Home / Actuele HR-issues / Privacy in de arbeidsrelatie

Privacy in de arbeidsrelatie

Privacy in de arbeidsrelatie en het beschermen van de persoonsgegevens van werknemers zijn belangrijke thema’s voor werkgevers in 2018. Hierbij speelt (nieuwe) wet- en regelgeving een rol.

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelstalige afkorting, GPDR – General Data Protection Regulation). Deze wet op het gebied van privacy is formeel al in 2016 in werking getreden, maar werkgevers hebben tot 25 mei 2018 de tijd gekregen om zich hierop voor te bereiden. Vanaf de datum vervalt de Wbp, en de AVG ook daadwerkelijk gehandhaafd worden.

Bekijk de pagina’s over privacy in de arbeidsrelatie, in vraag- en antwoordvorm. Onderwerpen:
sollicitatie
bewaartermijn personeelsgegevens
personeelsdossiers
publicatie personeelsgegevens
personeelsgegevens doorgeven aan andere instanties en andere landen
zieke werknemer
sociale media, e-mail en internet
telefoon, camera’s, personeelsvolgsystemen

Daarnaast bestaat sinds al 1 januari 2016 de verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Werkgevers die met een datalek te maken krijgen, moeten nagaan of dit een lek is dat zij moeten melden. Melden ze een lek ten onrechte niet of te laat, dan kan dat forse boetes opleveren – tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet als een organisatie zich niet aan de nieuwe privacywetgeving houdt. Dit geldt ook als andere bepalingen van de Wet bescherming persoonsgegevens of straks de AVG niet correct worden nageleefd.
En dan zijn er ook nieuwe ontwikkelingen, als gevolg van rechterlijke uitspraken (zie de blog van Astrid Zuidinga over nieuwe verplichting om communicatie medewerkers te mogen monitoren).

Juist handelen als werkgever is van groot belang. Onjuist handelen kan namelijk leiden tot problemen in de arbeidsverhoudingen, imagoschade voor uw bedrijf én forse boetes. Privacy en informatiebeveiliging moet niet alleen goed verankerd zijn in de top van de organisatie, maar vraagt ook om draagvlak bij medewerkers. Het is daarom ook zaak bewustwording te creëren voor het belang van privacy en informatiebeveiliging in alle lagen van de organisatie.

  • Normen Wbp voor verwerken van en omgaan met persoonsgegevens

    De Wet bescherming van persoonsgegevens is sinds 1 september 2001 van kracht. Deze wet schrijft voor het rechtmatig verwerken van persoonsgegevens en het zorgvuldig en behoorlijk omgaan met persoonsgegevens een aantal dwingende normen voor. Deze normen zijn uitgewerkt in de volgende aantal basisvoorwaarden.

    1 Doel
    Persoonsgegevens (dat zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon) mogen slechts voor bepaalde en gerechtvaardigde doeleinden worden verzameld en niet worden verwerkt voor doeleinden die daarmee onverenigbaar zijn.

    2 Rechtmatige grondslag
    De verwerking van persoonsgegevens (dat is elke handeling die met persoonsgegevens verricht kan worden) moet berusten op een in de Wbp genoemde grondslag, zoals toestemming, overeenkomst, wettelijke plicht, gerechtvaardigd belang van het bedrijf of de organisatie.
    Voor bijzondere gegevens (godsdienst, ras, politieke gezindheid, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging, strafrechtelijke gegevens en gegevens over onrechtmatig of hinderlijk gedrag waarvoor een verbod is opgelegd) gelden striktere normen.

    3 Kwaliteit
    De persoonsgegevens moeten zoveel mogelijk juist, nauwkeurig, toereikend, ter zake dienend en niet bovenmatig zijn.

    4 Transparantie
    De betrokkene (dat is de persoon wiens persoonsgegevens worden verwerkt) moet kunnen overzien door wie en voor welk doel zijn gegevens worden verwerkt.

    5 Melden: voornemen en verwerking
    De verwerking van persoonsgegevens moet vooraf worden gemeld bij de Autoriteit Persoonsgegevens of een functionaris voor de gegevensbescherming, tenzij de verwerking daarvan is vrijgesteld. Van bepaalde persoonsgegevens moet ook al het plan (voornemen) deze te verwerken gemeld worden met het oog op een beoordeling door het CBP (voorafgaand onderzoek).

    6 Rechten van de betrokkenen
    De betrokkenen hebben het recht om kennis te nemen van hun gegevens en om te verzoeken deze te laten verbeteren of te laten verwijderen. Tevens hebben zij er recht op om bezwaar te maken tegen het verwerken van persoonsgegevens.

    7 Beveiliging
    Passende maatregelen van technische en organisatorische aard vormen het noodzakelijke sluitstuk van een rechtmatige verwerking.

    8 Verwerking door een bewerker
    Als de verwerking wordt uitbesteed aan een bewerker, moet worden verzekerd dat deze zich houdt aan de aanwijzingen van de verantwoordelijke.

    9 Gegevensverkeer met landen buiten de Europese Unie
    Het verkeer van persoonsgegevens naar een land buiten de Europese Unie (EU) is in principe alleen toegestaan als dat land een passend niveau van bescherming heeft.

    Bron Privacy: checklist voor de ondernemingsraad – uitgave CPB, thans Autoriteit Persoonsgegevens (AP), 2002. De AP houdt toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen, waaronder de Wet bescherming persoonsgegevens.

  • Instemmingsrecht OR

    De ondernemingsraad speelt bij de privacybescherming van medewerkers op de werkplek een cruciale rol. De Wet op de Ondernemingsraden bepaalt dat een ondernemer instemming van de OR nodig heeft als hij regelingen voor persoonsgegevens van medewerkers wil verwerken.

Downloads

artikel Werkgeven
maart 2018
Download
Astrid Zuidinga
februari 2018
Download
Externe bron
augustus 2017
Download
Externe bron
januari 2017
Download
Astrid Zuidinga
december 2013
Download