Personeelsgegevens, wat mag je vastleggen en wat niet?

Personeelsgegevens, wat mag je vastleggen en wat niet?

Personeelsgegevens, wat mag je vastleggen en wat niet?

Als ondernemer loop je gemakkelijk in de valkuilen van de nieuwe wetgeving over persoonsgegevens, de Algemene Verordening Gegevensbescherming (AVG). De nieuwe regeling gaat in op 25 mei 2018 en omvat bepalingen die van groot belang zijn voor de ondernemer. Wat mag hij bijvoorbeeld vastleggen in het personeelsdossier en met wie mag hij het delen? „Regel je het niet goed, dan ben je het bokje”, aldus Jasper Gevers, advocaat Privacy en IE bij De Haan Advocaten & Notarissen.

NOORDZ BRANDED

Grote ondernemingen en instellingen maar ook alle ondernemingen in het midden- en kleinbedrijf hebben ermee te maken: Personeelsgegevens, wat mag je vastleggen en wat niet?

Als ondernemer leg je personeelsgegevens vast in een dossier. Hierbij kun je denken aan NAW-gegevens, een kopie van het identiteitsbewijs, klachten en/of waarschuwingen en frequentie van verzuim. Maar pas daarmee op, want voor je het weet is de privacy in het geding. „Niet alles mag zonder meer vastgelegd worden in het dossier. Daar wordt nog wel eens gemakkelijk over gedacht. Zo is wettelijk geregeld dat gegevens over iemands godsdienst, seksuele geaardheid, politieke voorkeur, gezondheid en een eventueel strafrechtelijk verleden niet mogen worden opgenomen in het personeelsdossier”, zegt Jasper Gevers, advocaat Privacy en IE bij De Haan Advocaten & Notarissen.

„In sommige situaties is het een grijs gebied, want als een medewerker zich een aantal keren heeft ziek gemeld, wil je daar wel iets mee doen. Eigenlijk mag uitsluitend de bedrijfsarts deze medische informatie vastleggen want die heeft een beroepsgeheim, zodat de privacy op dat vlak gewaarborgd is.”

Wat als een werknemer zijn personeelsdossier wil inzien? „De werknemer heeft te allen tijde het recht van inzage en het recht gegevens te wijzigen of te verwijderen”, zegt Gevers daarover. Een belangrijk punt in het vastleggen van gegevens is dat van tevoren is afgesproken tussen werkgever en werknemer welke informatie wordt vastgelegd en wat het doel hiervan is.

„Veel medewerkers van bedrijven maken gebruik van laptops en mobiele telefoons. Deze mogen vaak ook privé worden gebruikt, maar wat als een medewerker zijn laptop verliest? Of als hij ontslag krijgt en hij moet deze apparatuur inleveren? Als hierover niets is vastgelegd dan mag een werkgever deze informatie, zoals de inhoud van emails, niet zonder meer gebruiken”, gaat Gevers verder.

„In sommige situaties kan het nodig zijn dat gegevens op een verloren laptop of telefoon op afstand gewist worden om te voorkomen dat bedrijfsgegevens in verkeerde handen vallen. Als op deze laptop of telefoon ook privémail of foto’s zijn opgeslagen, worden ook deze data gewist. Dat kan heel vervelend zijn voor de medewerker in kwestie. Het is daarom erg belangrijk dat de werkgever dit in een protocol heeft vastgelegd.”

Bij grote MKB-ondernemingen moet ook de ondernemingsraad worden meegenomen als het gaat over het vastleggen van persoonsgegevens en het opstellen van protocollen. Met de AVG wil de wetgever bereiken dat er beter wordt nagedacht over het verstrekken van persoonsgegevens, de verwerking van persoonsgegevens en het vrijgeven gebruiken daarvan.

„Een ondernemer moet zelf ook nadenken wat de gevolgen kunnen zijn van zijn handelen. Een goed voorbeeld is dat van een ondernemer die voor een woningbouwcoöperatie zonnepanelen plaatste waarbij gegevens over energieproductie en verbruik draadloos werden verstuurd. Hiervoor moest bij elk huishouden een exit point (draadloze verbinding met het internet) worden aangelegd maar hierop ontbrak de juiste beveiliging. Op die manier kon van buitenaf zo worden ingelogd op het thuisnetwerk van de bewoners. De woningbouwcoöperatie heeft een heel grote investering gedaan maar had de beveiliging dus niet op peil. Er is uiteindelijk geen directe schade ontstaan maar als ondernemer sta je er wel gekleurd op. Je mag dus concluderen dat je als ondernemer moet blijven nadenken over wat je doet op het gebied van persoonsgegevens. De wereld verandert voortdurend en de regelgeving dus ook. Wees zorgvuldig, inventariseer welke persoonsgegevens echt nodig zijn voor de onderneming en werk met protocollen die bij de belanghebbende partijen bekend zijn. Zo kun je een hoop problemen voorkomen.”

Zo bent u in 10 stappen klaar voor de AVG

  1. Controleer of u persoonsgegevens verwerkt;

  2. Wijs een verantwoordelijk persoon voor gegevensverwerking aan (functionaris Gegevensbescherming);

  3. Inventariseer wat voor soort persoonsgegevens u verwerkt en leg dit vast in een register;

  4. Controleer of u toestemming nodig heeft voor het verwerken van persoonsgegevens en leg bewijs van deze toestemming vast;

  5. Voer een dataminimalisatie beleid in;

  6. Pas uw beveiligingsbeleid en beveiligingsniveau aan;

  7. Pas uw privacy policy aan;

  8. Leg vast wat er moet gebeuren in geval van een datalek;

  9. Pas uw systemen aan zodat u de rechten van betrokkenen kunt uitvoeren (o.a. inzage en verwijdering)

  10. Stel verwerkersovereenkomsten op voor al uw verwerkers van persoonsgegevens;

www.dehaanlaw.nl

Geplaatst op: 24 november 2017

[GA TERUG]

Geef uw reactie:

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *