Met welke regels op het gebied van arbeidsrecht en privacy (de AVG) moet je als werkgever rekening houden? In het onderstaande overzicht wordt antwoord gegeven op 10 veelgestelde vragen door werkgevers. Doe er je voordeel mee!
1. Welke persoonsgegevens mag je vragen als werkgever?
Als werkgever heb je een verplichting om de identiteit van je werknemers te controleren. Voordat de werknemer in dienst komt, moet je het originele identiteitsbewijs van de werknemer controleren. Je moet ook een kopie daarvan in je administratie bewaren. Verder heb je de volgende gegevens van je werknemer nodig: naam en voorletters, geboortedatum, Burgerservice- of sofinummer, adres, postcode en woonplaats, telefoonnummer, bankrekeningnummer en e-mailadres.
Wanneer je gebruik maakt van ingeleend personeel, zoals uitzendkrachten, dan moet je ook de identiteit controleren. Je mag in dit geval geen kopie van het ID bewaren in je administratie. Je hebt de volgende gegevens nodig voor je administratie: naam, adres, woonplaats, geboortedatum, BSN, het soort ID-bewijs, het nummer en de geldigheidsduur daarvan.
2. Mag ik de mail van mijn werknemer bekijken?
In principe niet, daar zijn strikte regels voor. Als je beleid hebt over het controleren van e-mail en internetgebruik, kan dat mogelijk wel. In dat beleid moet zijn opgenomen dat je de mail mag controleren en hoe dat dan plaatsvindt. Vaak is dit beleid opgenomen in een personeelshandboek waarin ook gedragsregels met betrekking tot gebruik van internet en e-mail staan. Je werknemers zijn dan op de hoogte van de gedragsregels, en van de mogelijkheid van controle en hoe dit plaatsvindt.
In geval van overschrijding van de gedragsregels, of een vermoeden daarvan, kun je dan de mailbox van je werknemer bekijken. Voordat je dat doet, moet je je afvragen of het controleren van de mailbox wel echt nodig is. Als er een minder vergaande mogelijkheid is moet je die gebruiken. Andere voorbeelden: in het kader van systeem- en netwerkbeveiliging of het beschermen van bedrijfsgeheimen.
Wanneer je werknemer ziek is, mag je de mailbox van je werknemers bekijken (zie ook hierna). Het is handig om dat ook in je kantoorhandboek te vermelden. Let hierbij op dat je geen privé e-mails bekijkt.
3. Welke gegevens mag ik noteren in geval van ziekte?
Als je werknemer ziek is mag je alleen noodzakelijke gegevens noteren of navragen bij de werknemer. Noodzakelijke gegevens zijn gegevens die betrekking hebben op de duur van de ziekte, en welke lopende afspraken de werknemer heeft. Als werkgever kan je dan een inschatting maken hoe de werkzaamheden kunnen worden opgepakt. Je mag geen informatie vragen over de ziekte zelf, wanneer de werknemer dit uit zichzelf vertelt, mag je het alsnog niet noteren.
4. Wat moet ik doen als ik gegevens verwerk?
Iedere organisatie die persoonsgegevens verwerkt, moet een verwerkingsregister hebben. Daarin houd je bij van wie je persoonsgegevens verwerkt en welke persoonsgegevens dat zijn, maar ook waarom je die persoonsgegevens verwerkt, met wie je gegevens deelt en wie de ontvangers zijn, of je ook met organisaties in landen buiten de EU gegevens deelt, hoe je de gegevens beveiligt en welke bewaar-termijnen je hanteert. Zie ook de blog van JAN© over het verwerkingsregister.
Als een andere organisatie voor jou persoonsgegevens van je medewerkers verwerkt, moet je met die organisatie een verwerkersovereenkomst sluiten. Op de website van de Autoriteit Persoonsgegevens staat een voorbeeld van een verwerkersovereenkomst.
5. Cameratoezicht, mag dat?
Standaard camera toezicht op de werkplek mag in beginsel niet. Incidenteel cameratoezicht op de werkplek, bijvoorbeeld om diefstal tegen te gaan is toegestaan, mits aan onderstaande vereisten is voldaan. De inbreuk op de privacy van je werknemers is groot. De voorwaarden hiervoor zijn:
- Je moet een gerechtvaardigd belang hebben, zoals een vermoeden van diefstal of de noodzaak om werknemers te beschermen. Om dit aan te tonen moeten er ook andere maatregelen aanwezig zijn, cameratoezicht mag niet de enige maatregel zijn.
- Is cameratoezicht noodzakelijk? Als er een minder ingrijpende manier is om het doel (diefstal, bescherming) te bereiken moet je die gebruiken.
- De inbreuk op de privacy van je werknemers moet zo klein mogelijk zijn. Camera’s in de toiletruimte plaatsen mag bijv. niet.
- Informeer je werknemers dat controle mogelijk is en op welke manier dat gebeurt. Dat kan in een personeelshandboek.
- Is er een ondernemingsraad binnen de organisatie? Dan moet die geïnformeerd worden en om instemming gevraagd worden. Als de OR niet instemt mag je de camera’s dus niet plaatsen.
