Veelgestelde vragen over AVG en privacy

Gepubliceerd: 5 juli 2021 | door Brightmine

Zo werd onlangs bekend dat FNV en IKEA Nederland het eens zijn geworden over een zogeheten inclusieve cao voor de periode van 1 oktober 2021 tot en met 31 augustus 2022. Deze nieuwe afspraken bevatten onder meer een regeling voor betaald verlof voor transgender werknemers die van geslacht willen veranderen. Wil een IKEA-werknemer van geslacht veranderen (gendertransitie) dan kan die werknemer over een periode van 10 jaar 24 weken verlof opnemen voor medische en niet-medische behandelingen, met behoud van salaris. De werknemer hoeft zich hiervoor dus niet ziek te melden of met bijzonder verlof te gaan.

Ziek melden of verlof opnemen vanwege transitie

Momenteel moeten werknemers die in transitie gaan en genderbehandelingen of operaties ondergaan bij de meeste bedrijven veelal gebruik maken van het ziekteverlof en eigen verlofdagen. Wanneer de werknemer zich hiervoor ziekmeldt moet de werkgever het loon doorbetalen .

Sommige werkgevers hebben zelf een speciale transitieregeling uitgewerkt voor transgender werknemers (in een bedrijfsregeling of in een cao). Zo heeft de Gemeente Amsterdam een regeling waarbij het transitieverlof (waarbij de werkgever het loon doorbetaald) de diagnostische en hormonale fase (of voorfase) van de transitie omvat. De operatieve en herstelfase worden wel formeel geregistreerd als ziekteverzuim. De Gemeente Utrecht heeft de transitie geschaard onder een algemenere regeling voor bijzonder verlof. Hieronder vallen onder andere rouw en (mantel)zorg, maar ook transitie. Het is een regeling die afwezigheid opvangt dat niet onder het ziekteverlof valt en loopt op tot maximaal een jaar, waarbij het volledige loon wordt doorbetaald.

Als werkgever verwerk je regelmatig persoonsgegevens van werknemers. Denk aan het opslaan van gegevens van de werknemer in een personeelsdossier of doorgifte van gegevens aan instanties als UWV. Op basis van de AVG mogen organisaties slechts persoonsgegevens verwerken onder bepaalde voorwaarden. In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

1. Je hebt toestemming van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

Als werkgever moet je zelf de grondslag bepalen op basis waarvan je persoonsgegevens van werknemers verwerkt. Vaak is dit de uitvoering van de arbeidsovereenkomst, soms is dit met toestemming van de werknemer.

De AVG is een Europese verordening en is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De AVG biedt de lidstaten nog ruimte om bepaalde keuzes te maken. In Nederland zijn deze uitgewerkt in de Uitvoeringswet AVG.

Wat is een persoonsgegeven?

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. De informatie moet direct over iemand gaan of naar deze persoon te herleiden zijn. Denk aan een naam, adres, woonplaats of geboortedatum. Ook uiterlijke kenmerken kunnen een persoonsgegeven zijn. Als er bij een bedrijf bijvoorbeeld één persoon werkt met rood haar, en er wordt gesproken over ‘de medewerker met rood haar’, dan weet iedereen binnen het bedrijf om welke persoon het gaat.

Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. Bijzondere persoonsgegevens gaan over iemands:

• godsdienst of levensovertuiging
• ras
• politieke voorkeur
• gezondheid
• lidmaatschap van een vakbond
• seksuele leven
• strafrechtelijk verleden

De verwerking van bijzondere persoonsgegevens is meestal verboden. Dit is alleen mogelijk als je je kunt beroepen op een wettelijke uitzondering én sprake is van één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Dataverkeer in kaart brengen

Om te zorgen voor een zorgvuldige verwerking van persoonsgegevens die in lijn is met de AVG, is het raadzaam om alle informatiestromen binnen HR in kaart brengen. Inventariseer welke persoonsgegevens de HR-afdeling verwerkt, met welk doel de gegevens worden verwerkt en met welke personen en organisaties de gegevens worden gedeeld. Inventariseer welke bewaarplichten en bewaartermijnen gelden. Bekijk daarna of voldaan wordt aan de bescherming van de persoonsgegevens conform de AVG.

