Werkgever & de AVG: in 10 duidelijke stappen voorbereid
Iedere werkgever verwerkt persoonsgegevens. Met ingang van 25 mei 2018 moet u voldoen aan de nieuwe privacyregelgeving, de AVG (in het Engels: de GDPR). De AVG zorgt voor drie duidelijke veranderingen: privacyrechten worden uitgebreid en versterkt, bedrijven krijgen meer verantwoordelijkheden, de boetes bij niet-naleving zijn hoger.
In dit artikel is een stappenplan opgenomen, speciaal voor werkgevers. Met dit stappenplan ben je in 10 stappen voorbereid op de AVG.
- Stel vast welke persoonsgegevens worden verwerkt binnen het bedrijf
- Stel doeleinden en grondslagen vast van de gegevensverwerking
- Check of er een gegevensverwerking plaatsvindt die een hoog privacyrisico oplevert en zo ja, voer een DPIA uit
- Richt de organisatie zo in dat voldaan wordt aan de verplichtingen van de AVG
- Richt de organisatie zo in dat tijdig aan rechten van medewerkers gevolg kan worden gegeven
- Houd verwerkingen bij in een verwerkersregister
- Bepaal of er een FG aangesteld moet worden
- Informeer de medewerkers
- Stel verwerkersovereenkomsten op en pas bestaande aan
- Stel een datalekbeleid op en houd een register bij
1. Stel vast welke persoonsgegevens worden verwerkt binnen het bedrijf
In de AVG gaat het om de bescherming van persoonsgegevens. De eerste stap is dan ook om een lijst op te stellen van de persoonsgegevens die er binnen het bedrijf worden verwerkt en vast te stellen of dit gewone of bijzondere persoonsgegevens zijn. Voor bijzondere persoonsgegevens gelden namelijk strengere regels.
Toelichting:
Een persoonsgegeven is een gegeven dat herleidbaar is tot een natuurlijke persoon. Een natuurlijk persoon kan direct of indirect identificeerbaar (herleidbaar) zijn. Voorbeelden van persoonsgegevens zijn een naam, een e-mailadres, een telefoonnummer, postcode met huisnummer. Maar ook een IP-adres kan een persoonsgegevens zijn.
Verwerken van persoonsgegevens is een ruim begrip en simpel gezegd alles wat een bedrijf kan doen met een persoonsgegeven, zoals opslaan, verzamelen, ordenen of vernietigen. Het zijn allemaal verwerkingen.
De officiële definitie volgens de AVG is verwerken “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.” Deze opsomming is niet limitatief.
Bijzondere persoonsgegevens zijn gegevens over iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, lidmaatschap van een vakvereniging, strafrechtelijk gedrag, genetische gegevens en biometrische gegevens onder. Biometrische gegevens bevatten unieke kenmerken over iemands lichaam, zoals bijvoorbeeld vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat.
Het verwerken van bijzondere persoonsgegevens is in principe verboden en alleen onder zeer strenge voorwaarden toegestaan.
Indirecte bijzondere persoonsgegevens kunnen ook worden gekwalificeerd als bijzondere persoonsgegevens. Uit foto’s van medewerkers op toegangspasjes zou bijvoorbeeld het ras of het geloof van de desbetreffende medewerker kunnen worden afgeleid. Een dergelijke verwerking kan echter wel toegestaan zijn als pasjes met foto voor de identificatie noodzakelijk en onvermijdelijk is, bijvoorbeeld omdat deze manier van identificatie voor de veiligheid van het bedrijf noodzakelijk is.
Voor verwerking van gegevens van zieke medewerkers gelden ook strikte regels. Meer informatie hierover vind je hier.
Let er op dat de OR (ondernemingsraad) een belangrijke rol speelt bij bescherming van persoonsgegevens. Je bent als werkgever verplicht de ondernemingsraad instemming te vragen als je een regeling wil vaststelling, wijzigen of intrekken voor het gebruik van personeelsgegeven en personeelsvolgsystemen, denk aan personeelsdossiers, verzuimregistratie en gebruik van camera’s.
