bescherming persoonsgegevens: verplichtingen van organisaties

In de Algemene verordening gegevensbescherming (AVG) staat wat organisaties wel en niet mogen doen met persoonsgegevens van personeel. Ook de rechten van de werknemers staan erin beschreven.

op deze pagina

    In de AVG staan de verantwoordelijkheden omschreven die organisaties hebben bij de verwerking van persoonsgegevens. Zo hebben ze een verantwoordingsplicht: ze moeten heel goed documenteren wat zij met de personeelsgegevens doen. Daarnaast moeten ze de ondernemingsraad om instemming vragen bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van werknemers. Ook hebben organisaties bepaalde plichten in verband met datalekken.

    verwerken van personeelsgegevens

    Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Daarvoor moet een zogeheten wettelijke grondslag bestaan.  Een werkgever mag op grond van de AVG in de volgende situaties gegevens van personeel verwerken:

    • als hij daarvoor toestemming heeft van zijn werknemer
    • als de verwerking nodig is voor de uitvoering van de arbeidsovereenkomst
    • als hij dat op grond van de wet verplicht is. Denk bijvoorbeeld aan de plicht om een kopie van het identiteitsbewijs van de werknemer in de loonadministratie te bewaren
    • als sprake is van een gerechtvaardigd belang. Bijvoorbeeld omdat de verwerking nodig is om bedrijfsactiviteiten uit te voeren (zoals een personeelsadministratie).

    toestemming werknemer

    Een werkgever mag gegevens van de werknemer verwerken als hij daarvoor toestemming heeft gekregen. Dat moet de werknemer actief en op ondubbelzinnige wijze hebben gedaan. De werknemer moet begrijpen voor welk doel toestemming is gevraagd. Het volstaat niet om een bepaling in de arbeidsovereenkomst op te nemen waarin staat dat de werknemer toestemming geeft voor het verwerken van zijn gegevens.

    De werkgever moet zijn werknemers erop wijzen dat zij hun toestemming te allen tijde mogen intrekken. Het moet net zo gemakkelijk zijn om die toestemming in te trekken als het is om hem te geven. Hieraan mag de werkgever geen voorwaarden verbinden.

    Op Autoriteitpersoonsgegevens.nl staat onder welke voorwaarden u persoonsgegevens mag verwerken.

    Om een boete te voorkomen is het nodig dat de werkgever de manier waarop hij toestemming vraagt, krijgt en registreert goed tegen het licht houdt – en waar nodig aanpast. Het verzoek tot toestemming moet helder en begrijpelijk zijn geformuleerd en gemakkelijk toegankelijk zijn.

    Denk bij het gebruik van persoonsgegevens ook aan de foto’s die u gebruikt voor het intranet of internet. Daarnaast kan het gaan om het opnemen van bepaalde gegevens in het personeelsdossier over het ras, de geaardheid of politieke voorkeur van de werknemer.

    verantwoordingsplicht

    Met de inwerkingtreding van de AVG hoeven werkgevers hun gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Ze hebben sinds 25 mei 2018 wél een documentatieplicht ofwel verantwoordingsplicht (accountability). Dit houdt in dat de werkgever met documenten moet kunnen aantonen dat hij de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. De werkgever is verplicht verantwoording af te leggen over zijn gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt.

    Breng alle persoonsgegevens die u verwerkt in kaart. Documenteer:
    – welke persoonsgegevens u verwerkt
    – met welk doel u deze persoonsgegevens verwerkt
    – waar de persoonsgegevens vandaan komen
    – met wie u de persoonsgegevens deelt.

    instemming van de ondernemingsraad

    De ondernemingsraad heeft instemmingsrecht bij het invoeren, wijzigen of intrekken van een regeling voor het verwerken van persoonsgegevens van werknemers. Daarvan is bijvoorbeeld sprake bij als de werkgever zijn werknemers wil gaan controleren op aanwezigheid, gedrag of prestaties. Daarnaast is instemming van de OR nodig voor het verwerkingsregister, het aanstellen van een functionaris gegevensbescherming (FG),  het uitvoeren van een privacy impact assessment en voor het privacybeleid.

    De ondernemingsraad kan zich ook op eigen initiatief uitspreken over het gebruik van personeelsgegevens. Dus zonder dat de werkgever erom heeft gevraagd. De OR kan dit doen naar aanleiding van vragen of klachten van werknemers.

    meldplicht datalekken

    De meldplicht datalekken houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Ook moeten zij het datalek mogelijk melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). De werkgever moet datalekken documenteren, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Voorbeelden van datalekken zijn: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

    Data Protection Impact Assessment (DPIA)

    Organisaties die gegevens verwerken met een hoog privacyrisico kunnen verplicht zijn een Data Protection Impact Assessment (DPIA) – ook wel privacy impact assessment genoemd – uit te voeren. Deze DPIA brengt de risico’s in beeld, waardoor de organisatie maatregelen kan nemen om die risico’s te beperken.

    functionaris voor gegevensverwerking (FG)

    Overheidsinstanties en organisaties die bepaalde verwerkingen van persoonsgegevens hebben, zijn verplicht om iemand aan te stellen die binnen de organisatie toezicht houdt op de naleving van de AVG: een functionaris voor gegevensverwerking (FG).

    boete bij overtreding

    De Autoriteit Persoonsgegevens kan werkgevers een boete opleggen als zij hun verplichtingen rondom gebruik en verwerking van persoonsgegevens niet nakomen. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes:

    • voor het niet nakomen van de verplichtingen van de AVG kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen
    • voor de overtreding van de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.