Hoe informeer ik mijn werknemers over de omgang met hun persoonsgegevens?

werknemer-informeren-omgang-persoonsgegevens

De privacywetgeving AVG (of GDPR) of verplicht organisaties om hun werknemers te informeren over de omgang met hun persoonsgegevens. Werknemers zijn net als consumenten gerechtigd op informatie hierover. Maar hoe voldoet men aan deze informatieplicht? En waar moet men op letten?

In praktijk is het opvallend dat organisaties slechts een privacybeleid hebben opgesteld voor klanten en (website-) gebruikers en daarmee volledig denken te voldoen aan de informatieplicht van de AVG. Helaas is dat niet zo. Men dient alle zaken in het privacybeleid ook te implementeren in de organisatie. Zo moeten werknemers ook geïnformeerd worden over hun gegevensverwerkingen. Als werkgever wilt u vast in lijn handelen met de informatieplicht uit de AVG. U kunt dan overwegen een intern privacybeleid op te stellen. Naast het intern beleid, kunt u ook in het (extern)privacybeleid op de website sollicitanten informeren over de gegevensverwerkingen die in dat kader plaatsvinden.

Informatieplicht voor werkgevers

De AVG, is vrij duidelijk over de informatieplicht. Als een organisatie persoonsgegevens verzamelt van een persoon, dan dient deze gelijktijdig geïnformeerd te worden over deze gegevensverwerking. Denk hierbij aan doeleinden, hoe zij hun rechten hierover kunnen uitoefenen etc. Deze informatie moet volgens de AVG toegankelijk en begrijpelijk zijn. Met andere woorden, geen moeilijke vakjargon, maar duidelijke taal. Het is dan gebruikelijk om de informatie in een privacybeleid te structureren.

Als werkgever is dat dan ook niet anders. Deze verwerkt altijd persoonsgegevens van werknemers, zoals het aanleggen van personeelsdossiers, salarisuitbetaling, offline beveiliging etc. Een werkgever zal zijn werknemers daarom actief moeten informeren over de verwerkingen die (gaan) plaatsvinden op het moment dat hij de (persoons-)gegevens van zijn werknemers verzamelt.

Hoe ziet een interne privacyverklaring eruit?

Net als bij een extern privacybeleid op de website, dient een intern privacybeleid beknopt, transparant en in duidelijk en eenvoudige taal opgesteld te zijn. Beknopt houdt hier in dat het geen 60 pagina tellende privacybeleid hoeft te zijn. Echter, het is niet de bedoeling dat er zaken worden weggelaten(!). Verder dient de interne privacyverklaring in ieder geval de volgende informatie te bevatten:

  •  De identiteit en contactgegevens van de werkgever;
  • De soorten persoonsgegevens die worden verwerkt (bijvoorbeeld NAW-gegevens en salarisgegevens);
  • De grondslag van de verwerking (bijvoorbeeld om te voldoen aan een wettelijke verplichting of om het arbeidsovereenkomst uit te voeren);
  • De doelen van de verwerking van persoonsgegevens (bijvoorbeeld uitbetaling van salaris);
  • Wanneer er sprake is van een gerechtvaardigd belang bij een gegevensverwerking, dan dient dit ondersteund te worden met een motivering (bijvoorbeeld meelezen in de mailbox van medewerkers bij een vermoeden van misbruik van bedrijfsgegevens).
  • Wie de (categorieën) ontvangers zijn van de persoonsgegevens (bijvoorbeeld een payroll-bedrijf of IT-dienstverlener).
  • Of er gegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (bijvoorbeeld als er gebruik wordt gemaakt van een hostingprovider gevestigd in Amerika) en welke passende waarborgen zijn getroffen (zoals een Privacy Shield certificate of een gedegen verwerkersovereenkomst).
  • Hoe lang de werkgever de persoonsgegevens bewaard (bijvoorbeeld het personeelsdossier maximaal 2 jaar na uitdiensttreding).
  • De getroffen beveiligingsmaatregelen (bijvoorbeeld encryptie).
  • De rechten van de werknemers (zoals het recht op inzage, -rectificatie en -verwijdering).

Wanneer deze zaken opgenomen zijn in het intern privacybeleid, is er een goede basis gelegd. Gezien elke organisatie anders opereert, is de lijst met informatie niet uitputtend. Er is daarom altijd een situatieafhankelijke analyse nodig om te bepalen of het privacybeleid (zowel intern als extern) voldoet aan de eisen die worden gesteld door de AVG.

Wilt u meer weten? Of wilt u graag hulp bij het opstellen van een intern privacybeleid? Neem contact met ons op via de onderstaande button.

Afspraak maken