De HR professional en privacy – Deel I: De privacy verordening

 in Arbeidsrecht

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) een feit. Uw HR organisatie moet dan aantoonbaar voldoen aan het groot aantal verplichtingen dat uit de privacy verordening voortvloeit. De impact voor uw HR organisatie is groot. De risico’s en sancties indien u privacyregels schendt, zijn aanzienlijk. Dit is het eerste deel van een reeks informatieblogs over de gevolgen van de privacy verordening voor HR. Per deelonderwerp wordt u geïnformeerd over de rechten en plichten die voor uw HR organisatie uit de Verordening voortvloeien en hoe u hier praktisch uitvoering aan kunt geven.

Een klein beetje geschiedenis

Privacywetgeving is niet nieuw. Onze huidige wet, de Wet bescherming persoonsgegevens (Wbp), is echter gebaseerd op een Europese richtlijn van meer dan twintig jaar oud. De wereld is inmiddels veranderd. Technologische ontwikkelingen en de globalisering hebben na 1995 een vogelvlucht genomen. Bovendien worden persoonsgegevens tegenwoordig ook wel gezien als de “nieuwe olie”. Alle reden dus om de privacywetgeving te vernieuwen en aan te passen aan de huidige tijd.

De Verordening

Op 25 mei 2018 is de Verordening van toepassing binnen de EU. Europese verordeningen hebben rechtstreekse werking in Nederland. Naast de Uitvoeringswet (de Verordening vereist op onderdelen regels in nationale wetgeving of maakt dit mogelijk) die nog in de maak is, komt er daarom geen nieuwe Nederlandse wet. De huidige wet komt te vervallen. In alle lidstaten van de Europese Unie gelden straks dus dezelfde regels.

Geldt de Verordening ook voor u?

Ja, daar kunt u gerust vanuit gaan. Iedere onderneming die namelijk persoonsgegevens verwerkt, moet aan de Verordening voldoen. Dit geldt ook voor het midden- en kleinbedrijf.

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan van alles zijn. Bijvoorbeeld een naam, een identificatienummer of fysieke kenmerken. Uw HR administratie zit dus vol met persoonsgegevens.

Verwerken is een heel breed begrip. Denk bijvoorbeeld aan verzamelen, vastleggen, ordenen, structureren, opslaan, opvragen, raadplegen, gebruiken en verspreiden. Dit kan via geautomatiseerde procedures, maar ook handmatig als de persoonsgegevens in een bestand zijn of worden opgenomen.

De verplichtingen voor de HR praktijk

Veel verplichtingen worden op organisatieniveau geregeld. Denk aan: het algemeen gevoerde privacy beleid, een passend beveiligingsniveau van de IT-systemen en de inrichting van deze systemen zodat gevraagde informatie snel en adequaat kan worden verstrekt.

Resteert echter een groot aantal verplichtingen waar uw HR organisatie zelf voor verantwoordelijk is.

Denk aan het “Verordening-proof” maken van: sollicitatieprocedures en pre-employment screening op social media, personeelsdossiers, beoordelingssystemen, administratie en uitwisseling van gegevens bij ziekte en re-integratie, procedures voor het controleren van mailboxen en internetgebruik, het plaatsen van camera’s, het gebruik van “own devices”, de uitvoering van assessments en bewaartermijnen.

Maar denk ook aan de actieve informatieplicht die op de HR organisatie rust, de rol van de ondernemingsraad (regelingen omtrent de verwerking en bescherming van persoonsgegevens van medewerkers zijn instemmingsplichtig), de mogelijke verplichting om een functionaris voor de gegevensverwerking aan te stellen en het ontstaan van datalekken door fouten van medewerkers. In dit kader is ook van belang dat in commerciële contracten vaak vergaande verplichtingen worden aangegaan die gevolgen hebben voor de medewerkers en de manier waarop zij hun werkzaamheden (zouden) moeten verrichten. Ten onrechte worden deze verplichtingen vaak niet aan de medewerkers opgelegd door middel van arbeidsovereenkomsten en arbeidsvoorwaardenregelingen.

Een woud aan regels en verplichtingen. Al deze onderwerpen komen echter in deze reeks aan bod zodat u op de hoogte bent en hier praktisch uitvoering aan kunt geven.

Deel II: pre-employment screening volgt over twee weken.

Recent Posts
  • 13 december 2017

    e-Privacy Verordening: wat verandert er?

    Bob Cordemeyer
    10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van
    Lees verder
  • 14 december 2017

    Wijzigingen 2018 & het regeerakkoord voor HR

    Marion Hagenaars
    Nieuwe uitdagingen voor HR in 2018. Ook in 2018 krijgt HR weer te maken met nieuwe wet-en regelgeving. Via deze blog informeren we je over de belangrijkste wijzigingen. 2018 De volgende wijzigingen voor 2018 zijn voor HR van belang: Transitievergoeding De transitievergoeding bedraagt in 2018 maximaal € 79.000,- bruto of – indien hoger – een
    Lees verder
  • 29 november 2017

    Ondernemingsraden let op met privacy!

    Marion Hagenaars
    Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter.
    Lees verder

Plaats een reactie