X

AVG

  • Wat houdt de AVG precies in?
    • De AVG of binnen Europa ook vaak de General Data Protection Regulation (GDPR) genoemd versterkt de rechten van degene van wie data verwerkt wordt. Iedere Europese lidstaat is vanaf 25 mei 2018 verplicht om te werken met deze nieuwe privacywetgeving. De Nederlandse Wet Bescherming Persoonsgegevens (WBP) komt hiermee te vervallen. Ten opzichte van de WBP en de Meldplicht Datalekken stijgen de boetes binnen de AVG significant.

  • Verwerk ik gegevens?
    • Een verwerking is volgens de Verordening elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens. Veel voorkomende bewerkingen zijn:

      • verzamelen;
      • vastleggen;
      • opslaan;
      • wijzigen;
      • opvragen;
      • raadplegen;
      • gebruiken;
      • verstrekken;
      • wissen en vernietigen.
  • Wat zijn persoonsgegevens?
    • Dat zijn alle gegevens die:

      1. betrekking hebben op;
      2. een geïdentificeerde, of identificeerbare;
      3. natuurlijke persoon

      Ad 1) Gegevens die betrekking hebben op

      Wil er sprake zijn van persoonsgegevens dan moeten de gegevens allereerst betrekking hebben op een persoon. Met andere woorden: de gegevens moeten over de persoon gaan, ze moeten iets over die persoon zeggen. Wanneer de gegevens niét iets zeggen over een concreet persoon, dan zijn het geen persoonsgegevens.

      Ad 2) Geïdentificeerde of identificeerbaar

      Gegevens hebben alleen betrekking op een natuurlijke persoon wanneer deze geïdentificeerd is of identificeerbaar is. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Om de identiteit van een persoon vast te stellen wordt doorgaans gebruik gemaakt van gegevens die een unieke, persoonlijke relatie tot die persoon hebben, zogenaamde ‘identificatoren’. Bij identificatoren kan allereerst worden gedacht aan gegevens zoals een naam, adres en geboortedatum. Deze gegevens zijn in combinatie met elkaar dusdanig uniek voor een bepaalde persoon, dat een persoon op basis ervan met  zekerheid of grote waarschijnlijkheid geïdentificeerd kan worden. Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe identificatoren. Denk hierbij aan uiterlijke kenmerken (lengte, postuur en haarkleur), sociale en economische kenmerken (beroep, inkomen of opleiding) en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zichzelf ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. Of iets een persoonsgegeven is voor u, is dus afhankelijk van de vraag of het gegeven of de gegevens die u verwerkt u in staat stellen om iemand direct of indirect te identificeren (uniek te onderscheiden binnen een groep). Wanneer de persoon nog niet geïdentificeerd is moet u bepalen of de persoon niet alsnog identificeerbaar is.

      Ad 3) natuurlijke persoon

      De Verordening is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. De Verordening is niet van toepassing op overleden personen, omdat dit volgens de wet geen natuurlijke personen meer zijn.

  • Mag ik persoonsgegevens verwerken?
    • Als organisatie mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen.

      1. Toestemming van de betrokken persoon.
      2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
      3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
      4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
      5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
      6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
  • Wanneer is er sprake van rechtsgeldige toestemming voor de verwerking van persoonsgegevens?
    • Rechtsgeldige toestemming voldoet aan de volgende eisen:

      • Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
      • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
      • Geïnformeerd: u moet mensen informeren over:
        • de identiteit van u als organisatie;
        • het doel van elke verwerking waarvoor u toestemming vraagt;
        • welke persoonsgegevens u verzamelt en gebruikt;
        • het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
      • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

      Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. U moet kunnen aantonen dat u geldige toestemming heeft verkregen.

  • Wat betekent Privacy by design & Privacy by default?
    • Privacy by design houdt in dat uw organisatie er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens worden beschermd. Privacy by default houdt in dat uw organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

  • Wat wordt er onder de verantwoordingsplicht verstaan?
    • De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen. U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

      • rechtmatigheid;
      • transparantie;
      • doelbinding;
      • juistheid.

      Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

  • Hoe voldoe ik aan de verantwoordingsplicht?
    • De verplichte maatregelen die de AVG concreet noemt zijn:

      • het bijhouden van een register van verwerkingsactiviteiten;
      • het uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
      • het bijhouden van een register van datalekken die zijn opgetreden;
      • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft.
      • wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.
  • Welke bewaartermijn van persoonsgegevens moet ik als werkgever in acht nemen?
    • Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doel waarvoor ze verzameld en verwerkt zijn. Een werkgever mag persoonsgegevens niet langer bewaren dan twee jaar nadat de arbeidsovereenkomst is beëindigd. Sommige persoonsgegevens moeten langer bewaard blijven in verband met een afwijkende wettelijke bewaartermijn. Hieronder een overzicht van de meest voorkomende bewaartermijnen van persoonsgegevens.

