Citius Advocaten Logo
Citius Advocaten Logo

Het belang van de nieuwe privacywetgeving voor de ondernemer: (2) de persoonsgegevens van de werknemer – enkele actiepunten

18 January 2018

 

Ondernemingen bewaren veel gegevens over hun werknemers die als persoonsgegevens worden beschermd onder de privacywetgeving. Voor de hand liggende voorbeelden hiervan zijn de NAW-gegevens van de medewerker en bankgegevens voor de uitkering van het salaris. Maar ook het personeelsdossier bevat talloze gegevens die als persoonsgegevens kunenn kwalificeren, zoals bijvoorbeeld beoordelingsverslagen. Ook de HR-afdeling van uw onderneming moet dus voldoen aan privacyregelgeving en de nieuwe privacywet die per 25 mei 2018 in werking treedt: de Algemene Verordening Gegevensbescherming (“AVG“). Wij willen u alvast wijzen op enkele belangrijke actiepunten.

 

  1. Informatieplicht

Uw medewerkers dienen op grond van de AVG te worden geïnformeerd over hoe uw onderneming omgaat met hun persoonsgegevens. Zo dienen medewerkers onder meer te worden geïnformeerd over de doeleinden waarvoor persoonsgegevens van hen worden opgeslagen, ofwel – in de termen van de privacywetgeving – ‘verwerkt’, wie er toegang krijgen tot die persoonsgegevens (denk hierbij ook aan de beheerder van uw servers, bij wie de persoonsgegevens feitelijk worden opgeslagen) en de bewaartermijnen van de persoonsgegevens (zie actiepunt 2).

 

Deze informatieplicht kunt u vorm geven via een privacy policy die aan alle medewerkers ter beschikking wordt gesteld.

 

  1. Bewaartermijnen

Persoonsgegevens van uw medewerkers mogen niet tot in lengte der tijden worden bewaard. Wanneer de persoonsgegevens niet meer nodig zijn voor de onderneming, moeten deze worden verwijderd. Maar wanneer zijn bijvoorbeeld de beoordelingsgegevens over een uit dienst tredende medewerker niet meer noodzakelijk? Dat bepaalt u als onderneming in principe zelf, maar u moet de medewerkers hier vooraf over informeren (zie actiepunt 1).

 

 

 

  1. Beveiliging

De AVG bepaalt dat de persoonsgegevens van uw medewerkers adequaat moeten worden beveiligd. Of een wachtwoord voldoende is dan wel verdergaande beveiligingsmaatregelen zijn vereist, is risicoafhankelijk. Het opgeslagen kopie-paspoort van uw medewerkers brengt meer privacyrisico’s met zich mee dan adresgegevens van de medewerker. Voor het kopie-paspoort gelden in principe dan ook verdergaande beveiligingseisen. De AVG schrijft niet concreet voor welke maatregelen moeten worden genomen, dus u moet hierin zelf een keuze maken. Het is aan te bevelen hierover in ieder geval in contact met uw IT-leverancier te treden.

 

Verder geldt dat u uw medewerkers adequaat dient voor te lichten over het toepassen van de beschikbare beveiligingsmaatregelen. Zo dient de HR-medewerker te worden geïnstrueerd dat kopieën van paspoorten van medewerkers altijd op de beveiligde server worden opgeslagen en niet op het bureaublad van de privé-computer. Daarnaast hebben medewerkers via de smartphone, tablet en andere gegevensdragers mogelijk toegang tot gevoelige klantgegevens. U bent als onderneming ervoor verantwoordelijk dat zij een adequate toegangscode hanteren. Ten slotte dienen medewerkers te worden voorgelicht over de te volgen procedure in geval van verlies van een smartphone of tablet. Indien een medewerker op vakantie zijn telefoon verliest met daarop gevoelige klantgegevens (en er dus sprake is van een mogelijk datalek) en dit pas 2 weken later meldt bij u, kunt u de mogelijk verplichte melding bij de Autoriteit Persoonsgegens binnen (in principe) 72 uur in geval van een datalek niet meer nakomen.

 

Zoals u ziet is er veel te doen in de komende maanden en in ieder geval heeft het opstellen van een privacy policy prioriteit. Wij kunnen u hierin bijstaan en uw onderneming AVG-proof helpen maken.