Home / Checklist AVG voor HR

Checklist AVG voor HR

Logo AWVN-werkgeverslijnDe bescherming van persoonsgegevens is sinds 25 mei 2018 geregeld in de Algemene Verordening Gegevensbescherming (AVG). Ook HR heeft te maken met deze nieuwe Europese privacyregels. Een snelle checklist voor HR.

1. Verwerkingenregister
In een speciaal register moet u vastleggen welke persoonsgegevens van medewerkers, klanten en leveranciers HR verwerkt, voor welke doeleinden en op welke juridische gronden. Ook moet u noteren hoe u de gegevens beveiligt en hoe lang u deze bewaart. Bij controles verwacht de autoriteit Persoonsgegevens (AP) dat u het verwerkingenregister kunt laten zien.

2. Bewaartermijnen
Persoonsgegevens mogen niet langer worden bewaard dan de wet voorschrijft. Heeft u deze termijnen scherp op het netvlies? En als u de gegevens langer wilt bewaren, op welke juridische grond doet u dat dan? Langer bewaren mag bijvoorbeeld als er een juridische procedure dreigt, zoals een loonvordering of letselschadeclaim. Ga hier echter wel terughoudend mee om: zie de AVG als een kans om op te schonen. Verwijder oude dossiers en stukken, zowel op papier als digitaal, en doe dit veilig. Ondeugdelijk verwijderde of vernietigde digitale gegevens kunnen zorgen voor een datalek. Denk ook aan oude gegevens van sollicitanten.

3. Beveiliging
Persoonsgegevens moeten adequaat zijn beveiligd. Dit geldt zeker voor bijzondere persoonsgegevens, bijvoorbeeld over godsdienst of gezondheid. Bent u op de hoogte van de beveiligingsmaatregelen in uw organisatie? Het is goed om van tijd tot tijd bij uw IT-afdeling of -leverancier na te gaan of aanpassingen nodig zijn. Zorg voor regelmatige veiligheidsupdates. Denk bij het bewaren van persoonsgegevens ook goed na over wie toegang heeft tot welke bestanden. Pas zo nodig autorisaties aan. Denk ook aan (niet-afgesloten) kasten met oude documenten. U bent niet de enige die gegevens heeft bewaard waarvan het nut omstreden is of de wettelijke bewaartermijn al (lang) verstreken.

4. Nieuwe rechten medewerkers
De AVG versterkt de rechten van de medewerkers van wie u persoonsgegevens verwerkt. Kent u deze rechten goed? Zij mogen bijvoorbeeld hun gegevens inzien, corrigeren en aanvullen. Medewerkers hebben ook het recht op vergetelheid (gegevens laten verwijderen) en dataportabiliteit (gegevens meenemen naar nieuwe werkgever). Naast de rechten van de medewerker staan plichten van de werkgever. Als een medewerker dat wil, moet u hem bijvoorbeeld inzage geven in zijn personeelsdossier (met uitzondering van persoonlijke aantekeningen van de leidinggevende). En weet u dat u niet zomaar het e-mail- en internetgedrag van medewerkers mag controleren? Volgens recente Europese rechtspraak moet u hen hierover vooraf informeren. Daarnaast moet u de medewerkers, klanten en leveranciers van wie u de persoonsgegevens verwerkt, vertellen hoe u dat doet. U moet hen wijzen op hun rechten en vertellen bij wie zij terechtkunnen met vragen of problemen. Dit kunt u het beste doen met de privacyverklaring die AWVN voor werkgevers heeft ontwikkeld.

5. Medewerkersbewustzijn
Kennen uw medewerkers hun privacyrechten voldoende? Weten ze wat ze moeten doen bij een (vermoeden van een) datalek? Het is aan te raden om uw medewerkers te betrekken bij de AVG. Zij zijn een belangrijke schakel – vergeet hen niet. Praat met hen over privacy, stimuleer goed gedrag en zorg dat de invoering van de AVG niet slechts een papieren exercitie is. Privacybewustzijn en een cultuur waarin medewerkers zich vrij voelen om privacykwesties te bespreken, dragen bij aan een goede bescherming van de persoonsgegevens in uw organisatie.

6. Geheimhoudingsverklaringen
Het is verstandig om medewerkers die veel met persoonsgegevens werken, nadrukkelijk te wijzen op hun verantwoordelijkheden. Maak met hen (aanvullende) geheimhoudingsafspraken. Dit kunt u doen in de arbeidsovereenkomst zelf, maar ook in een bijlage bij de arbeidsovereenkomst.

7. Datalekken
Bij een datalek moet u snel handelen. U bent verplicht om (vermoedens van) ernstige datalekken binnen 72 uur na ontdekking ervan te melden bij de AP. Soms moet u ook de betrokkene(n) informeren van wie de gegevens zijn ‘gelekt’. Wie is in uw organisatie verantwoordelijk om te beslissen of melding nodig is? Hoe zit de interne procedure precies in elkaar? Denk hierover na en informeer ook de medewerkers. Verder is het van belang om in de verwerkingsovereenkomsten met uw dataverwerkers afspraken op te nemen over de manier waarop zij omgaan met (vermoedens van) datalekken. Leg bijvoorbeeld vast dat zij u binnen 24 uur na de ontdekking op de hoogte brengen. Er moet immers tijd overblijven om de risico’s in te schatten (hoe ernstig is dit lek eigenlijk?), maatregelen te nemen, de schade te beperken en het lek tijdig te melden bij de AP en/of de betrokkenen. Op de website van de AP staat veel praktische informatie over (vermoedens van) datalekken.

8. Verwerkersovereenkomsten
Als uw organisatie werkt met partijen die in uw opdracht gegevens verwerken, dan moet u met hen verwerkersovereenkomsten sluiten. Denk bijvoorbeeld aan uw salarisverwerker. Pensioenverzekeraars en arbodiensten verwerken ook gegevens, maar hebben dusdanige eigen (wettelijke) verantwoordelijkheden dat deze waarschijnlijk als verwerkingsverantwoordelijke worden gezien. Daarom is het waarschijnlijk niet nodig om met hen een verwerkingsovereenkomst aan te gaan. Wel is het verstandig om de samenwerkingsovereenkomsten met deze partijen na te lopen op privacyaspecten.

9. Ziekteverzuim
Met de gezondheidsgegevens van uw medewerkers moet u extra zorgvuldig omgaan. Voldoet uw HR-systeem en de verzuimregistratie al aan de eisen van de AVG? Zo mag u bijvoorbeeld niet meer registreren welke ziekte en klachten een medewerker heeft en welke behandeling hij ondergaat. Dit mag ook niet als uw medewerker u vertelt wat hij mankeert! Alleen de bedrijfsarts mag gezondheidsgegevens registreren. Hij mag u hierover niet informeren. Check of uw verzuimbeleid en de afspraken met de arbodienst voldoen aan deze nieuwe regels. Op de website van de AP staan handige beleidsregels over de omgang met gegevens van zieke werknemers.

10. Alcohol, drugs en medicijnen
Bij beleid op het gebied van alcohol-, drugs- en medicijngebruik gaat het om bijzondere persoonsgegevens. Dergelijk beleid moet gericht zijn op preventie en begeleiding; de bijbehorende procedure mag geen sancties bevatten. Check uw beleid en pas het zo nodig aan (of laat dit doen). Het is ook verstandig om de afspraken met uw arbodienst op dit punt nog eens na te lopen.