2. Stel doeleinden en grondslagen vast van de gegevensverwerking
Wanneer vastgesteld is welke persoonsgegevens worden verwerkt, moet van iedere verwerking het volgende worden vast gesteld én vast gelegd:
- Stel grondslagen en doelen vast
- Omschrijf deze doelen duidelijk en uitdrukkelijk
- Stel vast welke gegevens je nodig hebt om deze doelen te bereiken, en bepaal of deze gegevens persoonsgegevens of bijzondere persoonsgegevens zijn
- Check of je deze gegevens mag verwerken en wat er eventueel nog voor nodig is om deze persoonsgegevens te mogen verwerken, zoals: instemming vragen van de OR, (uitdrukkelijke) toestemming medewerker, informeren van medewerkers via brief of personeelsreglement, etc.
- Stel vast wat je met deze persoonsgegevens gaat doen en mag doen en of je deze gegevens mag delen.
Toelichting:
Persoonsgegevens mogen alleen worden verwerkt wanneer daar een grondslag voor is. De AVG kent 6 grondslagen:
- toestemming van de medewerker
- de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst
- de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting (bijvoorbeeld: de wettelijke verplichting om voor de Belastingdienst persoonsgegevens van medewerkers op te slaan voor het innen van belasting en sociale premies)
- de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen
- de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
- de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Let er op dat toestemming in een arbeidsverhouding, waarin de werknemer financieel afhankelijk is van de werkgever, over het algemeen geen grondslag oplevert. Er moet in dat geval sprake zijn van een andere grondslag, zoals bijvoorbeeld een gerechtvaardigd belang waarvoor het belang van werkgever moet wijken of noodzakelijkheid voor de uitvoering van de arbeidsovereenkomst.
Voorbeeld zieke werknemer: als een medewerker zich ziek meldt mag de werkgever niet vragen wat er met de medewerker aan de hand is. De werkgever mag niet vragen naar de aard of de oorzaak van de ziekte. Ook mag hij niet vragen naar de beperkingen van de werknemer en de mogelijkheden van de werknemer. Deze zaken mogen alleen besproken worden met de bedrijfsarts of de arbo-arts. Wanneer de werknemer zelf aan de werkgever vertelt wat de aard of oorzaak van de ziekte is of wat hij niet kan of wel kan, dan mag de werkgever deze informatie niet registreren of doorgeven aan de bedrijfsdienst of arbo-arts.
Voorbeeld wearable: een werkgever mag een medewerker een wearable cadeau geven, maar de werkgever mag zelf geen inzicht krijgen in die gegevens, ook niet als een medewerker hier zelf toestemming voor heeft gegeven. Deze gegevens kunnen immers wat zeggen over de gezondheid van de medewerker en dat zijn bijzondere persoonsgegevens. Van een andere grondslag zal niet snel sprake zijn.
Naast een grondslag moet ook het doel worden vastgesteld. Persoonsgegevens mogen alleen verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doelen moeten specifiek moeten vooraf (dus vóór de verwerking) worden vastgesteld.
Met een gerechtvaardigd doel wordt bedoeld dat de belangen van de werkgever voor de verwerking in evenwicht moeten zijn met de belangen van de medewerker. De privacy van de betrokkene mag niet bovenmatig worden aangetast door een doel van werkgever.
Tijdens het verzamelen van persoonsgegevens moet steeds worden bekeken of deze persoonsgegeven noodzakelijk zijn voor het bereiken van deze vastgestelde doelen.
Persoonsgegevens mogen niet voor doeleinden worden verwerkt die onverenigbaar zijn met het oorspronkelijk doel. Het is dus niet toegestaan om als werkgever een foto van de medewerker voor de toegangspas te gebruiken voor het smoelenboek op internet.
Voorbeelden van doelen:
- uitbetaling van loon aan medewerkers (voor dit doel heb je bijvoorbeeld personeelsgegevens nodig en het bankrekeningnummer van de medewerker);
- medewerkers begeleiden bij ziekte en re-integratie (voor dit doel heb je onder meer de contactgegevens van de medewerker nodig en het (verpleeg)adres van medewerker).
3. Check of er een gegevensverwerking plaatsvindt die een hoog privacyrisico oplevert en zo ja, voer een DPIA uit
Wanneer er binnen een bedrijf een gegevensverwerking plaatsvindt die waarschijnlijk een hoog privacyrisico oplevert, dan dient een DPIA uitgevoerd te worden. Met een DPIA worden de privacy-risico’s in kaart gebracht, zodat vervolgens maatregelen genomen kunnen worden om deze risico’s te verkleinen. Een DPIA is in ieder geval verplicht wanneer er sprake is van:
- het systematisch en uitvoerig evalueren van persoonlijke aspecten, waaronder profiling;
- het op grote schaal verwerken van bijzondere persoonsgegevens (zoals gebeurd bij ziekenhuizen, scholen);
- het op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Zie voor hulp en meer informatie hier.
