Wat betekent de AVG / GDPR voor uw organisatie?

Op hoeveel plaatsen, in hoeveel systemen, bewaart u gegevens van uw werknemers? Weet u dat? Weet u ook welke informatie over een werknemer heeft vastgelegd? En weet u ook of dit na 25 mei 2018 ook nog steeds mag? Nee? Dan wordt het hoog tijd om u voor te bereiden op de nieuwe privacywetgeving.

AVG

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Dat is de Nederlandse wet op basis van de Europese Global Data Protection Regulation (GDPR). Persoonsgegevens en persoonlijke informatie worden daarmee beter beschermd. De nieuwe privacywetgeving stelt nog meer eisen dan de huidige Wet Bescherming Persoonsgegevens (WBP) aan de verwerking van persoonsgegevens.

Bescherming persoonsgegevens, AVG

Iedere organisatie moet een administratie bijhouden van de wijze waarop zij gegevens verzamelt, wie toegang heeft tot deze gegevens en hoe deze gegevens worden bewaard. Een organisatie die persoonsgegevens bezit, moet deze veilig hebben opgeslagen zodat cyberaanvallen of datalekken geen kans maken. Het geldt niet alleen voor externe bedreigingen, ook binnen uw organisatie mogen vertrouwelijke informatie en persoonsgegevens niet voor iedereen toegankelijk zijn.

De reikwijdte van de privacywet

De GDPR-wetgeving en de vertaling in de Nederlandse wet AVG is complex en verstrekkend. De wetgeving is van toepassing op elke organisatie wereldwijd die informatie of persoonsgegevens van een EU-burger verzamelt, gebruikt, doorgeeft of elektronisch opslaat (met een overkoepelende term ‘verwerkt’ genoemd).

Naleving en boete

In Nederland gaat de Autoriteit Persoonsgegevens toezien op naleving van de nieuwe privacywetgeving. Het effect van de AVG mag niet onderschat worden, niet nakomen van de verplichtingen kan boetes opleveren tot maximaal 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet.

Toestemming

Een belangrijk effect dat HR of personeelszaken direct zal merken is de nieuwe toestemming en toegangsrechten die gaan gelden. Organisaties moeten kunnen aantonen dat zij toestemming hebben om gegevens van een individu op te slaan en te gebruiken.

Het aantal werknemergerelateerde bestanden, documenten en persoonlijke informatie is over het algemeen groter dan u denkt. Dat gaat van de gegevens voor de salarisverwerking, naar beoordelingsverslagen, verzuimregistraties tot de verjaardagslijstjes in de Outlook-agenda van de afdelingsassistent.

Om welke persoonsgegevens gaat het?

Tot een ‘persoon herleidbare informatie’, dat zijn de persoonsgegevens of persoonlijke informatie waar de AVG op van toepassing is. Dit is onder meer genetische, mentale, culturele, economische of sociale informatie. Dit valt nu allemaal onder de paraplu van persoonlijk identificeerbare informatie (PII). Maar het gaat verder. Ook het plaatsen van cookies op een computer en het vastleggen van IP-adressen vallen onder wetgeving.

Wordt dat extern opgeslagen, dan moeten ook deze externe partners voldoen aan de strengere eisen. Denk hierbij aan de werknemergegevens waarover een arbodienst, een pensioenfonds en dergelijke beschikken.

Persoonsgegevens alleen gebruiken voor het beoogde doel

Van een werknemer wordt algemene informatie verwerkt zoals burgerlijke staat, gegevens van kinderen en partners, bezit van rijbewijs of een kopietje van het paspoort. Onder de nieuwe wetgeving mag alleen nog naar informatie worden gevraagd als dat relevant is voor het beoogde doel. En die informatie mag dan ook alleen voor dat doel worden gebruikt. Voor alle andere vormen van gegevensverzameling moet expliciet toestemming gevraagd worden.

Bewaren mag niet meer

Organisaties mogen persoonsgegevens onder de nieuwe regelgeving niet langer bewaren dan nodig. Dat betekent praktisch bijvoorbeeld dat gegevens van afgewezen sollicitanten moeten worden verwijderd als de sollicitatieprocedure is afgelopen. Het betekent ook dat de gegevens van een werknemer die uit dienst gaat (om welke reden dan ook) maar voor een beperkte tijd mogen worden bepaald.

Inzage en overdraagbaarheid

In de AVG / GDPR is het recht op privacy aangescherpt. Een betrokkene kan zijn persoonsgegevens opvragen die een organisatie van hen heeft. De betrokkene mag daarbij niet door de organisatie worden tegengewerkt, sterker de organisatie moet de toegankelijkheid van de gegevens waarborgen.

Organisaties zijn eveneens verplicht om inzicht te kunnen geven in hoe en waar gegevens opgeslagen en verwerkt worden. Deze verplichting is dus ook van toepassing op de werknemergegevens. Duidelijk moet zijn wie toegang heeft tot welke informatie. Het is aan de organisatie om transparant te bewijzen hoe ze aan de nieuwe privacyregelgeving voldoen.

Lees ook: Heeft uw organisatie een functionaris voor gegevensbescherming nodig?

Wilt u op de hoogte blijven?

Mercash en Cordemeyer&Slager publiceren de komende periode met regelmaat over de AVG, de impact op de Human Resources en het arbeidsrecht. Schrijf u in, en u ontvangt een alert wanneer er een nieuw bericht is verschenen.