Let op! Werkgevers schakelen soms andere organisaties in om persoonsgegevens voor hen te verwerken. Denk aan de uitbesteding van de loonadministratie. Zo’n andere organisatie heet een verwerker. Als verwerkingsverantwoordelijke blijf je altijd verantwoordelijk voor de verwerking van de persoonsgegevens. De verwerkingsverantwoordelijke en een verwerker moeten samen altijd  een verwerkersovereenkomst afsluiten.

De AVG en het personeelsdossier

Als werkgever verwerk je regelmatig persoonsgegevens van werknemers in een personeelsdossier. Uit de AVG en de Uitvoeringswet AVG vloeien onder meer de volgende verplichtingen voort voor het aanleggen en bijhouden van een personeelsdossier.

• Voor de verwerking van persoonsgegevens in het personeelsdossier moet de werknemer uitdrukkelijk toestemming geven, tenzij het gaat om gegevens die de werkgever op grond van wet- en regelgeving moet verzamelen. De verwerkingsverantwoordelijke (dit kan de werkgever zijn of iemand die hij daarvoor heeft aangesteld) moet kunnen aantonen dat de werknemer deze toestemming heeft gegeven.
• Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de werknemer behoorlijk en transparant is.
• De verwerkingsverantwoordelijke is verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in de personeelsadministratie.
• Gelet op het doel waarvoor ze worden verwerkt (het uitvoeren van de arbeidsovereenkomst), moeten de gegevens in het personeelsdossier toereikend, ter zake dienend en niet bovenmatig zijn.
• De verwerkingsverantwoordelijke moet de werknemers informeren over de doeleinden waarvoor de gegevens worden verzameld.
• De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
• Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de gegevens worden verzameld en vervolgens gebruikt.
• De werkgever moet de werknemers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

Welke gegevens horen in het personeelsdossier?

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over de werknemer kan onderbouwen. Naast persoonlijke gegevens gaat het om informatie over contracten en arbeidsvoorwaarden, functioneren en ontwikkeling, ziekteverzuim en diversen en bijzonderheden.

Op grond van jurisprudentie geldt dat een personeelsdossier dient om alles vast te leggen wat van belang is voor de inhoud en uitvoering van de arbeidsovereenkomst. Daarbij gaat het niet alleen om de arbeidsvoorwaarden, maar ook om het verloop van de arbeidsrelatie.

De werkgever kan bepalen wat hij van belang acht om toe te voegen aan het personeelsdossier. Hij wordt echter in deze vrijheid beperkt door de bepalingen van de AVG en de Uitvoeringswet AVG en het goed werkgeverschap. Dit betekent dat de werknemer zich alleen dan tegen toevoeging van bepaalde informatie of stukken aan zijn personeelsdossier kan verzetten, als de toevoeging van die informatie of stukken in strijd is met bepalingen van de (Uitvoeringswet) AVG of het goed werkgeverschap.

Welke gegevens mogen niet in personeelsdossier?

Het is verboden om informatie in het personeelsdossier op te nemen over iemands (art. 22 UAVG):

• ras of etnische afkomst, tenzij dit bedoeld is om de werknemer een bevoorrechte positie toe te kennen (positieve discriminatie) en waarvoor opname van deze gegevens voor dit doel noodzakelijk is, de werknemer daartegen geen schriftelijk bezwaar heeft gemaakt en de werknemer tot een etnische of culturele minderheidsgroep behoort;
• religieuze of levensbeschouwelijke overtuigingen;
• politieke opvattingen;
• lidmaatschap van een vakbond;
• genetische gegevens;
• biometrische gegevens met het oog op de unieke identificatie van de werknemer, tenzij dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden;
• seksueel gedrag of seksuele gerichtheid;
• lichamelijk en geestelijke gezondheid, tenzij bedoeld voor een goede uitvoering van wettelijke voorschriften, pensioenregelingen of cao’s die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de werknemer of de re-integratie of begeleiding van werknemer in verband met ziekte of arbeidsongeschiktheid;
• strafblad, tenzij dit plaatsvindt overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure bedoeld in de Wet op de ondernemingsraden (art. 27 WOR).