       

      bewaartermijn

      sollicitatiegegevens* bij afwijzing

      tot 4 weken na einde procedure

      kopie identiteitsbewijs ​

      tot 5 jaar na dienstverband

      loonbeslag

      tot na opheffing ​

      salarisafspraken​

      tot 7 jaar na dienstverband

      gegevens over ziekteverzuim

      tot 2 jaar na dienstverband ​

      re-integratiedossier na einde dienstverband

      zo spoedig mogelijk vernietigen

      gesloten re-integratiedossier

      tot 2 jaar na dienstverband

      Salarisadministratie

      tot 7 jaar na dienstverband

      Loonbelastingverklaringen

      tot 5 jaar na dienstverband​

      kopie getuigschrift

      tot 2 jaar na dienstverband​

      * Sollicitatiegegevens bestaan uit: brief, formulier, psychologisch onderzoek, bewijs van goed gedrag (VOG), getuigschriften en referenties.

  • Welke persoonsgegevens mogen langer bewaard worden?
    • • Persoonsgegevens waarvoor de medewerker toestemming heeft gegeven.
      • Gegevens van een (ex-)werknemer met wie het bedrijf een arbeidsconflict heeft gehad of met wie er nog een conflict loopt.
      • Een gesloten re-integratiedossier mag langer bewaard worden, tot maximaal 4 jaar, wanneer de kans groot is dat de medewerker wegens hetzelfde verzuim uitvalt.
      • Een re-integratiedossier na einde dienstverband moet zolang bewaard blijven als de werkgever eigenrisicodrager is.

  • Wat doe ik met de persoonsgegevens die niet meer bewaard hoeven te worden?
    • U hoeft de gegevens niet altijd te vernietigen. U mag deze ook in een archiefdepot of op een aparte schijf opslaan als deze gegevens bedoeld zijn voor historische, statistieke of wetenschappelijke doeleinden.

  • Wie mag toegang hebben tot personeelsdossiers?
    • HRM-personeel, de direct leidinggevende en de medewerker zelf.

  • Mag ik bijzondere persoonsgegevens van een medewerker vermelden zoals godsdienst, gezondheid, etnische achtergrond, politieke gezindheid, seksuele geaardheid, lidmaatschap vakvereniging, strafrechtelijke veroordelingen?
    • Nee, al deze bijzondere persoonsgegevens mag u niet vermelden – tenzij dit gebeurt op basis van een wettelijke bepaling of als de medewerker hiervoor toestemming geeft.

  • Mag ik gegevens over de gezondheid of ziekte van een medewerker vermelden?
    • Nee, dit is bij wet verboden en mag slechts gebeuren door personen die uit hoofde van hun beroep een geheimhoudingsplicht hebben. Als de medewerker hiertoe expliciet schriftelijk toestemming geeft, mag het wel.

  • Hoe ga ik om met het recht op inzage van de medewerker in zijn personeelsdossier?
    • De medewerker mag zijn gehele dossier inzien en kopieën daarvan krijgen. U hoeft geen inzage te geven in notities en werkaantekeningen die uitsluitend bedoeld zijn voor intern overleg en beraad. Denk aan een memo over promotie of bonus.

  • Moet ik door de medewerker gevraagde correcties of aanvullingen doorvoeren?
    • Ja, u bent verplicht binnen vier weken foutieve persoonsgegevens te corrigeren of aan te vullen.

  • Ben ik verplicht om aan een medewerker een kopie van zijn personeelsdossier te verstrekken?
    • Ja, dat bent u. Uitgezonderd notities en werkaantekeningen die uitsluitend bedoeld zijn voor intern overleg en beraad.

  • Mag ik voor het geven van kopieën kosten in rekening brengen?
    • Ja, u mag daarvoor maximaal € 5 in rekening brengen.

  • De medewerker vraagt welke persoonsgegevens in de organisatie over hem worden verwerkt. Hoe ga ik daar mee om?
    • U bent verplicht de medewerker binnen vier weken schriftelijk te informeren of en zo ja, welke persoonsgegevens over hem worden geregistreerd. Vermeld moet daarbij worden het doel of doeleinden van de registraties en de ontvangers van de informatie.

  • Vingerafdrukscan voor tijdsregistratie is onder AVG verboden
    • Werkgevers mogen geen vingerafdrukscans van werknemers gebruiken voor tijdsregistratie. Onder de Algemene verordening gegevensbescherming (AVG) is zo’n vingerscan in principe verboden.

      Sommige organisaties bieden kloksystemen aan waarbij het gebruik van een vingerafdruk een optie is. Een werknemer klokt dan in en uit door zijn vinger te laten scannen. Staatssecretaris Van Ark geeft in een antwoord op Kamervragen aan dat zulke tijdsregistratiesystemen verboden zijn. De werkgever verwerft met de vingerafdruk biometrische data van een werknemer, terwijl er ook andere manieren zijn om een werknemer te laten in- en uitklokken. Denk bijvoorbeeld aan het gebruik van een pasje of het invoeren van een wachtwoord.

