ESQ Advocaten
Smart Lawyers

Zes aandachtspunten over de AVG voor de werkgever

23 februari, 2018
Geschreven door: Geert de Haas

De Algemene Verordening Gegevensbescherming (AVG) heeft gevolgen voor uw personeelsbeleid. Zo dient de werkgever sollicitatieprocedures, personeelsdossiers, bewaartermijnen, administratie en uitwisseling van gegevens bij ziekte en re-integratie in overeenstemming met de AVG te brengen.

Zes aandachtspunten over de AVG voor de werkgever

 

  1. Breng informatiestromen binnen uw bedrijf in kaart

Leg vast welke persoonsgegevens u van de werknemer verwerkt en met welk doel deze worden verwerkt en met wie de persoonsgegevens worden gedeeld.

  1. Bepaal hoe u omgaat met een datalek

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Uit deze definitie blijkt dat een datalek verder gaat dan slechts het verlies van persoonsgegevens (bijvoorbeeld wanneer een werknemer een laptop of usb-stick met persoonsgegevens verliest). Het omvat namelijk ook situaties als een verkeerd geadresseerde e-mail verzenden of wanneer bestanden met persoonsgegevens worden versleuteld door ransomware.

Als er sprake is van een datalek, dan is het allereerst belangrijk dat de werknemer die een (mogelijk) datalek constateert dit incident onmiddellijk meldt bij de verantwoordelijke. De verantwoordelijke kan dan de afhandeling van het datalek oppakken. Het is daarom van belang dat binnen de organisatie bekend is wie de verantwoordelijke is.

De verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en  beoordelen welke vervolgstappen genomen dienen te worden. Volgens de AVG moeten de volgende acties ondernomen worden:

Registratie van het datalek in een register datalekken;

Melding van het datalek aan de Autoriteit Persoonsgegevens

Houdt het datalek een hoog risico in voor de rechten en vrijheden van natuurlijke personen, dan moet u het datalek ook melden aan de betrokkene.

Aangezien binnen een kort tijdsbestek verschillende acties ondernomen dienen te worden, raden wij aan een beleid datalekken op te stellen. In dit beleid kunt u op duidelijke wijze vast leggen hoe binnen uw organisatie wordt gehandeld indien er sprake is van een datalek of wanneer een datalek vermoed wordt.

  1. De betrokkene heeft recht tot inzage in zijn persoonsgegevens

Dit betekent bijvoorbeeld dat een werknemer op ieder moment aan de werkgever om inzage in en een kopie van zijn eigen personeelsdossier kan verzoeken. Een werknemer hoeft geen reden te geven voor een inzageverzoek.

U moet de werknemer direct en in ieder geval binnen één maand na ontvangst van het verzoek de informatie verstrekken. Bij grote of complexe verzoeken kan die termijn met maximaal twee maanden worden verlengd.

Gelet op het recht van inzage, is het van belang dat de HR-administratie op orde is. Daarnaast moet u er rekening houden dat het ‘’heimelijk’’ opbouwen van een personeelsdossier risicovol is.

  1. Persoonsgegevens mogen niet tot in oneindigheid worden bewaard

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. In een aantal andere wetten schrijven wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs bijvoorbeeld, dient de werkgever vijf jaar te bewaren na einde dienstverband.

Ook bestaat er een aantal “algemene richtlijnen”. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.

  1. Informatieplicht

Onder de AVG dient u werknemers, maar ook sollicitanten, heldere informatie te geven over onder andere de persoonsgegevens die u verwerkt, voor welk(e) doel(en) u deze gegevens verwerkt en de rechten die zij hebben. Dit wordt ook wel de informatieplicht genoemd.

Aan deze verplichting kunt u voldoen door een privacyverklaring op te stellen en deze aan uw werknemers en sollicitanten te verstrekken. De privacyverklaring dient u zo opstellen dat deze alle op grond van de AVG verplichte informatie bevat. Daarnaast dient de informatie toegankelijk en begrijpelijk te zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn.

Tip: plaats de privacyverklaring voor sollicitanten direct bij de vacature op de website en neem de privacyverklaring voor werknemers op in het personeelsreglement of personeelshandboek.

  1. De zieke werknemer

Gegevens over de gezondheid worden aangemerkt als bijzondere persoonsgegevens. Deze gegevens mogen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of collectieve arbeidsovereenkomst.

Bij een wettelijke verplichting kunt u denken aan de verplichting van de werkgever om het loon van zieke werknemers twee jaar lang door te betalen en aan de re-integratieverplichtingen van de werkgever ten aanzien van zieke werknemers.

Voor de werkgever is het van belang om te weten welke gezondheidsgegevens u mag vragen en verwerken van een sollicitant en van een zieke werknemer.

Aan de sollicitant mag u geen vragen stellen over de gezondheid van de sollicitant of diens ziekteverzuim in het verleden. Deze informatie mag u ook niet opvragen bij de vorige werkgever van de sollicitant.

Een werkgever mag een sollicitante ook niet vragen of zij zwanger is of wil worden.  Vraagt de werkgever dit toch, dan staat het de sollicitante vrij hierover onjuiste informatie te verstrekken, zonder dat de werkgever hieraan consequenties kan verbinden.

De sollicitant is wel verplicht melding te maken van gezondheidsklachten waarvan hij weet of moet begrijpen dat deze hem ongeschikt maken voor de functie. Is de werkgever van oordeel dat een werknemer relevante gezondheidsklachten heeft achtergehouden, dan kan de werkgever trachten de arbeidsovereenkomst dan wel de loondoorbetaling te stoppen.

De werkgever mag een zieke werknemer niet vragen naaar de aard en/of de oorzaak van de ziekte van de werknemer. Daarnaast mag de werkgever niet vragen naar de beperkingen en mogelijkheden van de werknemer.

De Autoriteit persoonsgegevens heeft in 2016 een lijst met informatie opgesteld die de werkgever mag opvragen op het moment dat een werknemer zich ziekmeldt. Deze lijst is beperkt tot de volgende gegevens:

  • het telefoonnummer en (verpleeg)adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met eventuele regresmogelijkheden).

Tijdens de ziekteverzuimbegeleiding en re-integratie heeft de werkgever bepaalde informatie nodig om een beslissing te kunnen nemen over de loondoorbetaling, verzuimbegeleiding en re-integratie. De bedrijfsarts mag daarom de volgende gegevens verstrekken aan de werkgever:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is;
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Al met al komt er behoorlijk wat kijken bij het goed voorbereiden van uw bedrijf op de AVG. Wij kunnen u op weg helpen met een AVG-scan. Vraag ernaar via 0162 523 033 of info@esq.nl