Direct verder lezen over het AVG-proof beschermen van de gegevens van jouw medewerkers?
Lees het in onze AVG-brochure.
GDPR, AVG, persoonsgegevens, privacyfunctionaris, BOY, data-integrity; de termen ten aanzien van de bescherming van data en persoonlijke details vliegen je de afgelopen jaren om de oren. Uiteraard wil jouw organisatie er alles aan doen om te voldoen, vooral richting jullie eigen medewerkers en jullie klanten. Maar waar moeten jullie beginnen? En waar staan al die begrippen nu eigenlijk voor? Wat heeft prioriteit wanneer het gaat om privacy en veiligheid? Crowe Peak is jouw partner in privacy en helpt je een weg te banen in de wereld van wetgeving.
Lees het in onze AVG-brochure.
Zoals de Nederlandse Autoriteit Persoonsgegevens (AP) stelt “veel bedrijven verdienen hun geld vooral met persoonsgegevens. Daar is op zich niets mis mee. Maar te vaak houden bedrijven zich niet aan de regels als zij gegevens verzamelen, koppelen en gebruiken. Dit gebeurt op grote schaal en vaak in complexe en ondoorzichtige systemen. (..) Dit kan leiden tot discriminatie en uitsluiting van mensen.”
Privacy is daarmee een niet uit het oog te verliezen aandachtspunt in je dagelijks leven en tijdens het zakendoen. Niet alleen voor de bescherming van jou, je medewerkers en je klanten als individuen, maar ook voor de betrouwbaarheid en de geloofwaardigheid van je organisatie. Privacy behelst nu eenmaal een fundamenteel recht waar niet zonder geldige reden, of met zorgvuldig vormgegeven waarborgen inbreuk op mag worden gemaakt. Daarbij is in de recente geschiedenis steeds duidelijker geworden dat bescherming van persoonsgegevens ook van het grootste belang is om online veiligheid te kunnen garanderen. Wanneer persoonlijke informatie in verkeerde handen valt en/of gedeeld wordt zonder toestemming geeft dit niet alleen een unheimisch gevoel, maar bestaat ook het reële risico op identiteitsdiefstal en het optreden van materiële en immateriële schade. Daarmee is het beschermen van de privacy binnen het bedrijfsleven niet alleen een wettelijke, maar in zekere zin ook een morele plicht.
Om de ernst van bovengenoemde gevolgen van het niet handhaven van privacybescherming te onderstrepen, de plichten hieromtrent meer handen en voeten te geven en bedrijven te helpen van hun privacybeleid een prioriteit met concrete doelen te maken is in 2018 binnen de gehele Europese Unie (EU) de General Data Protection Regulation (GDPR) ingevoerd. Deze verordening heeft als doel individuen te beschermen en reguleert daarmee de verwerking van persoonsgegevens door allerhande organisaties. Naleving van de GDPR wordt gehandhaafd door de autoriteiten die over gegevensbescherming gaan in de individuele EU-lidstaten. In Nederland is de betreffende autoriteit de hierboven genoemde Autoriteit Persoonsgegevens (AP). Wanneer deze een inbreuk op de GDPR ontdekt kan dit leiden tot het uitdelen van boetes ter hoogte van maximaal 4% van het bedrag aan jaarinkomsten van de betrokken organisatie, met een maximum van 20 miljoen euro. Het niet serieus nemen van je privacybeleid kan daarmee potentieel een kostbare zaak worden.
De GDPR is op nationaal niveau geïmplementeerd in alle lidstaten van de Europese Unie. In Nederland is dit gebeurd met de Algemene Verordening Gegevensbescherming (AVG of AVG). De AVG is een vervanging van de oude Wet bescherming persoonsgegevens en is inhoudelijk vrijwel identiek aan haar Engelstalige spiegelbeeld, de GDPR. Je kan daarmee stellen dat in Nederland de GDPR en de AVG hetzelfde zijn.
