Is uw personeelsadministratie privacy proof?

Printvriendelijke versieSend by email

AVG in het MKB
Door nieuwe technologieën en flexibilisering van de werkplek (ook voor de werkgever zelf) ontstaat er een spanningsveld tussen mogelijkheden om uw werk te vereenvoudigen en de nieuwe privacywet. De AVG is van toepassing op de verwerking van alle persoonsgegevens; geautomatiseerd, maar ook handmatig.

Bijvoorbeeld: uw sollicitanten sturen u een CV toe. Zij beschrijven daarin niet alleen hun werkervaring, maar voegen ook een pasfoto toe en benoemen vrijwilligerstaken. Welke informatie heeft u nog nodig na 1 of 2 jaar? En wat doet u met het CV? 

AVG
De Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei 2018 van toepassing op iedere MKB-ondernemer, ook als u slechts een paar medewerkers in dienst heeft. Vanaf die datum moet u kunnen verantwoorden hoe u met persoonsgegevens omgaat.

Bijvoorbeeld: denk eens na welke gegevens u (soms onbewust) verwerkt in uw bedrijf. Het zijn er meer dan u denkt. Bijvoorbeeld het CV, maar ook de logs van toegangspasjes, camerabeelden, productiegegevens, cookies, adresbestanden, bsnnr’s, pasfoto’s, logs van websitebezoeken, verslagen van functioneringsgesprekken, misschien wel van 20 jaar terug. Daarnaast communiceert u met Arbodiensten, opleidingsinstituten, leasemaatschappijen en andere externe partijen. Ongemerkt gaan er veel persoonsgegevens over en weer.

Op zich is dit geen probleem. Mits u kunt verantwoorden waarom u deze gegevens heeft, waarom u ze bewaart en wat u ermee doet. Dat is wat de AVG van u gaat vragen. En mocht u niet langer kunnen verantwoorden waarom u deze gegevens bewaart, dan dient u ze te vernietigen.

Bijvoorbeeld: uw medewerker is al 20 jaar in dienst en u heeft ieder jaar een gesprek met hem. Zijn de gegevens van 15 jaar terug nog relevant of noodzakelijk? Zo niet > weg ermee!

Wat te doen?
Hoewel ik weet dat u hier niet op zit te wachten, adviseer ik u een inventarisatie te maken van alle persoonsgegevens die u verwerkt, waarom en hoe lang u ze verwerkt en wie verantwoordelijk is voor de verwerking.  U moet ook nadenken over bewaartermijnen en het up-to-date houden van relevante gegevens.
 
Het doel is om zo min mogelijk gegevens te bezitten en te verwerken, het voorkomen van verkeerd gebruik en bewustwording van rechten en plichten van alle betrokkenen.

Bijvoorbeeld: uw medewerkers krijgen een bloemetje als ze gaan trouwen of een kind krijgen. Is het nodig dat u gegevens over de partner of het kind bewaart (het geboortekaartje)?

Stappenplan:
Het stappenplan valt uiteen in:

  • Interne verwerking van persoonsgegevens
  • Inventarisatie van gegevens die u deelt met andere partijen 

PIA
U gaat de komende tijd meer lezen over PIA’s (Privacy Impact Assessments) oftewel gegevensbeschermingeffectsbeoordeling. Hiermee onderzoekt u welk effect de verwerking van persoonsgegevens heeft op de persoonlijke levenssfeer van betrokkenen. Het is een methode om te kijken of u, in uw onderneming, voldoende rekening houdt met de privacybelangen van iedereen én of u deze gegevens mag verwerken.
 
De Autoriteit Persoonsgegevens (AP) kan met aanleiding (datalekken!) en zonder aanleiding opvragen hoe u rekening houdt met privacybelangen. Maar ook uw medewerkers kunnen dit vragen. Dit zijn goede redenen om met de nieuwe wet aan de slag te gaan.
 
Uitgangspunten

  • Met welk doel verwerkt u welke gegevens?
  • Wat is hiervoor de wettelijke grondslag?
  • Hoe heeft u deze gegevens beveiligd?
  • Hoelang bewaart u deze?
  • Hoe accuraat zijn de gegevens?
  • Wat zijn de rechten van betrokken partijen? 

Door met deze uitgangspunten te gaan werken creëert u bewustwording bij uzelf en bij degene die de gegevens verwerkt. U kunt de risico’s beoordelen en bepalen welke maatregelen genomen moeten worden.
 
Let op: vanaf 25 mei 2018 heeft u documentatieplicht. Dit wil zeggen dat u moet kunnen aantonen dat u technische en organisatorische maatregelen hebt genomen om aan de AVG te voldoen.