De vereisten die voor bedrijven worden gesteld in de AVG zijn zeer verstrekkend en de impact die de AVG op bedrijven zal hebben is groot. Onder andere voor HR is het belangrijk om haar werkwijze aan te passen in overeenstemming met de nieuwe regelgeving. De impact zal voelbaar zijn bijvoorbeeld voor sollicitatieprocedures, het houden van personeelsdossiers, het bewaken van bewaartermijnen, het voeren van administratie en bij de uitwisseling van gegevens bij ziekte en re-integratie.
Hier vind je alvast 6 aandachtspunten voor een goede voorbereiding op de AVG.
Stap 1. Breng de informatiestromen van de HR-afdeling in kaart
Voor een goede voorbereiding op de AVG is het belangrijk om in kaart te brengen in hoeverre uw organisatie/HR persoonsgegevens verwerkt. Beantwoord daarom (expliciet) de volgende vragen:
- Welke persoonsgegevens verwerkt HR?
- Van wie worden persoonsgegevens verwerkt door HR?
- Met welk doel worden persoonsgegevens verwerkt door HR?
- Met wie worden deze persoonsgegevens gedeeld?
Stap 2. Bepaal hoe u omgaat met een datalek
Er geldt een meldplicht voor (ernstige) datalekken. Bij een datalek gaat het om “vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zónder dat dit de bedoeling is van deze organisatie”. Van een datalek is al redelijk snel sprake (een verkeerd geadresseerde e-mail is ook een datalek) dus de kans is groot dat je er mee te maken krijgt.
Wijs iemand aan die “hoofd datalekken” wordt
Er dient een verantwoordelijke te worden aangewezen die de afhandeling van datalekken regelt. Die verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en beoordelen welke vervolgstappen genomen dienen te worden.
Stel een protocol op
Het is raadzaam indien dit proces volgens een beleidsplan/protocol plaatsvindt. Dit is in de eerste plaats efficiënt, maar toont daarnaast aan dat jouw organisatie bezig is met de implementatie van de AVG. Volgens de Autoriteit Persoonsgegevens moeten in ieder geval de volgende acties bij een datalek worden ondernomen:
- Registratie van het datalek in een register datalekken;
- Mogelijk dient er een melding te worden gedaan bij de Autoriteit Persoonsgegevens (binnen 72 uur na ontdekking datalek);
- Houdt het datalek een hoog risico in voor de rechten en vrijheden van natuurlijke personen? Dan moet je het datalek ook melden aan de betrokkene.
Stap 3. Bereid je erop voor dat betrokkenen recht hebben op inzage in hun persoonsgegevens.
Personen van wie persoonsgegevens worden verwerkt, hebben recht op inzage in
(afschrift van) de persoonsgegevens die van hen worden verwerkt. Dit betekent voor HR onder meer dat een werknemer op elk moment en zonder reden aan de
werkgever om een kopie van zijn eigen personeelsdossier kan vragen.
De werkgever dient binnen één maand aan dit verzoek gehoor te geven. Bij grote of complexe verzoeken kan die termijn met maximaal twee maanden worden verlengd.
Het is daarom van belang dat de HR-administratie op orde is. Het ‘’heimelijk’’ opbouwen van een personeelsdossier is daardoor ook niet zonder risico’s.
Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje, dan vallen deze aantekeningen niet onder het inzagerecht. Hiervoor is het wel belangrijk dat deze aantekeningen niet worden opgenomen in een dossier, bijvoorbeeld een personeelsdossier, of worden verstrekt aan derden. Worden de aantekeningen wel opgenomen in het personeelsdossier of verstrekt aan derden, dan heeft de werknemer ook recht op inzage in en afschrift van deze aantekeningen.
Stap 4. Houdt er rekening mee dat u persoonsgegevens slechts voor een beperkte periode mag bewaren.
De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staan geen concrete bewaartermijnen in de AVG, maar deze vind je doorgaans terug in andere wetten of richtlijnen. (bijv.: Gegevens sollicitanten: maximaal vier weken na de sollicitatieprocedure; arbeidsovereenkomsten van ex-werknemers: maximaal twee jaar na einde dienstverband; kopie paspoort ex-werknemer: maximaal vijf jaar na einde dienstverband etc. etc.)
Stap 5. Bereid u voor op de informatieplicht.
Onder de AVG dien je werknemers (maar ook bijv. sollicitanten) heldere informatie te geven over onder andere de persoonsgegevens die je verwerkt, voor welk(e) doel(en) je deze gegevens verwerkt en de rechten die de werknemers hebben ten aanzien van de verwerking van deze gegevens.
Aan deze informatieplicht kun je voldoen door een zogenaamde “privacyverklaring” op te stellen die a) voldoet aan de AVG en b) toegespitst is op jouw organisatie. Deze privacyverklaring kun je vervolgens steeds aan jouw werknemers (en sollicitanten en andere betrokkenen) verstrekken.
Wij staan je graag bij in het opstellen van de Privacyverklaring.
Stap 6. Let op bij zieke werknemers.
Het verwerken van informatie ten aanzien van zieke werknemers verdient eveneens jouw aandacht. Gegevens over de gezondheid worden aangemerkt als bijzondere persoonsgegevens. Deze gegevens mogen maar zeer beperkt verwerkt worden, namelijk alleen als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of collectieve arbeidsovereenkomst. Zo mag de werkgever een zieke werknemer niet vragen naar de aard en/of de oorzaak van de ziekte van de werknemer. Daarnaast mag de werkgever niet vragen naar de beperkingen en mogelijkheden van de werknemer.
De autoriteit persoonsgegevens heeft een lijst gepubliceerd met informatie die de werkgever wél mag opvragen bij de werknemer op het moment dat deze zich ziekmeldt en daarna (aan de bedrijfsarts) tijdens de ziekteverzuimbegeleiding en re-integratie.