De HR professional en privacy – Deel I: De privacy verordening

 in Arbeidsrecht

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) een feit. Uw HR organisatie moet dan aantoonbaar voldoen aan het groot aantal verplichtingen dat uit de privacy verordening voortvloeit. De impact voor uw HR organisatie is groot. De risico’s en sancties indien u privacyregels schendt, zijn aanzienlijk. Dit is het eerste deel van een reeks informatieblogs over de gevolgen van de privacy verordening voor HR. Per deelonderwerp wordt u geïnformeerd over de rechten en plichten die voor uw HR organisatie uit de Verordening voortvloeien en hoe u hier praktisch uitvoering aan kunt geven.

Een klein beetje geschiedenis

Privacywetgeving is niet nieuw. Onze huidige wet, de Wet bescherming persoonsgegevens (Wbp), is echter gebaseerd op een Europese richtlijn van meer dan twintig jaar oud. De wereld is inmiddels veranderd. Technologische ontwikkelingen en de globalisering hebben na 1995 een vogelvlucht genomen. Bovendien worden persoonsgegevens tegenwoordig ook wel gezien als de “nieuwe olie”. Alle reden dus om de privacywetgeving te vernieuwen en aan te passen aan de huidige tijd.

De Verordening

Op 25 mei 2018 is de Verordening van toepassing binnen de EU. Europese verordeningen hebben rechtstreekse werking in Nederland. Naast de Uitvoeringswet (de Verordening vereist op onderdelen regels in nationale wetgeving of maakt dit mogelijk) die nog in de maak is, komt er daarom geen nieuwe Nederlandse wet. De huidige wet komt te vervallen. In alle lidstaten van de Europese Unie gelden straks dus dezelfde regels.

Geldt de Verordening ook voor u?

Ja, daar kunt u gerust vanuit gaan. Iedere onderneming die namelijk persoonsgegevens verwerkt, moet aan de Verordening voldoen. Dit geldt ook voor het midden- en kleinbedrijf.

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan van alles zijn. Bijvoorbeeld een naam, een identificatienummer of fysieke kenmerken. Uw HR administratie zit dus vol met persoonsgegevens.

Verwerken is een heel breed begrip. Denk bijvoorbeeld aan verzamelen, vastleggen, ordenen, structureren, opslaan, opvragen, raadplegen, gebruiken en verspreiden. Dit kan via geautomatiseerde procedures, maar ook handmatig als de persoonsgegevens in een bestand zijn of worden opgenomen.

De verplichtingen voor de HR praktijk

Veel verplichtingen worden op organisatieniveau geregeld. Denk aan: het algemeen gevoerde privacy beleid, een passend beveiligingsniveau van de IT-systemen en de inrichting van deze systemen zodat gevraagde informatie snel en adequaat kan worden verstrekt.

Resteert echter een groot aantal verplichtingen waar uw HR organisatie zelf voor verantwoordelijk is.

Denk aan het “Verordening-proof” maken van: sollicitatieprocedures en pre-employment screening op social media, personeelsdossiers, beoordelingssystemen, administratie en uitwisseling van gegevens bij ziekte en re-integratie, procedures voor het controleren van mailboxen en internetgebruik, het plaatsen van camera’s, het gebruik van “own devices”, de uitvoering van assessments en bewaartermijnen.

Maar denk ook aan de actieve informatieplicht die op de HR organisatie rust, de rol van de ondernemingsraad (regelingen omtrent de verwerking en bescherming van persoonsgegevens van medewerkers zijn instemmingsplichtig), de mogelijke verplichting om een functionaris voor de gegevensverwerking aan te stellen en het ontstaan van datalekken door fouten van medewerkers. In dit kader is ook van belang dat in commerciële contracten vaak vergaande verplichtingen worden aangegaan die gevolgen hebben voor de medewerkers en de manier waarop zij hun werkzaamheden (zouden) moeten verrichten. Ten onrechte worden deze verplichtingen vaak niet aan de medewerkers opgelegd door middel van arbeidsovereenkomsten en arbeidsvoorwaardenregelingen.

Een woud aan regels en verplichtingen. Al deze onderwerpen komen echter in deze reeks aan bod zodat u op de hoogte bent en hier praktisch uitvoering aan kunt geven.

Deel II: pre-employment screening volgt over twee weken.

Recente berichten
  • 8 juni 2022

    Vakantiedagen tijdens ziekte, een hoofdpijndossier

    Marion Hagenaars
    “Op vakantie naar Ibiza als je ziek bent, zonder dat deze dagen worden afgeboekt, is dat niet gek?”, werd mij de week gevraagd. Met de zomervakantie in zicht een actueel vraagstuk.  Vakantiedagen, zo eenvoudig is het niet Vakantiedagen, het lijkt zo eenvoudig: je bouwt ze eerst op en daarna neem je ze op. Maar de
    Lees verder
  • 25 mei 2022

    Besmette persoonsgegevens – De Ziggo soap

    Sil Kingma
    Klanten van Ziggo ontvingen afgelopen week een email met de aankondiging dat zij de prijs van haar abonnement met 3,50 Euro gaat verlagen. Sympathiek zou je denken. Er bleek echter een addertje onder het gras te zitten.  In diezelfde email kondigde Ziggo aan haar algemene voorwaarden per 1 juli as eenzijdig aan te passen. Bij
    Lees verder
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder

Plaats een reactie

Top