De regels uit de GDPR/AVG zijn daarmee niet alleen van toepassing binnen Nederland of voor Nederlandse bedrijven. De GDPR geldt namelijk voor alle ondernemingen en organisaties die persoonsgegevens van natuurlijke persoonlijke personen (individuen/mensen) in de Europese Unie bijhouden en verwerken, óók wanneer zij buiten de EU gevestigd zijn. De belangrijkste organisaties die wel uitgezonderd zijn van de wetgeving zijn organisaties die zich bezighouden met nationale veiligheid of rechtshandhaving zoals politie en justitie.
Dit betekent dat je er als commerciële organisatie vanuit kan gaan dat je gebonden bent aan de GDPR/AVG. Ook wanneer je denkt niet veel met privacy te maken te hebben. Persoonsgegevens zijn namelijk overal. De kans dat je daarom op enige wijze de activiteit onderneemt die de GDPR voornamelijk reguleert, namelijk het verwerken van persoonsgegevens is bijna honderd procent. Benieuwd of jouw organisatie inderdaad persoonsgegevens verwerkt en zo ja, wat de GDPR/AVG daarom van je vraagt? Lees snel verder.
Onze specialisten vertellen je in 45 minuten meer over AVG compliant zijn
Omdat de GDPR belangrijke verplichtingen voor vrijwel alle in Europa actieve organisaties met zich brengt is het voor iedere DGA, manager, HR-manager, CFO, CTO, CiSO en marketingmanager verstandig enige basiskennis te hebben van de GDPR/AVG. Omdat de AVG echter doorspekt is van juridisch jargon en definities is het verstandig om een professional je hier een introductie op te laten geven. Ben je op zoek naar een AVG-training voor jezelf, je managementteam of je organisatie? Neem dan direct contact met ons op. Wil je eerst een meer hoog-over begrip van de belangrijkste zaken uit de GDPR/AVG? Raadpleeg dan de hieronder staande begrippenlijst en de rest van dit overzichtsartikel.
Wil je weten of jouw organisatie dient te werken op basis van privacy by design? Ben je benieuwd of jouw organisatie een DPO in dienst moet nemen? Of heb je vragen over toestemming, rectificaties of verzoeken-om-vergeten-te-worden? Neem dan contact op met onze specialisten.
In bovenstaande lijst zie je in bijna iedere definitie het woord “persoonsgegevens” terug. Dit maakt “persoonsgegevens” feitelijk de belangrijkste definitie uit de AVG. En die luidt “alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon”. Maar wat betekent dit nu eigenlijk concreet? Dat persoonsgegevens alle gegevens zijn waarmee een persoon kan worden geïdentificeerd/achterhaald. Voorbeelden van persoonsgegevens zijn daarmee combinaties van naam en geboortedatum of opzichzelfstaand een BSN, een telefoonnummer of paspoortnummer. Belangrijk is om op te merken dat ook een mening over een persoon, een analyse van iemand of een beschrijving of indruk van een persoon specifiek naar één persoon kunnen terugleiden en daarom onder de privacywet vallen. Ook interne gespreksnotities, notulen, assessments en beoordelingsformulieren zijn daarom een bron van zorg onder de GDPR.
Bovenstaande begrippen zijn van groot belang wanneer je een privacy-beleid ontwikkelt voor jouw organisatie. En dat dat nodig is, dat blijkt wel uit de omvang van de AVG, de wijdverbreidheid van zijn toepassingsgebied en de hoogte van de boetes die op niet-naleving staan. En hoewel dit wellicht intimiderend over kan komen, hebben we ook goed nieuws: AVG/GDPR compliance valt of staat eigenlijk vooral met goed procesmanagement. Eén van de belangrijkste zaken die de wet namelijk van ondernemers vraagt is dat zij de persoonsgegevens (zie hierboven) die zij in handen hebben en krijgen op gestructureerde wijze verwerken en dat zij dit doen op basis van de juiste grondslag. Hieronder geven we daarom een introductie op het beginsel van een verwerkingsregister en lichten we de basis grondslagen voor verwerking toe. Daarna gaan we nog specifiek in op de onderwerpen “privacy en jullie personeel” en “privacy en jullie klanten”.
