Ken jij het belang van de Algemene Verordening Gegevensbescherming (AVG), maar ben je door de drukte minder scherp op naleving? We snappen het: De AVG is niet direct het meest spannende onderwerp en krijgt daardoor soms niet de aandacht die het verdient. Toch is het belangrijk hier voldoende bij stil te staan. De AVG gaat namelijk om de verwerking van persoonlijke gegevens van werknemers en klanten, en die moet veilig worden behandeld én beschermd. Bovendien zijn de boetes bij overtreding hoog. Alle reden om de AVG te omarmen en hoog op de agenda te zetten. Zowel in het belang van je bedrijf als je medewerkers.
AVG in het kort
De AVG werd in 2018 van kracht. De Europese wet regelt de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties. Belangrijke aspecten van de AVG in HR-context zijn:
- Toestemming: Als organisatie dien je expliciet toestemming te vragen voor de verwerking van persoonlijke gegevens, wanneer dit niet voor wettelijke en/ of fiscaal verplichte doeleinden is.
- Rechten: Via de AVG hebben medewerkers recht op toegang tot hun gegevens, het recht op correctie van onjuiste gegevens, het recht op verwijdering van gegevens (ook wel het recht om vergeten te worden) en het recht op gegevensportabiliteit (het meenemen van gegevens van de ene organisatie naar de andere).
- Gegevensbescherming door ontwerp en standaardinstellingen: Als organisatie ben je verplicht om processen in te bouwen die de privacy garanderen. Daarnaast moet je privacy-vriendelijke instellingen gebruiken.
- Datalekken melden: Als het misgaat, moet een organisatie een datalek binnen 72 uur melden aan de relevante autoriteiten én aan de getroffen personen.
- Functionaris voor gegevensbescherming (FG): In bepaalde gevallen is het verplicht om een FG aan te stellen. Deze persoon houdt toezicht op de naleving van de AVG binnen de organisatie. Weten of jouw organisatie een FG nodig heeft? Dat check je hier.
Praktische tips
Wat kan er misgaan? Hieronder vind je een spiekbriefje met veelvoorkomende AVG-fouten en foutjes die wij regelmatig tegenkomen. Ook lees je wat je er als HR-professional aan kunt doen om deze te voorkomen of op te lossen.
AVG-gerelateerde fouten
Jouw taak
Een verwerkingenregister ontbreekt
Leg vast welke persoonsgegevens de afdeling HR verwerkt, voor welke doeleinden, op welke juridische gronden, hoe deze beveiligd worden, hoe lang ze bewaard worden, in welke systemen, etc.
Aanvullende afspraken liggen niet vast
Leg met medewerkers van wie je de gegevens documenteert aanvullende afspraken vast in een aparte bijlage (dus naast een algemene bepaling in de arbeidsovereenkomst). Geef dit ook door aan de bedrijven die voor jouw organisatie persoonsgegevens verwerken.
Er is geen bewaartermijn of deze wordt niet gerespecteerd
Persoonsgegevens mogen niet langer worden bewaard dan de AVG voorschrijft. Vernietig oude (papieren en digitale) dossiers en stukken. Let op: voor sommige gegevens uit het personeelsdossier staat geen bewaartermijn genoemd in de wet, in dat geval geldt dat je deze maximaal 2 jaar mag bewaren. Zijn de gegevens al eerder niet nodig? Dan moet je ze direct verwijderen/vernietigen.
Er is sprake van gebrekkige beveiliging
Betrek de afdeling IT al in een vroeg stadium bij het ontwerp van een nieuw systeem. Zij kunnen meedenken over goede beveiliging van persoonsgegevens.
Er is geen of beperkte bekendheid met AVG-rechten en plichten
Benoem en informeer medewerkers regelmatig over hun rechten en plichten op het gebied van persoonsgegevens. Zorg ook dat jouw kennis up to date is. Werk aan bewustwording en stimuleer een cultuur van gezamenlijke verantwoordelijkheid. Dit kan bijvoorbeeld door AVG als vast onderwerp op te nemen in de interne nieuwsbrief of door een rubriek over AVG op te nemen in het medewerkersmagazine of intranet. Faciliteer workshops en discussies over gegevensbescherming en privacy, waar medewerkers vragen kunnen stellen en ervaringen kunnen delen. Wijs een Data Privacy Officer aan voor vragen en een Functionaris voor Gegevensbescherming.
Een datalekprocedure ontbreekt
Bij een datalek is snelheid van het grootste belang (zie boven). Stel daarom een duidelijke procedure op, inclusief de rollen en verantwoordelijkheden. Daarbij kan je denken aan betrokkenen als : de data privacy officer (DPO), het crisis team, IT, Legal, Communicatie, HR, functionaris voor gegevensbescherming en externe dienstverleners.
Onjuist documenteren van ziekteverzuimgegevens
Gezondheidsdata van medewerkers vragen extra zorgvuldigheid en mogen op geen enkele manier door de werkgever geregistreerd worden, tenzij er een specifieke wettelijke basis is. Feitelijk mag je bijvoorbeeld vastleggen dat er een beperking is op autorijden als gevolg van medicijngebruik, aangevuld met de duur van die beperking. Medische informatie mag alleen door een bedrijfsarts in een afgeschermd systeem geregistreerd worden. De bedrijfsarts mag in dit voorbeeld bijvoorbeeld wel registreren om welk medicijngebruik het gaat. De werkgever mag dit niet, het is immers niet noodzakelijk. Onze tip?
Laat je op dit onderwerp goed adviseren.
Bijzondere persoonsgegevens worden incorrect verwerkt
Werknemers die werken onder invloed van alcohol, drugs of bepaalde medicijnen zijn een veiligheidsrisico voor zichzelf, hun collega’s en hun omgeving. De controlemogelijkheden voor werkgevers zijn hierbij beperkt en staan vaak op gespannen voet met de AVG, omdat het valt onder de bijzondere persoonsgegevens. Het is van belang dat beleid is gericht op het voorkomen van gevaarlijke situaties en dat wordt gezorgd voor een wettelijke grondslag voor de verwerking van bijzondere persoonsgegevens. Beperk je verzameling van de gegevens tot wat strikt noodzakelijk is om het specifieke doel te bereiken, namelijk het voorkomen van gevaarlijke situaties op de werkvloer. Informeer medewerkers duidelijk over het beleid en betrek de Ondernemingsraad hierbij.
Aan de slag met AVG-rechten en -plichten
HRKracht helpt jou en jouw organisatie om de AVG-rechten en plichten goed te organiseren. Om de kans op een datalek of boete te voorkomen. En om de gegevens van je medewerkers veilig te stellen. Wil je meer weten? Neem contact met ons op voor een oriënterend gesprek, dan bespreken we de mogelijkheden.