Bent u als werkgever voorbereid op de nieuwe AVG?

Door: Mr. M.N. van Geenen (Mark)    5 juni 2018

Zoals u waarschijnlijk bekend is op 25 mei 2018 de Algemene Verordening Gegevensverwerking (AVG) in werking getreden. Heeft dit voor u als werkgever consequenties met betrekking tot het verwerken van de gegevens van uw personeel?

Gewone en bijzondere persoonsgegevens
In de nieuwe AVG wordt een onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens. Onder algemene persoonsgegevens wordt onder meer verstaan naam, geboortedatum, leeftijd, adres en opleidingsniveau van werknemers. Onder de bijzondere persoonsgegevens zijn onder meer te vatten de gegevens met betrekking tot ras en etnische afkomst, politieke opvattingen, religieuze en levensbeschouwende overtuigingen en een eventueel lidmaatschap van een vakbond. Ook kunnen daaronder vallen gegevens met betrekking tot iemands seksuele gedrag of geaardheid, eventuele geestelijke afwijkingen etc. Hoe moet u deze gegevens nu verwerken?

Gerechtvaardigd verwerkingsdoel
U mag als werkgever deze persoonsgegevens verwerken indien er sprake is van een zogenaamd onbepaald uitdrukkelijk onomstreden en gerechtvaardigd verwerkingsdoel. Als werkgever dient u zich te houden aan de identificatieplicht; immers, u moet salaris kunnen uitbetalen en u moet persoonsgegevens kunnen doorgeven aan diverse derden, zoals verzekerings- en pensioenmaatschappijen etc. Verwerking is een ruim begrip. Hieronder valt onder meer het verzamelen, het vastleggen, het opslaan, het bijwerken en het wijzigen alsook het vernietigen van allerlei persoonsgegevens.

Rechten van werknemers
De AVG geeft ook werknemers meer rechten, zoals het recht op informatie inzage en het verkrijgen van een kopie, het recht op rectificatie, het recht op gegevenswissing (“right tot be forgotten”) en het recht om niet onderworpen te zijn aan geautomatiseerde besluiten. Het is als werkgever dus zaak om uw personeelsdossier te controleren en na te gaan of juist met de persoonsgegevens van uw personeelsleden wordt omgegaan.

Meldingsplicht
Op basis van de AVG heeft u als werkgever een meldingsplicht bij datalekken. Van datalekken is sprake als er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt (bijvoorbeeld verstuurd naar een verkeerde instantie). U dient dit, na constatering daarvan,  binnen 72 uur te melden bij de AP (Autoriteit Persoonsgegevens).

Grote werkgevers
Op basis van de AVG zijn bepaalde werkgevers ook verplicht tot het bijhouden van een register van verwerkingsactiviteiten. Dit geldt voor werkgevers met meer dan 250 werknemers, die gegevensverwerking niet incidenteel maar op regelmatige basis uitvoeren c.q. laten uitvoeren en bijzondere gegevens verwerken (denk daarbij aan ziekenhuizen, verzekeringsmaatschappijen, onderwijsinstellingen etc.).

Tip
Bewaar enkel wat noodzakelijk is. Schoon uw bestand regelmatig op en check het huidige bestand op eventuele datalekken.


Door: Mr. M.N. van Geenen (Mark)