4. Richt de organisatie zo in dat voldaan wordt aan de verplichtingen van de AVG
Zorg voor “privacy by design” en “privacy by default”, stel bewaartermijnen vast en zorg voor afdoende beveiliging.
Toelichting
Privacy by design en privacy by default houdt in dat vóór dat gegevensverwerking plaatsvindt, de producten en diensten zo worden ontworpen dat de privacy van de medewerkers gewaarborgd wordt, dat er niet meer gegevens verzameld worden dan noodzakelijk is voor het doel van de verwerking en dat deze gegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt.
Er mogen dus niet te gedetailleerde c.q. overbodige gegevens worden verwerkt dan voor het doel noodzakelijk is. Maar er mogen ook niet te weinig gegevens verwerkt worden. Door te weinig gegevens te verzamelen zou een onvolledig beeld van de betrokkene kunnen ontstaan. Verder moet ook worden gezorgd dat de gegevens die verwerkt worden juist zijn en zo nodig worden geactualiseerd.
Bewaartermijnen. Gegevens van een medewerker mogen niet onnodig lang worden bewaard. Er worden echter geen concrete bewaartermijnen gegeven. Van te voren dient te worden vastgesteld hoe lang gegevens bewaard mogen worden, welke bewaartermijnen en criteria in een beleid dienen te worden opgenomen. De bewaartermijnen moeten ook worden vermeld in het verwerkingsregister. Medewerkers moeten worden geïnformeerd over de bewaartermijnen (bijvoorbeeld in een personeelsreglement).
De AVG stelt hoge eisen aan de beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. Er moeten passende technische en organisatorische maatregelen genomen worden om een op het risico afgestemd beveiligingsniveau te waarborgen. Zwaardere eisen worden aan de beveiliging gesteld, naarmate de gegevens bijvoorbeeld een gevoeliger karakter hebben.
Voorbeelden van technische maatregelen die kunnen worden genomen zijn:
- pseudonimisering en versleuteling van persoonsgegevens;
- maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
- maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident;
- het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen
- virusscanners;
- software tegen malware-aanvallen;
- het periodiek maken van back-ups;
- software waarmee de verantwoordelijke of verwerker wordt geattendeerd op het verstrijken van een bewaartermijn.
Zorg dat je de beveiliging regelmatig aantoonbaar controleert en evalueert en zo nodig aanpast, zodat de beveiliging de bescherming van persoonsgegevens afdoende blijft waarborgen.
Organisatorische maatregelen zijn maatregelen om er voor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die medewerkers binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. Voorbeelden van organisatorische maatregelen zijn:
- het opstellen van een duidelijk beveiligingsbeleid voor de medewerkers (wachtwoordbeleid, hoe om te gaan met persoonsgegevens, met wie mogen de gegevens gedeeld worden, strikte restricties m.b.t. opslag (eigen servers/ in de cloud), clean desk policy, waar dienen spullen opgeruimd en bewaard te worden, etc.;
- het creëren van bewustzijn bij medewerkers omtrent dit het beveiligingsbeleid door hier regelmatig actief aandacht aan te geven (middels cursussen, updates, flyers, intern overleg, etc.);
- het technisch beperken van de kring van medewerkers die toegang hebben tot bepaalde persoonsgegevens tot die medewerkers die de gegevens nodig hebben voor de uitoefening van hun werkzaamheden;
- het overeengekomen van een geheimhoudingsbeding met een boeteclausule met alle medewerkers aan wie toegang tot persoonsgegevens is verleend.
5. Richt de organisatie zo in dat tijdig aan rechten van medewerkers gevolg kan worden gegeven
Betrokkenen hebben op grond van de AVG diverse rechten. Medewerkers vallen onder betrokkenen.
Om aan de rechten te voldoen is het van belang dat bekend is binnen de organisatie hoe met dergelijke verzoeken dient te worden omgegaan. Maak beleid zodat medewerkers weten: wie verantwoordelijk is voor het verwerken van een verzoek, wanneer wel of niet gehoor gegeven dient te worden aan een verzoek en op welke manier. Mogelijk dienen hiervoor ook maatregelen genomen te worden op technisch of organisatorisch gebied.
