AVG personeelsgegevens

AVG: de wetgeving

Nee, het gaat hier niet over aardappelen, groenten en vlees, maar over de Europese privacywet Algemene verordening gegevensbescherming (AVG). Of je nu personeelsgegevens, persoonsgegevens of klantinformatie in je systeem hebt staan, volgens deze wet is het je plicht om privacy op de werkvloer zoveel mogelijk te garanderen. Dat betekent dus ook dat je deze gegevens nooit zomaar mag delen met anderen. Doe je dat wel, dan doe je inbreuk op de privacy van je medewerkers. En da's niet fijn, want zij vertrouwden je hun gegevens toe en opeens heeft een derde partij ze zonder toestemming. Yikes.

Het is ook een no-go als je meer gegevens dan nodig verzamelt. Binnen de AVG-regelgeving geldt namelijk het need to know-principe: is de info nodig voor het functioneren van je medewerker? Ja, tuurlijk, het IBAN van een medewerker is belangrijk voor het uitbetalen van salaris, maar geloofsovertuiging? Politieke voorkeuren? De naam van de hond? Dat hoeft dan weer niet.

Personeelsdossier

Personeelsgegevens leg je altijd vast in een personeelsdossier. Ga er dus maar vanuit dat je die ook goed moet beveiligen, zodat het dossier van je CEO niet zomaar in de handen van een concurrent komt. Wat er allemaal in zo'n document staat? Dat lees je op onze pagina over het personeelsdossier. Hier gaan we in op de AVG en het delen van personeelsgegevens.

Personeelsgegevens doorgeven

Stel, je moet toch het een en ander over een medewerker delen met een andere collega of een extern bedrijf. Wat zegt de AVG over het doorgeven van personeelsgegevens van medewerkers? Nou, het volgende:

De voorwaarden

We verklapten het al een beetje in het vorige stuk, maar er zijn bepaalde voorwaarden voor het delen van personeelsgegevens volgens de AVG. Hier zijn ze op een rijtje:

• Er moet een rechtmatige grondslag zijn. Dit betekent dat je een specifieke en goede reden moet hebben voor het delen van personeelsgegevens. Een goede reden is bijvoorbeeld als je wettelijk verplicht bent om de gegevens te delen.


• Transparantie is een must. Je moet je medewerkers inlichten over het doorgeven van hun gegevens. Dit mag nooit achter gesloten deuren gebeuren, want daarmee geef je je medewerkers geen optie om ertegenin te gaan.
• Je moet een specifiek doel hebben. We gaan er niet vanuit dat je personeelsgegevens voor de lol deelt, maar je moet er wel iets mee willen bereiken.
• Je moet je aan je doel houden. Of op de fancy manier gezegd: het doorgeven van personeelsgegevens moet verenigbaar zijn met het doel. Je mag dus niet afwijken van je doel en personeelsgegevens met een andere organisatie of om een andere reden delen.

En nog een voorwaarde die vaak over het hoofd wordt gezien: de bewaartermijn van personeelsdossiers. Als een medewerker uit dienst treedt, mag je het personeelsdossier maximaal 2 jaar bewaren. Daarna moet je het dossier uit het raam gooien en verbranden (figuurlijk dan hè).

De reden voor gegevenswisseling

Om nog even dieper in te gaan op dat rechtmatige grondslag gebeuren: volgens de AVG mag je personeelsgegevens om zes redenen delen. Natuurlijk zijn er meer redenen die minder voor de hand liggen, maar in die gevallen schieten de autoriteiten je te hulp. Hier zijn in ieder geval de zes standaard grondslagen:

1. Je hebt toestemming van je werknemer.

   Belangrijk om mee te nemen: de toestemming moet vrijelijk gegeven worden, zonder je medewerker onder druk te zetten. Ook moet de toestemming ondubbelzinnig zijn, dus je medewerker moet echt mondeling of schriftelijk (met eigen ingevulde hokjes) de toestemming geven. En natuurlijk moet je je medewerker informeren over de doelen en welke personeelsgegevens je gaat gebruiken. Vergeet ook niet te benadrukken dat je medewerker de toestemming altijd kan intrekken. Check de website van Autoriteit Persoonsgegevens voor meer info over deze regels.



2. Je hebt de gegevens nodig voor een overeenkomst.

   Voor sommige overeenkomsten heb je personeelsgegevens nodig, bijvoorbeeld wanneer je medewerker tijdelijk in een ander pand van je bedrijf gaat werken.



