons veel meer bewust zijn bij het vragen om en verwerken van een persoonsgegeven of we het wel echt nodig hebben en of het daadwerkelijk van belang is. En dit komt absoluut de privacy van medewerkers ten goede, maar ook de dikte van onze personeelsdossiers 😉
Wat betekent dit in de praktijk? Voor grotere bedrijven zullen er functies bij gaan komen als een Privacy Officer. Voor kleinere bedrijven zullen de nieuwe werkzaamheden bij verschillende medewerkers belegd worden. Voor mij, als enige HR verantwoordelijke, betekent dit zeker (tijdelijk veel) meer werk. Immers, er moeten verwerkersovereenkomsten opgesteld worden met bedrijven die voor ons als werkgever persoonsgegevens verwerken. Denk bijvoorbeeld aan de Arbo-dienst, onze accountant, HR administratie, recruitmentsysteem, crm systeem, leasemaatschappij, andere clouddiensten etc. Bedenk zelf maar met welke partijen je samenwerkt en met wie je persoonsgegevens uitwisselt. Het zijn er veel meer dan je in eerste instantie denkt.
Ook moeten we nog meer alert zijn op mogelijke datalekken en altijd melding maken bij de Autoriteit Persoonsgegevens (AP) wanneer sprake is van een datalek. Een USB-stick kan bijvoorbeeld heel makkelijk kwijt raken. Op zo’n USB-stick kunnen gegevens van medewerkers staan, maar ook sollicitanten of klanten of klanten van klanten etc. We kunnen helaas niet voorkomen dat iemand een USB-stick verliest, maar we kunnen er bijvoorbeeld wel voor zorgen dat alle info op USB-sticks versleuteld zal zijn, om de kans op een datalek te minimaliseren. Dit geldt natuurlijk ook voor laptops, mobiele telefoons etc. Ik zal ook beleid moeten opstellen en uitvoeren, wat we kunnen en dus moeten doen om datalekken te voorkomen.
Ook goed om te delen; de eyeopener van vele cursisten (gelukkig niet bij mij): de ziekmelding. We mogen als werkgever niet naar de reden van een ziekmelding vragen. Ziek is ziek. Wat de aard van de ziekte is, is ter beoordeling van een bedrijfsarts, niet aan de werkgever. Wel mogen we als werkgever vragen wanneer de medewerker weer verwacht aan het werk te kunnen komen, welke zaken overgedragen moeten worden tijdens de afwezigheid en hoe we de medewerker het beste kunnen bereiken wanneer we vragen hebben over het werk. Dit is overigens al geldende wetgeving en niet nieuw met de invoering van de AVG.
Ook een interessante vind ik het recht van vergetelheid. Ik ga me dan ook buigen over het vraagstuk hoe we gaan borgen en aantonen dat we bijvoorbeeld gegevens van sollicitanten verwijderd hebben, nadat ze niet zijn aangenomen en ze hebben aangegeven gebruik te maken van hun recht van vergetelheid. We kunnen een sollicitant uiteraard verwijderen uit een recruitmentsysteem. Maar is dat wel voldoende? Nee… Een CV en motivatiebrief wordt bij veel organisaties gemaild naar een aantal stakeholders en meerdere keren uitgeprint ten behoeve van sollicitatiegesprekken. Er moeten dus afspraken gemaakt worden dat deze e-mails en prints ook gewist gaan worden. Maar hoe borgen we dit?
Naast extra werk zal er, eerlijk gezegd, ook extra rompslomp ontstaan die wellicht wat omslachtig en overdreven aanvoelt. Zoals het hebben van formulieren waarop medewerkers hun toestemming aan kunnen geven voor hun foto in een smoelenboek of hun naam op de verjaardagslijst. Immers, een smoelenboek en de verjaardagslijst vallen niet onder eerste vijf grondslagen, dus moet er toestemming voor gevraagd worden. En wat dacht je van bijvoorbeeld van WhatsApp-groepjes, waarbij iedereen toegang heeft tot meerdere persoonsgegevens? En zo zijn nog legio voorbeelden te bedenken die niet vallen onder de eerste vijf grondslagen en waar je dus toestemming voor nodig gaat hebben van de betrokkene.
Hoe kun je je nu het beste voorbereiden op de komst van de AVG?
Op de website van de Autoriteit Persoonsgegevens (AP) (www.autoriteitpersoonsgegevens.nl) kun je ontzettend veel informatie vinden over de AVG, veel meer nog dan ik in dit blog heb kunnen schrijven.
Ook heeft de AP de interactieve tool “de AVG-regelhulp” ontwikkeld. Je vindt deze regelhulp hier: (https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom).
Voor mij is april “AVG-maand” en ga ik zeker deze regelhulp invullen, zodat ik goed voorbereid ben op waar ik allemaal nog aan moet werken. Je krijgt namelijk een praktisch advies op maat en daarmee hoop ik eind april helemaal klaar te zijn voor de handhaving van de AVG op 25 mei a.s.! Ik weet dat het in ieder geval een flinke uitdaging gaat worden. Ik hoop tegen die tijd dan ook te kunnen bloggen over waar ik allemaal tegenaan ben gelopen bij het schrijven van mijn beleid, zodat jullie daar ook weer van kunnen profiteren. Heel veel succes, het is nu echt tijd om te beginnen!