Een verwerkingsregister is een document dat de verwerkingsactiviteiten van persoonsgegevens binnen een organisatie beschrijft. Een dergelijk document is onder de Europese en Nederlandse privacywet voor iedere verwerker van persoonsgegevens verplicht. Kort gezegd moet je in het verwerkingsregister aandacht besteden aan de volgende vragen:
Anders geformuleerd: het verwerkingsregister moet informatie bevatten over de verwerking van persoonsgegevens, waaronder in ieder geval het doel van de verwerking, de categorieën aan persoonsgegevens die worden verwerkt, de ontvangers van de gegevens (en of die ontvangers kwalificeren als ‘derden’ en/of zich buiten de EU bevinden) en de bewaartermijnen. Het verwerkingsregister is niet bedoeld om administratieve rompslomp voor ondernemers te creëren. Het poogt juist de enorme hoeveelheid aan informatie omtrent de verwerking van persoonsgegevens te stroomlijnen en de betrokkenen en toezichthouders in staat te stellen inzicht te krijgen in de manier waarop persoonsgegevens worden verwerkt. Hierbij is van belang om op te merken dat een register alleen goed kan worden opgesteld als alle werkprocessen binnen de organisatie waarbij persoonsgegevens worden verzameld en gebruikt in kaart zijn gebracht. De zogenoemde ‘data-map’ die zo kan worden opgesteld, moet regelmatig geüpdatet worden zodat het verwerkingsregister ook weer up-to-date kan worden gehouden. Hiervoor maken veel bedrijven gebruik van de bekende plan-do-check-act-methode. Hulp nodig bij het opstellen van een (template) verwerkingsregister? Neem contact met ons op.
De AVG vraagt niet alleen van bedrijven dat ze bijhouden welke gegevens ze verwerken en hoe ze dat doen, maar ook of ze zich er wel van hebben vergewist dat ze dat mochten. Daarom verlangt de GPDR/AVG van alle verwerkers dat zij alleen persoonsgegevens verwerken op basis van een in de verordening vastgelegde grondslag. Daarbij geldt dat verwerkers voor iedere individuele verwerking van persoonsgegevens een grondslag moeten kunnen aantonen. De grondslagen die mogelijk zijn onder de AVG/GDPR laten zich als volgt samenvatten:
Van deze laatste twee gronden is slechts in uitzonderingssituaties sprake. Over het algemeen zullen reguliere, commerciële, partijen de meeste verwerkingsacties uitvoeren op basis van een overeenkomst, op basis van toestemming of – in het geval van bijvoorbeeld een arbeidsrelatie – op basis van een gerechtvaardigd belang.
"*" geeft vereiste velden aan
Een groep betrokkenen waarvan veel organisaties (bovenmatig) veel persoonsgegevens verwerken zijn hun eigen werknemers. Je weet nu eenmaal veel van je werknemers, je communiceert met en over ze en hun gegevens bevinden zich in allerlei systemen. Hieronder volgen daarom een aantal richtlijnen voor werkgevers voor een privacy-proof personeelsbeleid.
Omdat werving en selectie noodzakelijk is voor iedere organisatie is verwerking van persoonsgegevens voor dit doel over het algemeen een gerechtvaardigd belang. In de meeste situaties is daarom onder de AVG/GDPR toegestaan om de volgende gegevens van sollicitanten te verwerken:
Het is hierbij wel van belang dat voorkomen dient te worden dat bovengenoemde gegevens gaan ‘rondzwerven’ in de organisatie. Daarom is het belangrijk om een protocol vast te leggen waarin in ieder geval is vastgelegd welke functionarissen toegang hebben tot de gegevens in het sollicitatiedossier. Verder is het goed om oog te hebben voor het feit dat verwerking van een aantal andere persoonsgegevens van sollicitanten uit den boze is. Dit zijn de zogenoemde bijzondere persoonsgegevens. Dit betreft informatie over:
In dit verband kan het problematisch zijn dat pasfoto’s en video-cv’s veelal dit soort informatie bevatten. Het is daarom ook verstandig om te werken met een sollicitatiecode die bij de vacaturetekst wordt gevoegd. Hierin kunnen de verwachtingen van de organisatie kenbaar worden gemaakt en kan een privacyverklaring worden bijgevoegd. Verder is goed om op te merken dat – ook vanuit het oogpunt van privacy – het af te raden is om te vragen naar zwangerschap of een kinderwens en het verzoeken om een kopie van het paspoort in principe niet is toegestaan.
