Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) een feit. De AVG is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR). In deze regelgeving wordt het verwerken van persoonsgegevens beperkt om de privacy van natuurlijke personen beter te beschermen. Uw HR-organisatie moet dan aantoonbaar voldoen aan het groot aantal verplichtingen dat uit die privacywetgeving voortvloeit.  Een aantal kernbegrippen toegelicht.

Persoonsgegevens

Onder persoonsgegevens vallen alle gegevens die tot een natuurlijk persoon te herleiden zijn, of die een bepaald persoon kunnen identificeren. Voorbeelden van persoonsgegevens zijn: naam- en adresgegevens, e-mailadressen, pasfoto’s en vingerafdrukken. De AVG stelt beperkingen aan het verwerken van deze persoonsgegevens.

Bijzondere persoonsgegevens

Als bijzondere persoonsgegevens gelden gevoelige gegevens die naar een specifieke persoon kunnen leiden. Bijzondere persoonsgegevens mogen alleen worden verwerkt als dit noodzakelijk is voor de goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten. Als bijzondere gegevens worden specifiek genoemd:

  • religieuze of levensbeschouwelijke overtuigingen
  • ras of etnische afkomst
  • politieke opvattingen
  • religie of overtuiging
  • lidmaatschap vakvereniging
  • gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon
  • seksueel gedrag en seksuele voorkeur
  • strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen

De Autoriteit Persoonsgegevens (AP) stelt dat het burgerservicenummer (BSN) ook een bijzonder persoonsgegeven is, omdat het een uniek en tot de persoon herleidbaar nummer is. De risico’s op misbruik zijn te groot, stelt de AP. Dat betekent dat u als werkgever geen BSN mag doorgeven aan anderen. Het is de persoon zelf om zijn of haar BSN te geven.

Verwerken van persoonsgegevens

Verwerken van persoonsgegevens is in de privacywetgeving een breed begrip. Het omvat verzamelen, vastleggen, ordenen, structureren, opslaan, opvragen, raadplegen, gebruiken en verspreiden. En het maakt daarbij niet uit of u deze gegevens via geautomatiseerde processen of handmatig verwerkt. Persoonsgegevens moeten voldoende worden beveiligd. Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Bijvoorbeeld: het medisch dossier van een medewerker moet zwaarder worden beveiligd dan een verjaardagslijst van de afdelingsmedewerkers.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is een persoon of organisatie die de persoonsgegevens van een ingezetene van de Europese Unie heeft vastgelegd. Een werkgever in Nederland die de persoonsgegevens van zijn werknemers heeft geregistreerd is dus de verwerkingsverantwoordelijke in de zin van de wet.

Verwerker

De verwerker is een persoon of organisatie die in opdracht van een andere partij (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Wanneer een verwerker toegang heeft tot persoonsgegevens is een verwerkingsovereenkomst nodig. Zo kan het zijn dat u een verwerkingsovereenkomst met de leasemaatschappij nodig heeft omdat u haar gegevens van uw medewerkers verstrekt. Met de NS is een dergelijke overeenkomst niet nodig omdat zij zelf veerwerkingsverantwoordelijke zijn voor abonnementsgegevens.

Verwerkingsovereenkomst

Een verwerkingsovereenkomst is nodig wanneer een verwerker in opdracht van de verwerkingsverantwoordelijke toegang heeft tot de persoonsgegevens.  Heeft een organisatie met wie uw bedrijf samenwerkt geen toegang tot de persoonsgegevens die u vastlegt, dan is er geen verwerkingsovereenkomst nodig.

Elementen die in een verwerkingsovereenkomst worden opgenomen zijn:

  • doel en aard van de verwerking
  • de veiligheidsmaatregelen die ter beveiliging getroffen moeten worden
  • persoonsgegevens mogen niet verwerkt voor een ander doel dan opgegeven in de verwerkingsovereenkomst
  • de persoonsgegevens mogen enkel in opdracht, en volgens de aanwijzingen van de verwerkingsverantwoordelijke worden verwerkt. Deze aanwijzingen zijn opgenomen in de overeenkomst
  • waar de persoonsgegevens worden opgeslagen
  • de persoonsgegevens moeten worden vernietigd als de verwerkingsopdracht is afgelopen
  • De mogelijkheid van de verwerkingsverantwoordelijke om te (laten) onderzoeken (audit) of verwerkingsovereenkomst naleeft

Pseudonimiseren van de persoonsgegevens

Voor het beveiligen van persoonsgegevens wordt is pseudonimiseren van persoonsgegevens een veel toegepaste methode. Hierbij worden de persoonsgegevens van (vroegere) werknemers, leerlingen, klanten en dergelijke in een gegevensbestand vervangen door een codering (bijvoorbeeld een nummer). De persoonsgegevens met deze coderingssleutel worden in een aparte gegevensbestand opgenomen en veilig en wel weggeborgen. Let wel op, de Europese Privacyverordening GDPR stelt dat “deze aanvullende gegevens apart moeten worden bewaard en technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”. De Autoriteit Persoonsgegevens (AP) adviseert onderwijsinstellingen om pseudonimiseren te gebruiken voor de leerlingenadministratie. Lees meer

Pseudonimiseren is niet hetzelfde als anonimiseren van persoonsgegevens omdat het met een tussenstap altijd nog terug te leiden is tot een specifiek persoon.

Wilt u op de hoogte blijven?

Mercash publiceert de komende periode met regelmaat over de AVG en de impact op de Human Resources en het arbeidsrecht. Schrijf u in, en u ontvangt een melding wanneer er een nieuw bericht wordt geplaatst.