Een organisatie met werknemers verwerkt per definitie persoonsgegevens van werknemers. Denk aan de gebruikelijke gegevens als naam, adres, telefoonnummer, BSN, etc. Naast deze gebruikelijke gegevens worden er vaak andere persoonsgegevens verwerkt zoals psychologische assessment rapporten, gps-trackingoverzichten, foto’s in het smoelenboek, tijdsregistratiesystemen, etc. Vanaf 25 mei 2018 zal men ten aanzien van al die gegevens opnieuw moeten bezien of al de verwerkingen voldoen aan de Algemene verordening gegevensbescherming (hierna AVG). Het niet voldoen aan de AVG kan immers hoge boetes opleveren, reputatieschades en claims van werknemers. Ook kan het in ziektedossiers en ontslagzaken vervelende effecten hebben. Wat zijn nu de belangrijkste verplichtingen en veranderingen voor de werkgever ingevolge de AVG?
Recht op inzage
Onder Wet bescherming persoonsgegevens (Wbp) bestonden er al privacy rechten voor de werknemer. Een aantal van die rechten zijn onder de AVG verruimd. Zo hebben werknemers recht op inzage in de persoonsgegevens die de werkgever van hen verwerkt, zelfs als deze gegevens al eerder zijn verstrekt.
Dit is gebaseerd op een van de belangrijkste privacy beginselen, het zogenaamde transparantiebeginsel. Iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld te allen tijde in te zien. Daarbij moet dat recht eenvoudig uit te oefenen zijn zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dat de werknemer al bekend is met deze gegevens of wanneer deze gegevens al eens verstrekt zijn, is geen reden om de stukken niet te verstrekken. Simpel gezegd betekent dit dat de werknemer zijn volledige personeelsdossier mag opvragen en dat de werkgever deze ook aan de werknemer moet verstrekken. Dit moet dan ook zo snel mogelijk en uiterlijk binnen de AVG termijn van een maand nadat het verzoek is ingediend.
Recht op vergetelheid
Een nieuw persoonlijk recht onder de AVG is het recht op vergetelheid. Dit recht houdt in dat de werknemer aan de werkgever kan vragen om bepaalde persoonsgegevens te wissen. Dit is echter geen absoluut recht. Als er bijvoorbeeld sprake is van een wettelijk bewaartermijn voor de werkgever kan dit recht niet uitgeoefend worden zolang het wettelijke bewaartermijn nog loopt.
Informatieplicht
Wat verder volgt uit het transparantiebeginsel is de informatieplicht. Als werkgever moet je je sollicitanten en werknemers pro-actief, dus uit jezelf informeren over de verwerkingen van persoonsgegevens die plaatsvinden binnen de organisatie. De meest gebruikelijke manier om dit te doen is door het plaatsen van een privacyverklaring op de website en een intern privacy beleid dat onderdeel is van de arbeidsdocumentatie. Er moet duidelijk vermeld worden welke gegevens er worden verzameld, voor welke doeleinden dit gedaan wordt en waar de werknemer eventueel een klacht of verzoek kan indienen rondom de verwerking.
Cameratoezicht, GPS en vingerscan
Hoe zit het met cameratoezicht op het werk, het gebruik van een vingerscan om toegang te krijgen of de tijd te klokken en het GPS-systeem in de auto van de werknemer? Mag je dit allemaal wel verzamelen zolang je de werknemer er maar van op de hoogte stelt? Of moet je toestemming vragen? En mag je die gegevens dan ook gebruiken om de werknemer te controleren en onregelmatigheden op te sporen?
AVG stappen
In al deze gevallen dient men eerst vast te stellen of er wel een wettelijke grondslag is voor de verwerking. Vervolgens moet men een belangenafweging maken tussen het belang van de werkgever om de gegevens te verwerken en te verzamelen en het belang van de werknemer om die gegevens geheim te houden. De vraag die de werkgever zich daarbij altijd moet stellen is of er een alternatief is om aan de gegevens te komen dat minder ingrijpend is ten aanzien van de privacy van de werknemer.
AVG te streng toegepast
Deze vragen zijn niet altijd gemakkelijk te beantwoorden. We zien in de praktijk daarom geregeld dat werkgevers vanwege gebrek aan kennis een veel te strenge afweging maken. Er worden dan keuzes gemaakt met de gedachte, ‘dat mag niet meer onder de AVG’, terwijl dat wel nog had gekund maar dan anders. Bijvoorbeeld het versturen van loonstrookjes over de mail. Dat mag nog steeds maar streep dan het BSN-nummer weg en andere gegevens die niet relevant zijn voor de ontvanger.
Zorg voor de juiste kennis over de praktijk toepassing van de AVG
Het is een zeer divers palet aan situaties waar men als werkgever steeds mee te maken krijgt. Het is daarom belangrijk om de juiste praktijkkennis in huis te halen omtrent wat de juiste algemene stappen en afwegingen zijn in de meest voorkomende werknemerssituatie.
Om de juiste praktische toepassing binnen uw organisatie mogelijk te maken organiseren wij op 16 juni 2019 de Masterclass Privacy en Werknemers. In één dagdeel maken wij u wegwijs in dit onderwerk en krijgt u daar bovendien een handig naslagwerk bij. Tevens kunt u dit naslagwerk apart bestellen voor 95 euro (ex BTW). Kijk voor meer informatie op onze website www.thelegalprivacycompany.com/trainingen, mail info@thelegalprivacycompany.com of bel 020-3450152.