Tot slot is het vragen naar medische gegevens en gezondheid ook aan strenge regels gebonden. Kort gezegd is de enige toegestane vraag de vraag “of er omstandigheden zijn die van invloed kunnen zijn op de uitoefening van de functie”.
In het kader van sollicitaties doen veel organisaties ook aan ‘screening’. Onder screening valt volgens de AVG/GDPR bijvoorbeeld ook googlen van namen en het opvragen van referenties. Om AVG-proof te opereren is het van belang dat je bij screening de volgende do’s and don’ts in acht neemt:
Wanneer een medewerker eenmaal is aangenomen breekt een nieuwe fase aan wat betreft de beperkingen aan de verwerking van persoonsgegevens. Een werkgever mag ervan uitgaan dat hij gedurende het dienstverband onder de GDPR/AVG een grondslag heeft om de volgende gegevens van een werknemer te verwerken:
Hierbij wordt opgemerkt dat onderdeel van een zorgvuldig beleid wel is dat niet iedere HR-medewerker direct toegang heeft tot bovengenoemde gegevens. Alleen noodzakelijk bevoegde personen hoeven dergelijke gegevens te kunnen raadplegen.
Wanneer sprake is van een arbeidsrelatie zijn de mogelijkheden voor verwerking van persoonsgegevens dus iets ruimer. Echter, deze mogelijkheden zijn zeker niet onbegrensd. Ook niet ten aanzien van de termijn. Dit zijn de bewaartermijnen waarmee rekening gehouden moet worden voor persoonsgegevens van (ex)werknemers:
Wanneer slechts sprake is geweest van een sollicitatie mogen de persoonsgegevens van de sollicitant tot maximaal vier weken na afronding van het traject met de specifieke kandidaat worden verwerkt. Alleen met expliciete toestemming van de sollicitant mag dit langer zijn.
Door controle van e-mails, GPS-tracking, telefoongegevens en browsing-geschiedenissen is het monitoren van medewerkers makkelijker dan ooit. Ook dit is echter in de GDPR/AVG aan strenge regelgeving onderworpen. Hetzelfde geldt voor cameratoezicht op het personeel. De belangrijkste regels omtrent deze activiteiten hebben we onder elkaar gezet in onze whitepaper In control met de privacywet.
Wanneer een medewerker arbeidsongeschikt raakt, komt er veel op de werkgever af. Niet alleen praktisch, omdat de medewerker tijdelijk vervangen moet worden, maar ook op het gebied van administratie. Wat er nog eens bij komt is dat in die papierwinkel goed rekening gehouden dient te worden met de privacy van de werknemer. Maar hoe doe je dat? Samengevat luidt het antwoord: “door geen gegevens te verwerken die onder het medisch beroepsgeheim kunnen vallen.” Dit betekent concreet het volgende voor de omgang met ziekmelding en re-integratie, het contact met de verzuimverzekeraar en de verwerking van gegevens in het verzuimsysteem:
Bij de ziekmelding en het re-integratietraject geldt kort gezegd dat alleen de hoogstnoodzakelijke gegevens mogen worden verwerkt ten behoeve van een correcte ziekmelding en een functionerend verzuim- en re-integratiebeleid. Dit betekent onder meer dat je bij een ziekmelding alleen de volgende informatie mag uitvragen: (i) het telefoonnummer van de werknemer en het verpleegadres, (ii) vermoedelijke duur van het verzuim, (iii) informatie ten aanzien van noodzakelijke overdracht van werk, (iv) of de werknemer onder de vangnetbepalingen van de ziektewet valt, (v) of de ziekte verband houdt met een arbeidsongeval en (vi) of er sprake is van een verkeersongeval waarbij eventueel een derde aansprakelijk kan zijn. Gegevens over de aard en de oorzaak van de ziekte mag je als werkgever niet verwerken.
