De HR professional en privacy – Deel I: De privacy verordening

 in Arbeidsrecht

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) een feit. Uw HR organisatie moet dan aantoonbaar voldoen aan het groot aantal verplichtingen dat uit de privacy verordening voortvloeit. De impact voor uw HR organisatie is groot. De risico’s en sancties indien u privacyregels schendt, zijn aanzienlijk. Dit is het eerste deel van een reeks informatieblogs over de gevolgen van de privacy verordening voor HR. Per deelonderwerp wordt u geïnformeerd over de rechten en plichten die voor uw HR organisatie uit de Verordening voortvloeien en hoe u hier praktisch uitvoering aan kunt geven.

Een klein beetje geschiedenis

Privacywetgeving is niet nieuw. Onze huidige wet, de Wet bescherming persoonsgegevens (Wbp), is echter gebaseerd op een Europese richtlijn van meer dan twintig jaar oud. De wereld is inmiddels veranderd. Technologische ontwikkelingen en de globalisering hebben na 1995 een vogelvlucht genomen. Bovendien worden persoonsgegevens tegenwoordig ook wel gezien als de “nieuwe olie”. Alle reden dus om de privacywetgeving te vernieuwen en aan te passen aan de huidige tijd.

De Verordening

Op 25 mei 2018 is de Verordening van toepassing binnen de EU. Europese verordeningen hebben rechtstreekse werking in Nederland. Naast de Uitvoeringswet (de Verordening vereist op onderdelen regels in nationale wetgeving of maakt dit mogelijk) die nog in de maak is, komt er daarom geen nieuwe Nederlandse wet. De huidige wet komt te vervallen. In alle lidstaten van de Europese Unie gelden straks dus dezelfde regels.

Geldt de Verordening ook voor u?

Ja, daar kunt u gerust vanuit gaan. Iedere onderneming die namelijk persoonsgegevens verwerkt, moet aan de Verordening voldoen. Dit geldt ook voor het midden- en kleinbedrijf.

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan van alles zijn. Bijvoorbeeld een naam, een identificatienummer of fysieke kenmerken. Uw HR administratie zit dus vol met persoonsgegevens.

Verwerken is een heel breed begrip. Denk bijvoorbeeld aan verzamelen, vastleggen, ordenen, structureren, opslaan, opvragen, raadplegen, gebruiken en verspreiden. Dit kan via geautomatiseerde procedures, maar ook handmatig als de persoonsgegevens in een bestand zijn of worden opgenomen.

De verplichtingen voor de HR praktijk

Veel verplichtingen worden op organisatieniveau geregeld. Denk aan: het algemeen gevoerde privacy beleid, een passend beveiligingsniveau van de IT-systemen en de inrichting van deze systemen zodat gevraagde informatie snel en adequaat kan worden verstrekt.

Resteert echter een groot aantal verplichtingen waar uw HR organisatie zelf voor verantwoordelijk is.

Denk aan het “Verordening-proof” maken van: sollicitatieprocedures en pre-employment screening op social media, personeelsdossiers, beoordelingssystemen, administratie en uitwisseling van gegevens bij ziekte en re-integratie, procedures voor het controleren van mailboxen en internetgebruik, het plaatsen van camera’s, het gebruik van “own devices”, de uitvoering van assessments en bewaartermijnen.

Maar denk ook aan de actieve informatieplicht die op de HR organisatie rust, de rol van de ondernemingsraad (regelingen omtrent de verwerking en bescherming van persoonsgegevens van medewerkers zijn instemmingsplichtig), de mogelijke verplichting om een functionaris voor de gegevensverwerking aan te stellen en het ontstaan van datalekken door fouten van medewerkers. In dit kader is ook van belang dat in commerciële contracten vaak vergaande verplichtingen worden aangegaan die gevolgen hebben voor de medewerkers en de manier waarop zij hun werkzaamheden (zouden) moeten verrichten. Ten onrechte worden deze verplichtingen vaak niet aan de medewerkers opgelegd door middel van arbeidsovereenkomsten en arbeidsvoorwaardenregelingen.

Een woud aan regels en verplichtingen. Al deze onderwerpen komen echter in deze reeks aan bod zodat u op de hoogte bent en hier praktisch uitvoering aan kunt geven.

Deel II: pre-employment screening volgt over twee weken.

Recente berichten
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder
  • 21 november 2022

    Disfunctioneren: doorgeschoten empowermentbeleid

    Marion Hagenaars
    Mirjam Scheper
    De voorwaarden voor ontslag bij disfunctioneren zijn in de wet duidelijk omschreven. Deze voorwaarden gelden ook als een werkgever een beleid voert dat niet gericht is op dossieropbouw met waarschuwingen en berispingen, maar op aanmoediging.
    Lees verder
  • 21 november 2022

    Monitoring e-mail werknemers: de voorwaarden

    Marion Hagenaars
    Mirjam Scheper
    Onrechtmatig verkregen bewijs door werkgevers brengt belangrijke risico's met zich mee. Dit blijkt ook uit een recente uitspraak van het Hof Arnhem-Leeuwarden. Wat zijn de voorwaarden voor vrije toegang tot de e-mailbox van een werknemer?
    Lees verder

Plaats een reactie

Top