Toelichting
Het gaat om de volgende rechten:
- recht op dataportabiliteit; het recht om persoonsgegevens over te (laten) dragen naar een derde;
- recht op vergetelheid; het recht om ‘vergeten’ te worden (denk bijvoorbeeld aan medewerkers die geruime tijd uit dienst zijn);
- recht op inzage; dat is het recht om de persoonsgegevens die worden verwerkt in te zien;
- recht op rectificatie en aanvulling; het recht om de persoonsgegevens worden verwerkt te wijzigen (bijvoorbeeld informatie in een personeelsdossier);
- recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken;
- recht met betrekking tot geautomatiseerde besluitvorming en profilering, met andere woorden: het recht op een menselijke blik bij besluiten;
- recht om bezwaar te maken tegen de gegevensverwerking bij werkgever en of bij de AP (Autoriteit Persoonsgegevens).
6. Houd verwerkingen bij in een verwerkersregister
Op grond van de AVG ben je als werkgever verplicht verwerkingen bij te houden in een verwerkersregister.
In het verwerkersregister moet de volgende informatie opgenomen zijn:
- naam en contactgegevens van de FG (privacy officer), indien er niet is van (de bestuurder van) werkgever;
- de doeleinden waarvoor de persoonsgegevens worden verwerkt;
- een beschrijving van de groep(en) personen waar de gegevens betrekking op hebben en van de categorieën van persoonsgegevens (NAW gegevens, medische gegevens, financiële gegevens, etc);
- degenen aan wie de persoonsgegevens worden verstrekt en of deze zich buiten de EU bevinden (bijvoorbeeld cloud providers, arbo-dienst);
- of de persoonsgegevens worden doorgegeven aan een land buiten de EU of internationale organisatie en zo ja, hoe voldaan wordt aan de wettelijke regels daaromtrent;
- de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (bewaartermijn).
- een beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter bescherming van deze persoonsgegevens.
7. Bepaal of er een FG aangesteld moet worden
Een functionaris voor gegevensbescherming (FG) ook privacyofficer genoemd is verplicht voor:
- organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
- organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens;
- overheidsinstanties en publieke organisaties.
8. Informeer de medewerkers
Wanneer je als werkgever gegevens van een medewerker (of sollicitant) ontvangt ben je verplicht deze direct te informeren over verschillende onderwerpen. Dit kan in een vorm van een brief of informatie op de website. Het is aan te bevelen deze informatie tevens op te nemen in een personeelsreglement of intern privacybeleid en medewerkers hierover in te lichten. De informatie die moet worden verstrekt is:
- identiteit en contactgegevens van de werkgever, de FG (voor zover van toepassing) en verwerkers (de andere organisaties die in het kader van de arbeidsrelatie persoonsgegevens verwerken voor werkgever);
- welke gegevens worden verwerkt;
- de wettelijke grondslag en het doel van de gegevensverwerking;
- welke bewaartermijnen in acht worden genomen;
- welke rechten de medewerker heeft (zie onder 5);
- of gegevens naar het buitenland worden gezonden en welke passende waarborgen daarvoor zijn getroffen;
- het bestaan van geautomatiseerde besluitvorming en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de medewerker.
De AVG vereist dat deze informatie wordt verschaft in beknopte, begrijpbare en duidelijke taal.
9. Stel verwerkersovereenkomsten op en pas bestaande aan
Wanneer een gegevensverwerking is uitbesteed aan een verwerker dan is een verwerkersovereenkomst verplicht. Voorbeelden van partijen waar verwerkingen aan uitbesteed kunnen zijn is een externe salarisadministrateur, de leasemaatschappij, arbo-dienst, verzuimverzekeraar, cloudprovider (opslaan is ook een verwerking), it-leverancier of accountantsorganisatie.