Indien er persoonsgegevens van een (zieke) medewerker worden doorgegeven aan een derde partij, dan dient de betrokken medewerker daarover te worden geïnformeerd. Dat geldt ook in geval van doorgifte van gegevens aan een verzuimverzekeraar. Is er binnen jouw organisatie behoefte aan meer informatie over het hoe en wanneer uitvragen van, verwerken van en opslaan van (persoons)gegevens van medewerkers? Kijk dan vooral op onze privacypagina [link].
De privacyregels rondom zieke medewerkers zijn dus streng. Let er daarom ook op dat het door jullie organisatie gebruikte verzuimsysteem enkel toegankelijk wordt gemaakt voor een beperkte groep personen. Vertrouw ook niet alleen op de IT-leverancier voor de veiligheid van gegevens hierin; als werkgever ben je zelf verantwoordelijk voor het naleven van de privacyregels en dus ook voor naleving bij het gebruik van software. Heb je hier vragen over of ben je benieuwd naar specifieke bewaartermijnen voor verzuimdossiers? Download dan hier [link] onze volledige whitepaper over de privacywet.
Tot slot: voor organisaties met een ondernemingsraad (OR) geldt dat de OR een wettelijk instemmingsrecht heeft bij het opstellen/wijzigen van regelingen met betrekking tot:
Lees meer over de ondernemingsraad in het uitgebreide artikel dat we schreven.
Let hierbij op dat instemming van de OR niet automatisch geldigheid onder de privacywet betekent.
Dergelijke regelingen moeten ook aan alle overige AVG-eisen voldoen en het management blijft hiervoor verantwoordelijk. Meer weten over personeelsvolgsystemen? Neem contact met ons op.
Een andere groep ‘betrokkenen’ van wie – vaak ongemerkt – enorm veel persoonsgegevens (kunnen) worden verwerkt zijn de klanten van bedrijven. Het is dan ook van belang dat ook omtrent verwerking van persoonsgegevens van klanten nauwgezet en op reguliere basis een verwerkingsregister [link naar kop over verwerkingsregisters hierboven] wordt bijgehouden. Verder gelden onder de AVG/GDPR veel specifieke regels voor de verwerking van persoonsgegevens via je website en andere digitale kanalen. Hieronder zetten we een aantal van de belangrijkste aandachtspunten hieromtrent onder elkaar.
De meest in het oogspringende verplichting voor organisaties met een website onder de AVG is dat hierop duidelijkheid geboden moet worden over welke persoonlijke gegevens hierop verzameld worden en waar deze voor worden gebruikt. Dit mag niet gebeuren in ‘kleine lettertjes’. Toestemming voor verwerking van persoonsgegevens en informatie hierover moet in begrijpelijke taal gegeven worden.
Verder hebben gebruikers van je website het recht om in te zien welke persoonlijke gegevens je van ze bewaart. Ook hebben ze het recht om deze gegevens te corrigeren en/of te laten verwijderen. Daarom is het ook van belang om een procedure in te stellen om deze rechten uit te oefenen. Tot slot is van bijzonder belang dat je je websitebezoekers een privacyverklaring betrekt die up-to-date is. Meer over de privacyverklaring lees je hieronder.
Een privacyverklaring/privacy statement is een document waarin je als website-eigenaar uitlegt welke persoonlijke gegevens je verzamelt, waarom je ze verzamelt en hoe je ze gebruikt. De verklaring moet rechten van de gebruikers, zoals het recht om de gegevens in te zien, te corrigeren en te verwijderen, bevatten en informatie geven over uitoefening van die rechten, bewaartermijnen en veiligheidsmaatregelen. Een sluitende privacyverklaring opstellen op basis van het privacybeleid van je bedrijf is daarom een hele klus.