Dit is alleen anders wanneer de werknemer uitdrukkelijk toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor één of meer bepaalde doeleinden.

Recht op inzage in personeelsdossier

De werknemer heeft het recht op inzage in de persoonsgegevens die de werkgever verwerkt. Het recht op inzage (art. 15 AVG) houdt in dat de verwerkingsverantwoordelijke (dit kan de werkgever zijn of iemand die hij daarvoor heeft aangesteld) inzage geeft in het personeelsdossier en in de volgende informatie:

• het doel van de opname in het personeelsdossier van de persoonsgegevens;
• welke categorieën gegevens worden verwerkt;
• wie de ontvangers van deze gegevens zijn;
• de bewaartermijn van de gegevens;
• dat de werknemer het recht heeft de verwerkingsverantwoordelijke te verzoeken de gegevens te rectificeren, te wissen, te beperken of bezwaar te maken tegen de opname in het personeelsdossier,
• dat de werknemer een klacht kan indienen bij de Autoriteit Persoonsgegevens,
• alle beschikbare informatie over de bron van de gegevens, wanneer ze niet afkomstig zijn van de werknemer.

Onder de AVG hebben werknemers naast het recht op inzage ook (onder bepaalde voorwaarden) het recht om van de werkgever een kopie van hun persoonsgegevens in een standaardformaat te ontvangen, bijvoorbeeld als pdf-bestand.

Recht op correctie en wissen gegevens personeelsdossier

Als de werknemer op basis van verkregen inzage weet wat zich in zijn personeelsdossier bevindt en vindt dat die gegevens er niet in thuis horen, kan hij om correctie van die gegevens verzoeken.

Anders dan de naam doet vermoeden heeft de werknemer op basis van deze bepaling niet een algemeen recht om hem ongewelvallige beoordelingen, waarschuwingen etcetera, uit zijn personeelsdossier te krijgen. Het recht op correctie moet beperkt worden uitgelegd: het ziet alleen op het corrigeren van gegevens die feitelijk onjuist zijn. Wel kan de werkgever onder omstandigheden verplicht zijn om de mening van de werknemer toe te voegen aan het dossier.

Recht op verwijderen gegevens personeelsdossier

De werknemer heeft onder meer recht op het wissen van gegevens uit het personeelsdossier wanneer:

• de gegevens niet meer het doel dienen waarvoor zij in het personeelsdossier zijn opgenomen;
• de werknemer zijn eerder gegeven toestemming intrekt;
• de werknemer bezwaar maakt tegen de verwerking, en er zijn geen gronden (wet- en regelgeving) voor de verwerking van de gegevens die ‘voorgaan’;
• de persoonsgegevens onrechtmatig zijn verwerkt;

Een reden om de gegevens niet te wissen is het moeten voldoen aan wettelijke verplichtingen. Te denken valt aan de Wet op de identificatie, de Wet op de loonbelasting en de bewaartermijnen uit de Algemene wet inzake rijksbelastingen.

In XpertHR is het kennisdocument ‘Personeelsdossier en privacy’ opgenomen met uitgebreide informatie over het verwerken van persoonsgegevens van werknemers in het personeelsdossier en het delen van die gegevens met derden. Ook is beschreven waar je aan moet denken bij een fusie of overgang van onderneming.

