De consequenties van de AVG voor werkgevers!
Publicatiedatum 13 april 2018
Weet wat u moet regelen!
Vanaf 25 mei 2018 geldt nog maar één privacywet in de hele EU: de algemene verordening
gegevensbescherming (AVG). Deze nieuwe wet heeft consequenties voor alle organisaties die persoonsgegevens opslaan en verwerken.
Wat betekent dit voor werkgevers?
Welke stappen moeten zij nemen om te voldoen aan deze nieuwe privacywet?
Begin door zorgvuldig in kaart te brengen welke persoonsgegevens de organisatie momenteel verwerkt en op welke manier.
Denk vervolgens kritisch na over de vraag hoe procedures zo kunnen worden ingericht dat zo min mogelijk persoonsgegevens worden verwerkt, zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard.
Als organisaties structureel persoonsgegevens verwerken, zijn ze verplicht om een in een ‘verwerkingsregister’ exact te beschrijven welke persoonsgegevens de organisatie op welke manier verwerkt.
Overweeg daarnaast om een onafhankelijke privacy functionaris aan te stellen. Dat is verplicht voor overheidsorganisaties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zoals ziektekostenverzekeraars. Maar ook wanneer deze verplichting niet bestaat, kan het interessant zijn een dergelijke functionaris aan te stellen.
Zorg dat de privacy functionaris goed geïnformeerd is. Hij of zij heeft namelijk als taak om toe te zien op de naleving van de privacywetgeving binnen de organisatie.
Maakt uw organisatie gebruik van online HRM-applicaties? Sluit dan een ‘bewerkersovereenkomst’ af met de leverancier. Daarin maakt u afspraken over de omgang met persoonlijke gegevens.
Voer daarnaast een aantal controles uit voordat u in zee gaat met een leverancier van HRM-applicaties in de Cloud. Ook al bent u van plan de verwerking van personeelsgegevens uit te besteden, de organisatie blijft verantwoordelijk voor de bescherming van deze data.
Zorg dat medewerkers hun personeelsdossier in een standaardformaat kunnen ontvangen,
bijvoorbeeld als PDF.
Zorg ervoor dat alle HRM-medewerkers op de hoogte zijn van het privacy beleid van de organisatie.
De nieuwe privacywetgeving moet hoe dan ook niet onderschat worden: met de komst
van de AVG kunnen toezichthouders aan organisaties sancties opleggen van maximaal
20 miljoen euro of vier procent van de wereldwijde jaaromzet van ondernemingen.
Dat maakt de bescherming van persoonsgegevens de komende tijd een belangrijke
prioriteit voor alle werkgevers in Europa.
Stap 1. Breng in kaart welke persoonsgegevens de organisatie verwerkt
Stap 2. Bepaal van elke verwerking van persoonsgegevens of die noodzakelijk is
Stap 3. Verwijder zoveel mogelijk persoonsgegevens
Stap 4. Beschrijf alle verwerkingen in het verwerkingsregister
Stap 5. Overweeg een privacy functionaris aan te stellen
Stap 6. Zorg dat de privacy functionaris goed geïnformeerd is
Stap 7. Kies indien nodig software die voldoet aan ‘privacy by design’
Stap 8. Kies voor goed management
Stap 9. Stel een ‘bewerkersovereenkomst’ op met Cloud leveranciers
Stap 10. Onderzoek het beveiligingsniveau van online HRM-applicaties
Stap 11. Zorg dat medewerkers hun gegevens in standaardformaat kunnen ontvangen
Stap 12. Train HRM-medewerkers in de omgang met persoonsgegevens
Stap 1. Breng in kaart welke persoonsgegevens de organisatie verwerkt
Begin door zorgvuldig in kaart te brengen welke persoonsgegevens de organisatie
momenteel verwerkt en op welke manier. Het kan daarbij bijvoorbeeld gaan om klantgegevens,
zoals adres, woonplaats en de aankoopgeschiedenis.
Onderzoek exact welke gegevens in het personeelsdossier zijn opgeslagen, hoe die verwerkt worden en hoe lang ze bewaard worden.
Welke gegevens van medewerkers zijn daarin opgeslagen?
Wie heeft toegang tot welke data?
Binnen welke situaties worden ze hoe gebruikt?
Hierbij gaat het onder meer om de gegevens die nodig zijn om salaris uit te betalen, zoals
het bankrekeningnummer en het fiscale nummer van medewerkers. Daarnaast houdt
de organisatie waarschijnlijk bij hoe medewerkers functioneren, registreert de opgenomen
vakantiedagen en verwerkt declaraties.
Welke gegevens van stagiairs slaat de organisatie op? Waarom? Bewaart de organisatie ook de gegevens van oud-medewerkers?
Ook binnen sollicitatieprocedures hebben werkgevers te maken met persoonsgegevens:
Waar worden brieven en cv’s van sollicitanten opgeslagen?
Wie mogen die inzien?
Hoe lang worden ze bewaard? Waarom?
Bijzondere persoonsgegevens
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd.
Deze zijn door de wetgever extra beschermd. Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is gemaakt.
Stap 2. Bepaal van elke verwerking van persoonsgegevens of die noodzakelijk is
Richt verwerkingsprocessen van persoonsgegevens zo in dat zo min mogelijk persoonsgegevens
worden verwerkt, zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard.