      De staatssecretaris baseert haar antwoorden op de AVG en de Uitvoeringswet AVG (UAVG), die per 25 mei 2018 van toepassing zijn (al moet de Eerste Kamer nog over de UAVG stemmen). Maar ook onder de huidige privacyregels is een vingerafdrukscan voor tijdsregistratie niet de bedoeling. Het verbod op verwerken van biometrische gegevens geldt niet als de betrokkene van wie gegevens worden verwerkt nadrukkelijk toestemming heeft gegeven. Maar in het geval van een werknemer kan toestemming geen geldige grondslag zijn voor verwerking van biometrische gegevens, zo stelt de staatssecretaris. Door de gezagsverhouding tussen werkgever en werknemer is er in de regel geen sprake van in vrijheid gegeven toestemming.

      Organisaties mogen vingerafdrukken wel gebruiken als die noodzakelijk zijn voor de beveiliging van de toegang van gebouwen of ICT-systemen en er uiteraard passende veiligheidsmaatregelen worden genomen. Bij tijdsregistratie gaat het echter niet om beveiliging en ontbreekt ook de noodzaak. Werknemers mogen dus weigeren hiervoor een vingerafdruk af te staan en kunnen bij de Autoriteit Persoonsgegevens een klacht indienen.

       

  • Kopie paspoort en de AVG?
      • Identificatieplicht
        Op de werkgever rust een identificatieplicht. U bent verplicht bij indiensttreding van een werknemer de identiteit en eventuele verblijfsstatus van die werknemer te controleren. U moet dat doen aan de hand van een op dat moment geldig legitimatiebewijs waaruit ook de nationaliteit van de werknemer blijkt. Dit kan een paspoort of ID-bewijs zijn. Ook een vreemdelingendocument kan worden gebruikt. Een rijbewijs volstaat niet omdat daarop de nationaliteit niet staat vermeld.

        Controleer
        U mag niet op een kopie van het legitimatiebewijs afgaan, maar moet het identiteitsbewijs echt in handen hebben. Dit om de echtheidskenmerken te controleren en na te gaan of document nog geldig is. Dat laatste is niet lastig. Het eerste vraagt meer aandacht: bekijk of de foto overeenkomt met de persoon voor u. Kloppen de genoemde fysieke kenmerken zoals de lengte en leeftijd? De nationaliteit moet vermeld zijn op het document. Verder dient u de werknemer een handtekening te laten zetten en deze te vergelijken met die op het legitimatiebewijs.

        Kopieer
        Vervolgens moet de werkgever een goed leesbare kopie maken. Het documentnummer, de pasfoto en het BSN-nummer moeten goed zichtbaar zijn en mogen dus niet zijn doorgehaald. U hoeft dit niet opnieuw te doen wanneer de geldigheid van het document is verlopen. Let op: de AP geeft aan dat ook pagina’s met informatie, zoals persoonlijkheidskenmerken, handtekening, stempels en informatie over de eventuele kinderen moeten worden gekopieerd.

        Bewaar
        Als u een kopie (of scan) van het legitimatiebewijs maakt en dit in een papieren of digitale versie opslaat, verwerkt u persoonsgegevens. Dit mag. Sterker nog, u moet dit doen op grond van een wettelijke verplichting in het kader van de loonadministratie (art. 29 Wet op de Loonbelasting). Deze verwerkingsgrondslag kunt u dan ook in het verwerkingsregister vermelden. U dient het document te bewaren tot minstens vijf jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan. Als er controle komt, bijvoorbeeld door de Inspectie SZW, moet u de kopie kunnen tonen. Omdat het document een bijzonder persoonsgegeven bevat, namelijk het BSN-nummer en persoonskenmerken, moet u extra zorgvuldig met deze informatie omgaan. Goed beveiligen is een must. Ga goed na wie er toegang heeft tot dit soort documenten en pas dit zo nodig aan.

        Bent u inlener? 
        Als u personeel inleent als uitzendkracht of payrollwerknemer of er is sprake van detachering, werkt het net even anders. In dit geval is het belangrijk dat u bij de Belastingdienst kunt aantonen wat de identiteit is van die ingeleende arbeidskracht en wat de omvang van de eventuele aansprakelijkheid is (manurenadministratie). Als inlener (materiële werkgever) mag u geen kopie of scan maken van het legitimatiebewijs van de ingeleende arbeidskracht. De formele werkgever mag dat wel. Wat u wel moet doen, is het originele identiteitsbewijs controleren. Vervolgens dient u in uw administratie de NAW-gegevens van de ingeleende arbeidskracht op te nemen, de geboortedatum en het BSN-nummer, de nationaliteit, het soort identiteitsbewijs en de geldigheidsduur.

        Aanvullende informatie
        https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rs/rs_kopie-identiteitsbewijs.pdf

ContactPostbus 61 - 2700 AB - Zoetermeer