6. Hoe lang mag ik de persoonsgegevens bewaren?
De bewaartermijnen van verschillende gegevens neem je op in je verwerkingsregister. Als je werknemer uit dienst gaat moeten zijn persoonsgegevens na verloop van tijd worden verwijderd. Een uitgangspunt is dat gegevens niet langer bewaard mogen worden dan nodig. Hieronder een paar voorbeelden:
- Er geldt een algemene richtlijn om na twee jaar na het einde van het dienstverband documenten te verwijderen zoals een VOG, verslagen van beoordelings- en functioneringsgesprekken etc.
- Een kopie van een identiteitsbewijs bewaar je tot vijf jaar na einde dienstverband en de loonadministratie moet je zeven jaar bewaren.
- Gegevens van sollicitanten verwijder je na vier weken, tenzij je toestemming hebt om ze langer te bewaren. Hiervoor is de richtlijn maximaal één jaar.
7. Ik doe zaken met bedrijven in het buitenland, mag ik persoonsgegevens uitwisselen?
Wanneer je samenwerkt met bedrijven in het buitenland waarmee je persoonsgegevens wil uitwisselen gelden er bijzondere regels. Er zijn verschillende situaties:
- Alle landen binnen de EU zijn gebonden aan de AVG, met organisaties in deze landen mag je persoonsgegevens uitwisselen zoals met bedrijven binnen Nederland.
- Landen die horen bij de EER, zoals Noorwegen, Liechtenstein en IJsland hebben een gelijkwaardig beschermingsniveau als binnen de EU geldt. Er is een lijst opgesteld door de Europese Commissie met landen met een soortgelijk beschermingsniveau, voorbeelden zijn Zwitserland en het Verenigd Koninkrijk.
- Alle landen die hierbuiten vallen zijn zogenaamde derden landen, deze landen bieden geen passend beschermingsniveau en daarvoor zul je extra waarborgen moeten treffen. Je kunt gebruikmaken van modelcontracten (te vinden op de website van Autoriteit Persoonsgegevens) of van zogenaamde Binding Corporate Rules. Naast het gebruik van modelcontracten en/of BCR, zijn extra waarborgen nog pseudonimiseren en encryptie.
- Voor de Verenigde Staten geldt sinds dit jaar dat het uitwisselen alleen mag als het bedrijf in de VS met wie je gegevens uitwisselt is aangesloten bij het EU-US Data Privacy Framework. Zie de blog van JAN© over het EU-US Data Privacy Framework.
8. Welke gegevens van werknemers mag ik verstrekken met een boekenonderzoek (due diligence)?
Als je je bedrijf gaat verkopen, en de koper wil een boekenonderzoek doen (due dilligence onderzoek) dan mag je niet zomaar alle gegevens verstrekken. Maak allereerst gebruik van een dataroom, zo zorg je ervoor dat niet iedereen bij de gegevens kan. Bekijk welke gegevens relevant zijn, leeftijd, duur van het dienstverband, hoogte van het salaris en ziekteverzuim zijn relevant, maar overige gegevens van de werknemers niet. Je kunt ervoor kiezen om bepaalde gegevens te anonimiseren of zwart te maken, zodat ze niet tot een persoon te herleiden zijn.
9. Welke verplichtingen heb ik als werkgever volgens de AVG?
- Zorg ervoor dat (relevante) mensen in je bedrijf weten welke gegevens worden verwerkt, van wie deze gegevens worden verwerkt en met welk doel deze gegevens worden verwerkt. Zie hiervoor bij verwerkingsregister. Hierin worden alle verwerkingsactiviteiten bijgehouden.
- Zorg dat beveiliging van gegevens op orde is – zowel technisch als organisatorisch dat wil zeggen dat niet iedereen zomaar toegang heeft tot persoonsgegevens en zoveel mogelijk wordt gedaan om een datalek te voorkomen.
- Maak een datalekprotocol, hierin staan de acties die moeten worden genomen in geval van een datalek. Zorg ervoor dat alle werknemers bij je bedrijf op de hoogte zijn van het protocol. Als je te maken hebt met een datalek, neem dan gelijk actie. Op de website van de Autoriteit Persoonsgegevens staat een handige stappenplan in geval van een datalek.
- Wanneer je gebruik maakt van een derde partij die voor jou persoonsgegevens verwerkt, dan is een verwerkersovereenkomst met die partij verplicht.
- Wees transparant over welke persoonsgegevens je verwerkt, door middel van een privacyverklaring op je website en een kantoorhandboek waarin je interne beleid hierover duidelijk vastlegt.
10. Wat kan JAN© voor je betekenen?
JAN© kijkt graag met je mee, en beoordeelt of je voldoet aan de eisen van de AVG. Daarnaast kunnen de juristen van JAN© ook helpen met het opstellen van een datalekprotocol, een verwerkers-overeenkomst, verwerkingsregister of bij de beoordeling of je wel of niet gegevens mag uitwisselen met het buitenland.
Wil je meer informatie of hulp bij het opstellen van een datalekprotocol, verwerkersovereenkomst of verwerkingsregister? Neem contact op met de juristen van JAN© via juristen@jan.nl of 088-2202200.
Waar je ook staat. Op JAN© kun je rekenen!