AVG: zes aandachtspunten voor HR

Met ingang van 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) en vervangt hiermee de huidige Wet bescherming persoonsgegevens (WBP). De impact van deze verordening op HR is groot.  Zo dien je bijvoorbeeld sollicitatieprocedures, personeelsdossiers, bewaartermijnen, administratie en uitwisseling van gegevens bij ziekte en re-integratie in overeenstemming met de AVG te brengen. Een hele klus. Hieronder bespreken we zes belangrijke aandachtspunten:

  1. Breng informatiestromen in kaart.

    Als start voor een zorgvuldige verwerking van persoonsgegevens, kan HR de informatiestromen in kaart brengen. Documenteer onder andere welke persoonsgegevens de HR-afdeling verwerkt, van wie persoonsgegevens worden verwerkt en met welk doel en met wie de persoonsgegevens worden gedeeld. Al deze informatie vormt de basis voor de voorbereiding op de AVG.

  2. Bepaal hoe je omgaat met een datalek.

    Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie.

    Uit deze definitie blijkt dat een datalek verder gaat dan slechts het verlies van persoonsgegevens (bijvoorbeeld wanneer een werknemer een laptop of usb-stick met persoonsgegevens verliest). Het omvat namelijk ook situaties als een verkeerd geadresseerde e-mail verzenden of wanneer bestanden met persoonsgegevens worden versleuteld door ransomware.

    Als er sprake is van een datalek, dan is het allereerst belangrijk dat de werknemer die een (mogelijk) datalek constateert, dit incident onmiddellijk meldt bij de verantwoordelijke. De verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en  beoordelen welke vervolgstappen genomen dienen te worden.

  3. De betrokkene heeft recht tot inzage in zijn persoonsgegevens.

    De betrokkene heeft recht op inzage in en afschrift van de persoonsgegevens die van hem worden verwerkt. Dit betekent bijvoorbeeld dat een werknemer op ieder moment aan de werkgever om inzage in en een kopie van zijn eigen personeelsdossier kan verzoeken. Een werknemer hoeft geen reden te geven voor een inzageverzoek. Je moet de werknemer direct en in ieder geval binnen één maand na ontvangst van het verzoek de informatie verstrekken. Bij grote of complexe verzoeken kan die termijn met maximaal twee maanden worden verlengd.

    Gelet op het recht van inzage, is het van belang dat de HR-administratie op orde is. Daarnaast moet je er rekening mee houden dat het ‘heimelijk’ opbouwen van een personeelsdossier risicovol is.

  4. Persoonsgegevens mogen niet tot in de oneindigheid worden bewaard.

    De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. In een aantal andere wetten schrijven wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs van een werknemer bijvoorbeeld, dient de werkgever vijf jaar te bewaren na einde dienstverband. Ook bestaat er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.

  5. Informatieplicht.

    Onder de AVG dien je werknemers, maar ook sollicitanten, heldere informatie te geven over onder andere de persoonsgegevens die je verwerkt, voor welk(e) doel(en) je deze gegevens verwerkt en de rechten die zij hebben. Dit wordt ook wel de informatieplicht genoemd. Aan deze verplichting kun je voldoen door een privacyverklaring op te stellen en deze aan je werknemers en sollicitanten te verstrekken.

  6. De zieke werknemer.

    Gegevens over de gezondheid worden aangemerkt als bijzondere persoonsgegevens. Deze gegevens mogen verwerkt worden als dit noodzakelijk is voor de uitvoering van een wettelijke verplichting of collectieve arbeidsovereenkomst. Bij een wettelijke verplichting kun je denken aan de verplichting van de werkgever om het loon van zieke werknemers twee jaar lang door te betalen en aan de re-integratieverplichtingen van de werkgever ten aanzien van zieke werknemers.Voor jou is het van belang om te weten welke gezondheidsgegevens je mag vragen en verwerken van een sollicitant en van een zieke werknemer.

De sollicitant

Aan de sollicitant mag je geen vragen stellen over de gezondheid van de sollicitant of diens ziekteverzuim in het verleden. Deze informatie mag je ook niet opvragen bij de vorige werkgever van de sollicitant. Een werkgever mag een sollicitante ook niet vragen of zij zwanger is of wil worden.  Vraagt de werkgever dit toch, dan staat het de sollicitante vrij hierover onjuiste informatie te verstrekken, zonder dat de werkgever hieraan consequenties kan verbinden.

De sollicitant is wel verplicht melding te maken van gezondheidsklachten waarvan hij weet of moet begrijpen dat deze hem ongeschikt maken voor de functie. Is de werkgever van oordeel dat een werknemer relevante gezondheidsklachten heeft achtergehouden, dan kan de werkgever trachten de arbeidsovereenkomst dan wel de loondoorbetaling te stoppen.

De zieke werknemer

De werkgever mag een zieke werknemer niet vragen naar de aard en/of de oorzaak van de ziekte van de werknemer. Daarnaast mag de werkgever niet vragen naar de beperkingen en mogelijkheden van de werknemer.

De Autoriteit persoonsgegevens heeft in 2016 een lijst met informatie opgesteld die de werkgever mag opvragen op het moment dat een werknemer zich ziek meldt. Deze lijst is beperkt tot de volgende gegevens:

  • het telefoonnummer en (verpleeg)adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (in verband met eventuele regresmogelijkheden).

Tijdens de ziekteverzuimbegeleiding en re-integratie heeft de werkgever bepaalde informatie nodig om een beslissing te kunnen nemen over de loondoorbetaling, verzuimbegeleiding en re-integratie. De bedrijfsarts mag daarom de volgende gegevens verstrekken aan de werkgever:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is;
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

Zoals je kunt lezen is er werk aan de winkel. Zorg dat je personeelsdossiers op orde zijn en weet welke gegevens je precies verzamelt en vastlegt en voor welke doeleinde je deze gegevens verzamelt.

Hulp nodig bij het op orde brengen van je personeelsdossiers en het inzichtelijk maken welke informatiestromen er rondom je personeelsadministratie zijn, neem dan contact met ons op voor een vrijblijvend gesprek.

Bron: XpertHR, Auteur(s): Mr. Steffie Schepers

Astrid Verburg

Adviseur Personeel & Organisatie