Bewaartermijnen en bewaarplicht voor HR

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. Een aantal andere wetten schrijft wel specifieke bewaartermijnen voor. Zo moet je de loonadministratie op grond van de Algemene wet inzake rijksbelastingen ten minste zeven jaar bewaren. Het identiteitsbewijs van de werknemer moet je na afloop van het dienstverband ten minste 5 jaar bewaren. Is er geen wet, dan moet je zelf de termijnen bepalen en kunnen motiveren waarom voor die termijn is gekozen. In het algemeen geldt een richtlijn van twee jaar nadat het dienstverband is geëindigd.

Data protection officer aannemen?

Sommige organisaties zijn op grond van de AVG verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Deze functionaris, ook wel data protection officer genoemd, houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Het gaat dan om:

• overheidsinstanties en publieke organisaties, ongeacht het type gegevens dat ze verwerken;
• organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen;
• organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvan dit de kernactiviteit is.
• organisaties die strafrechtelijke persoonsgegevens verwerken.

Een organisatie die niet verplicht is om een FG in te stellen, mag dat wel doen.

Organisaties moeten hun data protection officer/FG aanmelden bij de AP.

De AVG en de zieke werknemer

Als een werknemer ziek wordt, gelden op grond van de AVG en Uitvoeringswet AVG regels rond de verwerking van gegevens. Uitgangspunt van de AVG is dat het verboden is om gezondheidsgegevens te verwerken maar er zijn uitzonderingen. Gezondheidsgegevens mogen wel worden verwerkt als:

• er een wettelijke grondslag voor verwerking bestaat, als bedoeld in art. 6 AVG (rechtmatigheid van de verwerking);
• aan de andere eisen voor het rechtmatig verwerken van persoonsgegevens is voldaan; én
• een beroep kan worden gedaan op een van de uitzonderingsgronden op het verbod om bijzondere categorieën persoonsgegevens te mogen verwerken.

Ziekmelding opnemen in administratie

Werkgevers hebben een wettelijke verplichting om een ziekmelding op te nemen in hun administratie. Zij moeten ziekmeldingen immers doorgeven aan het UWV en kunnen bepalen of ze het loon van de zieke werknemer moeten doorbetalen en hun re-integratieverplichtingen nakomen. In art. 30 lid 1 onder a Uitvoeringswet AVG is de benodigde uitzondering op het verbod om gezondheidsgegevens te verwerken opgenomen.

In XpertHR is uitgebreide informatie opgenomen over het verwerken van gegevens van een zieke werknemer en de privacy van de zieke werknemer in het kennisdocument ‘AVG in de praktijk‘ en ‘Ziekte en privacy‘. Daarin staat bijvoorbeeld hoe je om kunt gaan met het e-mailaccount van langdurig zieke werknemers en welke vragen je mag stellen als een werknemer zich ziekmeldt of langdurig ziek is.

Omgaan met een datalek

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Verliest een werknemer usb-stick met persoonsgegevens dan is bijvoorbeeld sprake van een datalek, maar ook wanneer een werknemer gegevens doormailt naar een verkeerd e-mailadres.

Is sprake van een datalek, dan moet dit onmiddellijk worden gemeld bij de verantwoordelijke. De verantwoordelijke kan dan de afhandeling van het datalek oppakken. Het is daarom van belang dat binnen de organisatie bekend is wie de verantwoordelijke is.

De verantwoordelijke kan vervolgens de aard en de ernst van het datalek in kaart brengen en  beoordelen welke vervolgstappen genomen dienen te worden. Volgens de AVG moeten de volgende acties ondernomen worden:

• Houdt het datalek een hoog risico in voor de rechten en vrijheden van natuurlijke personen, dan moet je het datalek ook melden aan de betrokkene.
• Registratie van het datalek in een register datalekken;
• Melding van het datalek aan de Autoriteit Persoonsgegevens,  tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Gezichtspunten die bij deze beoordeling een rol spelen zijn onder meer de omvang van het datalek, de aard van de gelekte gegevens, het aantal betrokken personen van wie persoonsgegevens zijn gelekt en de positie van de getroffen betrokkenen. De melding aan de Autoriteit Persoonsgegevens moet binnen 72 uur na de ontdekking van het datalek plaatsvinden;