Stap 3. Verwijder zoveel mogelijk persoonsgegevens
Verzamel zo min mogelijk privacygevoelige informatie over medewerkers. Gooi deze bovendien zo snel mogelijk weer weg. Om het risico te minimaliseren dat persoonsgegevens worden misbruikt, schrijft de AVG voor dat organisaties zo min mogelijk persoonsgegevens bewaren. Dat betekent dat zij actief informatie moeten weggooien wanneer deze niet meer relevant is.
Deze stelregel is bijvoorbeeld ook van toepassingen op het sollicitatieproces.
Stap 4. Beschrijf alle verwerkingen in het verwerkingsregister
In dit register moet onder meer staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.
Stap 5. Overweeg een privacy functionaris aan te stellen
Dat is al verplicht voor overheidsorganisaties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zoals ziektekostenverzekeraars. De functionaris is een onafhankelijke
medewerker die toeziet en adviseert bij alles dat aan privacy raakt, van een nieuw HRM-systeem tot een rittenregistratiesysteem of het uitbesteden van salarisverwerking.
De functie van privacy functionaris mag parttime worden vervuld, of door een externe deskundige.
De privacy functionaris moet vanuit een onafhankelijke positie verslag uit kunnen brengen aan de hoogst verantwoordelijke binnen de organisatie. Dat geldt zowel voor de onderwerpen waarop de functionaris zich richt als zijn of haar oordeel. Daarom is het bijvoorbeeld niet toegestaan om een assistent van de HRM-afdeling deze functie te geven. Maar de HRM-directeur is bijvoorbeeld wel geschikt, tenminste wanneer die deel uitmaakt van de Raad van Bestuur.
Stap 6. Zorg dat de privacy functionaris goed geïnformeerd is
Informeer de privacy functionaris over alle processen waarbinnen persoonsgegevens worden verwerkt. Hij of zij heeft namelijk als taak om toe te zien op de naleving van de privacywetgeving binnen de organisatie. Dat betekent dat deze functionaris door de organisatie goed op de hoogte moet worden gehouden van alle processen waarbinnen persoonsgegevens worden verwerkt.
Stap7. Kies indien nodig software die voldoet aan ‘privacy by design’
Leg elk softwareprogramma waarmee de organisatie persoonsgegevens verwerkt, op de pijnbank.
Volgens de AVG moet alle software die organisaties gebruiken om persoonsgegevens te verwerken, zoals HRM-software of de financiële administratie, voldoen aan “privacy by design”.
In de praktijk betekent dat, dat zo min mogelijk persoonsgegevens worden verwerkt, dat zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard.
Neem deze eis op in inkoopopdrachten voor nieuwe software, en laat leveranciers hun antwoord gemotiveerd toelichten.
Stap 8. Kies voor goed management
Ken beperkte rechten toe aan beperkte afdelingen/personen. Persoonsgegevens zijn alleen toegankelijk voor de juiste personen. Zo kan een afdelingsmanager standaard alleen de verzuim- en vakantiedagen van de eigen teamleden bekijken, maar niet die van andere afdelingen.
Stap 9. Stel een ‘bewerkersovereenkomst’ op met Cloud leveranciers
Maakt uw organisatie gebruik van online HRM-applicaties? Sluit dan een zogeheten ‘verwerkersovereenkomst’ af met de leverancier. Daarin maakt u afspraken over de omgang met persoonlijke gegevens. Daarnaast zult u toestemming moeten vragen aan medewerkers voor het onderbrengen van hun persoonsgegevens bij deze leverancier.
Stap 10. Onderzoek het beveiligingsniveau van online HRM-applicaties (indien gebruikt)
Voer een aantal controles uit voordat u in zee gaat met een leverancier van HRM-applicaties
in de Cloud. Ook al heeft u de verwerking van personeelsgegevens daarmee uitbesteed, de organisatie blijft verantwoordelijk voor de bescherming van deze data.
Stap 11. Zorg dat medewerkers hun gegevens in standaardformaat kunnen ontvangen
Betrokkenen hebben het recht een kopie van hun persoonsgegevens te ontvangen.
Zorg dus dat medewerkers hun personeelsdossier in een standaardformaat kunnen
ontvangen, bijvoorbeeld als PDF.
Stap 12. Train HRM-medewerkers in de omgang met persoonsgegevens
Zorg ervoor dat alle HRM-medewerkers op de hoogte zijn van het privacy beleid van
de organisatie. Zij moeten goed weten wie welke rol speelt bij de omgang met persoonsgegevens.
Daarnaast moeten zij worden getraind op het gebied van privacy.
Conclusie
Door de nieuwe privacywetgeving zullen organisaties nog beter moeten nadenken over de manier waarop ze omgaan met persoonsgegevens. Wanneer ze die taak te licht opvatten, kan dat hen duur komen te staan: bij overtredingen kan de Autoriteit Persoonsgegevens aan organisaties sancties opleggen van maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet van ondernemingen.
Dat maakt de bescherming van persoonsgegevens de komende tijd een belangrijke prioriteit voor
alle werkgevers in Europa.
Meer informatie:
Administratie Controle.