3. De wet verplicht je de personeelsgegevens te delen.

   Hopelijk gebeurt dit nooit, maar de politie kan bijvoorbeeld bevelen om personeelsgegevens te delen in het geval van een incident of illegale activiteit binnen je bedrijf.



4. Het is van vitaal belang.

   Stel, er is een bedrijfsongeval waarbij meerdere medewerkers gewond raken en niet in staat zijn om toestemming te geven. In dat geval moet je als werkgever toch personeelsgegevens delen.



5. Het is voor het algemeen belang of openbaar gezag.

   Deze klinkt vaag, maar het betekent dat je personeelsgegevens moet verwerken om een publieke taak uit te voeren. Da's een taak waarvoor de overheid of wet jou aanwijst. Een voorbeeld hiervan is het houden van cameratoezicht op openbare plaatsen, waarbij de gezichten van mensen worden vastgelegd. De kans is klein dat jouw organisatie een publieke taak krijgt, maar houd in je achterhoofd: volgens de AVG mag je dan dus wel gegevens verwerken.



6. Je hebt een gerechtvaardigd belang.

   Dit is een lastige, want wanneer is een belang gerechtvaardigd? Oftewel: wanneer weegt jouw reden voor gegevensverwerking zwaarder dan de privacy van je medewerkers? Gelukkig stelt de Autoriteit Persoonsgegevens voorwaarden hiervoor. Ten eerste moet je een gerechtvaardigde reden hebben. Dus niet zoiets als winst maken, maar wel de veiligheid van je medewerkers garanderen. Ten tweede moet de gegevensverwerking noodzakelijk zijn en moet je onderzoeken of je je doel niet op een andere manier kunt bereiken. Als laatste weeg je je belangen af tegen de privacy van je medewerkers: wat weegt zwaarder? Grensoverschrijdend gedrag opsporen of de privacy van je medewerkers respecteren?




De ondernemingsraad

Nou, dat riedeltje met belangen hebben we gehad. Conclusie: je bent van plan om volgens de regels van de AVG gegevens van medewerkers door te geven. Wat nu? Tijd om bij de ondernemingsraad (OR) aan te kloppen. De OR beslist namelijk of je personeelsgegevens door mag geven. Ook mag je niet zomaar je verzoek tot gegevensverwerking wijzigen of intrekken zonder toestemming van de OR.

Bijzondere gevallen

Er zijn een handjevol bijzondere gevallen waarbij je personeelsgegevens mag verwerken volgens de AVG op de werkvloer. Werknemers hebben hier weinig invloed op, maar het is alsnog netjes om aan te geven dat hun persoonsgegevens worden verwerkt. Hier zijn bijzondere gevallen die misschien relevant zijn voor jou:

Multinationals

Een multinational worden, dat willen de meesten wel. Dus wat betekent het in de context van AVG en personeelsgegevens als je een vestiging buiten Europa opent? Dat zit zo: als multinational heb je vaak een centrale database waarin iedereen elkaars gegevens kan vinden. Maar stel: je bedrijf is binnen Europa gevestigd - en valt dus onder de Europese Economische Ruimte (EER) - en je krijgt er een vestiging bij in de Verenigde Staten. Dat betekent dus dat je personeelsgegevens buiten de EER terechtkomen. Niet zo handig, volgens de wet. Gelukkig is de oplossing niet moeilijk: je moet de gegevensbescherming in de Verenigde Staten net zo goed inrichten als die in Europa.

Vertrouwenspersonen

Ongewenst gedrag, pesten, discriminatie, het komt helaas nog steeds allemaal voor op de werkvloer. Meestal schakel je bij grensoverschrijdend gedrag een klachtencommissie of vertrouwenspersoon in. In dat geval zegt de AVG: personeelsgegevens verwerken mag, maar ga er zorgvuldig mee om en bewaar de data nooit langer dan 2 jaar.

AVG-checklist

Hoe je volgens de AVG personeelsgegevens beschermt, is grotendeels technisch en juridisch. We kunnen nog dieper op dit onderwerp ingaan en het hebben over datalekken en beveiligde servers, maar een checklist kan dat net zo goed. Neem daarom de AVG-checklist erbij en controleer hoe goed je jouw gegevensbescherming ingericht hebt.