De AVG of de GDPR legt strenge privacyregels op. Als je persoonsgegevens verzamelt en verwerkt via je website, dien je met deze strikte privacyregels rekening te houden. Maar ook zonder een website is dat het geval, bijvoorbeeld als je personeel hebt en hun gegevens verwerkt. De personeelsgegevens bevatten ook persoonsgegevens die door de AVG worden beschermd. We leggen het een en ander voor je uit.

Overzicht van de persoonsgegevens

Het is belangrijk dat je de persoonsgegevens die je verwerkt eerst goed in kaart brengt. Je moet goed weten welke persoonsgegevens je verwerkt, hoe je ze verwerkt en met welk doel je ze verwerkt. Weet dat dit ruimer is dan gewoon de naam, het geslacht, de leeftijd en het adres van het personeel. Vaak bevat het personeelsdossier bijvoorbeeld ook foto’s die op het intranet worden geplaatst, medische attesten, waarschuwingsbrieven, tijdsregistratiegegevens, gegevens over de gezinssamenstelling en dergelijke meer. Bovendien gaat het veelal niet alleen om gegevens van het feitelijke personeel, maar bijvoorbeeld ook om gegevens van sollicitanten en ex-werknemers.

Verwerkingenregister opstellen en geldige grondslag

Dit overzicht neem je op in een verwerkingenregister. Het verwerkingenregister is geen statisch register. In dit register noteer je namelijk ook alle verwerkingen van de gegevens. Ook het doel en de rechtsgrond dient hierin te worden opgenomen. Dat laatste is niet onbelangrijk, want om persoonsgegevens te verwerken, heb je altijd een wettelijke grondslag nodig. Mogelijke grondslagen zijn:

  • De uitvoering van de arbeidsovereenkomst
  • Het naleven van wettelijke verplichtingen
  • Gerechtvaardigd belang

Aanvullend is er nog een extra grondslag mogelijk: de toestemming. Dit is echter een probleemgeval. De toestemming moet namelijk vrij zijn, maar de vraag is of zo’n toestemming in een werkgever-werknemerrelatie ooit echt vrij is. Een werknemer werkt namelijk in een ondergeschikt verband en zal altijd enige druk voelen om zijn toestemming te verlenen. Daarom is het aan te raden om de voorkeur te geven aan een van de drie bovenstaande grondslagen.

Als dat geen soelaas biedt, kan je wel om de toestemming vragen. Zorg er dan voor dat die toestemming ook echt vrij is. Er moet dus ook een alternatief worden geboden en een weigering mag geen enkel negatief gevolg hebben. Neem bijvoorbeeld profielfoto’s op een intern chatplatform: daarvoor heb je steeds de toestemming van de werknemer nodig. Laat werknemers bijvoorbeeld zelf een foto instellen en geef aan dat dat ook gerust een avatar mag zijn. Geef ze daarnaast de mogelijkheid om altijd hun foto te wijzigen.

Informatieplicht en een policy opstellen

In de AVG-regelgeving is ook een informatieplicht opgenomen. Dat wil zeggen dat je het personeel heel goed en duidelijk moet informeren over welke gegevens je hoe verwerkt en met welk doel je dat doet. Dat doe je met behulp van een privacy policy. In een privacy policy neem je ook informatie op over hoelang je de gegevens zal bewaren en over de rechten waarover men beschikt, bijvoorbeeld een recht op rectificatie of in sommige gevallen een recht om vergeten te worden. Ook andere documenten, bijvoorbeeld een e-mailpolicy, dien je AVG-proof te maken.

Rekening houden met de bewaartermijnen

Ten slotte is het goed om te weten dat je persoonsgegevens van het personeel niet eeuwig mag bewaren. Er zijn onder meer wettelijke bewaartermijnen om rekening mee te houden en soms zal je ook zelf de nodige afwegingen moeten maken. Zo is het logisch dat je waarschuwingsbrieven bijhoudt tot op het moment dat een ex-werknemer zijn ontslag niet langer kan aanvechten. Nadien heb je de brief niet meer nodig en kan je het vernietigen.