Een van de meest gehoorde vragen omtrent de AVG/GDPR is dan ook “is een privacyverklaring verplicht?” Het antwoord op die vraag is “soms” of wellicht zelfs “vaak”. Op grond van het algemene transparantiebeginsel dat is vastgelegd in de AVG is iedere verwerker verplicht om informatie te verstrekken over hoe persoonsgegevens worden verwerkt. Deze verplichting ontstaat op het moment dat de verwerking aanvang neemt. Concreet betekent dit dat wanneer je website geen IP-adres registreert of cookies plaats bij enkele bezichtiging van de website, een privacyverklaring strikt niet noodzakelijk is. Indien dit echter wel gebeurt, is een privacyverklaring, bijvoorbeeld middels een cookiebanner direct verplicht. Het is dan dus ook van belang dat de bezoeker de verklaring niet kan missen.
Wanneer je website niet automatisch gegevens trackt, maar wel informatie over bezoekers binnen kan krijgen via bijvoorbeeld een contactformulier, is een privacy statement verplicht vanaf het moment dat de gegevens worden afgegeven. Desalniettemin kan het – uit het oogpunt van transparantie – ook voor bedrijven die niet (direct) verwerken verstandig zijn om een privacy statement gebaseerd op het verwerkingsregister/verwerkingsprotocol op te stellen. Heb je hier hulp bij nodig? Crowe Peak kijkt graag mee.
Wanneer je hebt geconstateerd dat een privacy statement nodig is voor op je website, wil je graag weten wat daarin moet komen te staan. Dat is in ieder geval het volgende:
Persoonsgegevens van je klanten (en andere gelieerde partijen) bevinden zich niet alleen in je website(omgeving), maar veelal op allerlei (digitale) plekken binnen je organisatie. Ook voor documentmanagement zijn er daarom binnen de AVG/GDPR allerhande (algemene) regels die de privacy van individuen moet waarborgen. Dit uit zich niet alleen in de eerder geformuleerde plicht tot het opstellen en hanteren van een verwerkingsregister, maar ook in voorschriften over doelbinding, specifieke bewaartermijnen, gegevensbeveiliging en beveiliging tegen datalekken. Welke voorschriften binnen jouw organisatie speciale aandacht verdienen zal afhankelijk zijn van waar je welke persoonsgegevens verwerkt. Crowe Peak helpt je graag om dit in beeld te brengen.
Voor bepaalde organisaties geldt dat zij onder de AVG/GDPR zelfs verplicht zijn om iemand aan te nemen die als specifieke taak heeft het privacybeleid op te stellen en te handhaven. Dit geldt in ieder geval voor overheidsinstanties, organisaties die als kernactiviteit hebben om individuen op grootschalige, regelmatige en systematische basis te monitoren en organisaties die als kernactiviteit hebben om bijzondere persoonsgegevens op grootschalige wijze te verwerken of gegevens over strafrechtelijke veroordelingen en strafbare feiten op grootschalige wijze te verwerken.
Ook organisaties die niet verplicht zijn om een DPO in dienst te nemen, kunnen ervoor kiezen om dit te doen en dit integraal onderdeel te maken van hun privacybeleid. Ook kunnen zij ervoor kiezen om een DPO in te huren als externe consultant om te helpen bij het implementeren van de AVG-regelgeving. Gezien de omvang van de verplichtingen en de complexiteit van de materie is dit voor veel organisaties aan te raden.
Met bovenstaande informatie en onze whitepaper ten aanzien van AVG- en HR-beleid hopen wij je op weg te helpen met de uitdagingen van de privacywet. Het is echter goed voor te stellen dat hier nader over van gedachte wisselen niet als overbodige luxe voelt. Onze adviseurs staan daarom graag klaar om jullie GDPR-uitdagingen samen het hoofd te bieden. Voel je welkom om contact op te nemen.
Laten we snel kennismaken!