Arbeid & Privacy

De AVG heeft ook verstrekkende gevolgen voor de eigen arbeidsorganisatie. Arbeidsovereenkomsten, handboeken, reglementen en gedragscodes moeten hierop aangepast zijn. Daarnaast moet iedere werknemer continue awareness hebben waar zijn of haar dagelijkse werkzaamheden worden beïnvloed door de AVG.

Het aantal persoonsgegevens dat binnen ondernemingen wordt verwerkt van werknemers en derden is enorm. Ondernemingen zijn hiervoor verantwoordelijk. De verplichtingen die worden aangegaan in commerciële- en verwerkersovereenkomsten en die voortvloeien uit NEN/ISO-certificeringen kunnen alleen worden nagekomen als hierover concrete afspraken zijn gemaakt met de werknemers die de hieruit voortvloeiende werkzaamheden verrichten. Arbeidsovereenkomsten, handboeken, reglementen en gedragscodes moeten hierop aangepast zijn. Wanneer, onder welke voorwaarden en hoe mogen (bijzondere) persoonsgegevens worden verwerkt? Hoe moet worden omgegaan met bedrijfsmiddelen, toegang tot systemen (van derden) en BYOD? Wanneer is sprake van een potentieel datalek en hoe moeten werknemers hiermee omgaan? Dient een functionaris voor gegevensbescherming te worden aangesteld?

Maar ook intern zijn de uitdagingen groot. Al in de sollicitatiefase is sprake van verwerking van persoonsgegevens en moet de onderneming dus conform AVG handelen. Werknemers moeten weten welke persoonsgegevens worden verwerkt, op basis van welke grondslag en welke rechten zij hebben met betrekking tot het inzien, rectificeren en verwijderen van hun persoonsgegevens en de bewaartermijnen die gelden.

HR professionals moeten beschikken over kennis van de AVG. Denk aan de identificatie- en verificatieplicht, gebruik van BSN, inrichting, toegang en structureel opschonen van het personeelsdossier, (wettelijke) bewaartermijnen, de verwerking van persoonsgegevens van zieke werknemers en de uitwisseling van informatie met bedrijfsarts/arbodienst, het delen van gegevens met collega’s, de (on)mogelijkheden van het gebruiken van personeel volgsystemen, het doorgeven van persoonsgegevens aan derden en het sluiten van verwerkersovereenkomsten met salarisverwerkers en zonodig met arbodiensten. Bij de privacybescherming van de eigen werknemers speelt de ondernemingsraad een belangrijke rol. De onderneming heeft namelijk de instemming van de ondernemingsraad nodig voor elk voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van en de bescherming van de persoonsgegevens van de in de onderneming werkzame personen.

Binnen het arbeidsrecht is het uitgangspunt dat werknemers niet aansprakelijk zijn voor schade die zij bij de uitvoering van de werkzaamheden toebrengen aan de werkgever of een derde. Dit betekent niet dat de werknemer die ernstige en/of structurele fouten maakt bij de uitvoering van zijn werkzaamheden, niet voor sancties of ontslag in aanmerking kan komen. Hiervoor is het noodzakelijk dat duidelijke gedragscodes zijn opgesteld en door de werkgever een strikt en consequent beleid wordt gevoerd.