Loud - Juridisch Advies & Mediation
16-01-2023 | AVG
Lees meer
Hoe ga jij als werkgever om met het privacyrecht van jouw werknemers? Sinds de invoering van de Algemene Verordening Gegevensverwerking (hierna: AVG) op 25 mei 2018 hebben bedrijven massaal hun privacyregels aangepast. Erg verstandig, want op de niet naleving van de AVG staan hoge boetes. Ondertussen wordt er vaak voorbij gegaan aan de privacyregels betreft de eigen werknemers, terwijl je als werkgever al snel persoonsgegevens van werknemers verwerkt.
Het verwerken van persoonsgegevens begint al zodra je een sollicitatiebrief en cv ontvangt van een potentiële werknemer. Zodra de werknemer in dienst is stopt de verwerking uiteraard niet. Zo verwerk je gegevens van werknemers bijvoorbeeld door ze toegang te geven tot de bedrijfse-mail, maar ook als je bijvoorbeeld gebruik maakt van cameratoezicht.
Het kan ook zo zijn dat je gegevens van werknemers dient te verstrekken aan personen of organisaties buiten jouw onderneming. Bijvoorbeeld om een leasecontract te sluiten voor de leaseauto van een werknemer. Bovendien kun je wettelijk verplicht zijn om gegevens te verstrekken, bijvoorbeeld aan de Belastingdienst of het UWV.
Als werkgever ben je verplicht te vertellen wat er met de persoonsgegevens van jouw werknemers gebeurt. Hierbij dient het doel van de verwerking, de bewaartermijn en de rechten van werknemers te worden vermeld. Deze verplichting geldt voor zowel grote als kleine werkgevers. Grotere werkgevers (met meer dan 250 werknemers) dienen hierbij ook verplicht een verwerkersregister te hebben. Ook voor kleine ondernemers is een verwerkingsregister aan te raden. Hierover hebben we enige tijd terug een blog geschreven.
Daarnaast dien je jouw werknemers te wijzen op de rechten die ze hebben, zoals onder andere het inzagerecht. Dit kan ook uitgebreid worden opgenomen in een informatievoorziening zodat jij als werkgever aan al je verplichtingen voldoet. Daarbij kun je dan ook gelijk uitschrijven hoe jij wilt dat werknemers omgaan met bepaalde gegevens en hoe jouw werknemers zich (ten opzichte van jouw onderneming) gedragen ten aanzien van social media, e-mail en internet.
Als werkgever ben je verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Het is daarom goed om je werknemers bewust te maken van de mogelijkheid van een datalek. Bij een datalek denken we al vaak aan gegevens die gehackt worden. Een datalek kan echter ook ontstaan als een werknemer per ongeluk een e-mail met gevoelige gegevens naar de verkeerde persoon stuurt. Het is dan belangrijk dat een werknemer weet hoe er in zo’n situatie gehandeld moet worden.
In bepaalde situaties kan een functionaris persoonsgegevens verplicht zijn. Er is dan iemand die een oogje in het zeil houdt en controleert of intern voldaan wordt aan de AVG. Dit kan bijvoorbeeld het geval zijn wanneer de kernactiviteiten van je organisatie op grote schaal individuen volgen of deze activiteiten in kaart brengen. Ook is dit het geval wanneer de kernactiviteit ziet op het verwerken van bijzondere persoonsgegevens (denk hierbij aan gegevens over iemands gezondheid, ras of geloofsovertuiging). Twijfel je of je een functionaris persoonsgegevens moet aanstellen? Wij gaan dit graag voor je na.
Een DPIA is in bepaalde situaties verplicht om te maken. Dit is een onderzoek waaruit naar voren zal komen waar de privacyrisico’s liggen bij het gebruiken van persoonsgegevens. De verplichting tot een DPIA heb je alleen als je persoonsgegevens verwerkt waarvan een hoog privacyrisico bestaat. Dit kan het geval zijn wanneer er nieuwe technologieën worden gebruikt. Denk hierbij bijvoorbeeld aan het hebben van camera’s op de werkvloer. Het kan ook zijn dat je een vermoeden hebt dat een werknemer dingen doet die niet door de beugel kunnen. Wanneer je dit wilt monitoren met een camera of bijvoorbeeld het e-mailgebruik wilt inzien, kan een DPIA ook verplicht zijn. Dit kan ook worden uitgeschreven in een informatievoorziening zodat je hier achteraf niet op kunt worden teruggefloten.
Belangrijk is dus dat je niet alleen AVG-proof bent ten opzichte van degenen buiten jouw organisatie. Het is ook van belang dat jouw onderneming voldoet aan de AVG als het aankomt op jouw werknemers. Hierbij is het belangrijk om het nodige een keer goed vast te leggen. Je bent dan minder kwetsbaar en het geeft ook richting jouw werknemers een beeld dat je alles goed op orde hebt.
Duidelijk is in ieder geval dat je als werkgever een informatieplicht richting werknemers hebt. Hiernaast zijn er meerdere processen die je wellicht moet volgen. Dit geldt ook als je een kleine werkgever bent! Wij kunnen helpen bij het opstellen van een privacybeleid/informatieverstrekking richting werknemers.
Heb je nog vragen of kun je onze hulp gebruiken? Neem dan vooral contact met ons op. We helpen je graag!
Arbeidsrecht en sociale zekerheid
Overeenkomstenrecht
Ondernemingsrecht