In een verwerkersovereenkomst moeten de volgende zaken opgenomen worden:
- het onderwerp en de duur van de verwerkingen die zullen plaatsvinden;
- het doel van de verwerking;
- (de categorieën van) de personen wiens gegevens worden verwerkt;
- dat verwerking plaatsvindt op basis van schriftelijke instructies van de verantwoordelijke (werkgever);
- de waarborg dat verwerkers vertrouwelijkheid in acht nemen;
- dat de verwerker zorg draagt voor de technische en organisatorische beveiligingsmaatregelen, om een “op het risico afgestemd” beveiligingsniveau te waarborgen (zoals pseudonimisering, versleuteling en regelmatige beveiligingstesten);
- dat de verantwoordelijke voorafgaande specifieke of algemene schriftelijke toestemming aan de verwerker geeft voor het inschakelen van een subverwerker (aan welke subverwerker door de verwerker verplichtingen van hetzelfde niveau als uit de verwerkersovereenkomst voortvloeien moeten worden opgelegd);
- dat de verwerker de verantwoordelijke assisteert bij het vervullen van zijn plicht om aan verzoeken van de betrokkene te voldoen;
- dat de verwerker de verantwoordelijke assistentie verleent bij andere verplichtingen zoals het melden van datalekken en het uitvoeren van een DPIA;
- dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert;
- dat de verwerker meewerkt aan een audit door de verantwoordelijke waarin deze nagaat of de verplichtingen uit de verwerkersovereenkomst worden nagekomen.
10. Stel een datalekbeleid op en houd een register bij
Om aan de verplichtingen van de AVG omtrent datalekken te voldoen, moet een werkgever de volgende stappen uitvoeren:
- Stel beleid op zodat bekend is binnen het bedrijf hoe omgegaan moet worden met een datalek.
- Pas het personeelsreglement of arbeidsovereenkomst aan waarin medewerkers (op straffe van een boete) verplicht worden een datalek zo spoedig mogelijk te rapporteren aan werkgever, zodat de schadelijke gevolgen zoveel mogelijk beperkt blijven en indien noodzakelijk tijdig melding bij de AP en eventueel betrokkenen kan worden gedaan.
- Houd een register bij van alle datalekken.
Toelichting
Beleid datalekken
De AVG stelt strenge eisen aan het melden van een datalek (aan de AP en aan de betrokkenen zelf) . Wanneer niet conform die regels gehandeld wordt, kunnen hoge boetes worden opgelegd door de AP. Let er op dat niet het datalek zelf leidt tot een boete maar het niet melden.
Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Hiervan is sprake als gegevens ongeoorloofd zijn ingezien, verstrekt of zijn gewijzigd, of wanneer gegevens verloren zijn gegaan. Daarbij maakt het niet uit of het beveiligingsincident opzettelijk of per ongeluk heeft plaatsgevonden. Voorbeelden van een datalek waar werkgevers mee te maken kunnen krijgen: diefstal van een computer, telefoon of laptop, het verlies van een dossier, USB-stick of andere gegevensdrager, het weggooien van een vertrouwelijk dossier met het gewone oud papier, verzending van een e-mail met persoonsgegevens aan de verkeerde persoon, het verlies van een wachtwoord, het inzien van dossiers door daartoe onbevoegde medewerkers, een gerichte aanval door hackers, een besmetting door malware als ransomware of cryptoware of een software- of installatiefout waarbij mogelijk gegevens verloren zijn gegaan.
Een datalek moet (in principe) binnen 72 uur na ontdekking gemeld worden aan de AP. Een melding hoeft alleen niet plaats te vinden wanneer het datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Bij twijfel moet dus altijd worden gemeld.
De melding aan de AP dient de volgende informatie te bevatten:
- de aard van het datalek, indien mogelijk onder vermelding van de categorieën van persoonsgegevens die zijn gelekt, de categorieën van betrokkenen en een indicatie van de hoeveelheid gelekte data en het aantal getroffen personen;
- de naam en contactgegevens van werkgever of FG;
- de waarschijnlijke gevolgen van het datalek;
- de maatregelen die zijn genomen om het datalek aan te pakken dan wel de schadelijke gevolgen daarvan te beperken.
Onder de AVG zal een datalek aan de betrokkenen moeten worden gemeld, als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Om te zorgen dat conform de AVG gehandeld wordt is het van belang een beleid op te stellen met een communicatieplan, zodat binnen het bedrijf bekend is hoe er gehandeld moet worden bij een datalek, maar ook dat er adequaat gehandeld kan worden.
Ook is het richting de individuele medewerker van belang dat hij bewust is van het feit dat wanneer er door zijn toedoen een datalek plaats vindt, dit zo spoedig mogelijk wordt gerapporteerd aan werkgever, zodat de schadelijke gevolgen zoveel mogelijk beperkt blijven en indien noodzakelijk tijdig gemeld kan worden bij de AP en eventueel bij de betrokkenen.
Register van datalekken
Onder de AVG is het verplicht om datalekken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen, zodat de AP de naleving van de AVG kan controleren.