Menu

Hoe ga je als werkgever om met de AVG?

Sinds 25 mei 2018 geldt er nog maar één privacywet in de EU: de Algemene Verordening Gegevensbescherming, ook wel bekend als de AVG. Het is voor veel ondernemers nog niet altijd duidelijk welke gegevens nu verplicht beschermd moeten worden en welke niet. Wij zetten daarom op een rij wat persoonsgegevens zijn, welke je als werkgever verplicht dient te beschermen en wat er van je verwacht wordt bij een eventueel datalek.

  1. Wat is de AVG?
  2. Wat zijn persoonsgegevens?
  3. Ondernemers en de AVG
  4. Verwerken van persoonsgegevens
  5. Datalek melden

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. Het is een Europese verordening waarbij het verwerken van persoonsgegevens door bedrijven wordt gestandaardiseerd in de hele Europese Unie. Hierdoor komt meer verantwoordelijkheid te liggen bij de bedrijven die de gegevens verwerken en krijgen de mensen van wie de gegevens verwerkt worden meer rechten. Het uitgangspunt van deze wet is dat persoonsgegevens alleen nog verwerkt mogen worden wanneer dat strikt noodzakelijk is en enkel door personen die hier daadwerkelijk toegang toe dienen te hebben. Zodra je gegevens van klanten, personeel of andere personen bewaart ben je verplicht om deze goed te beschermen. Als werkgever is het zaak om extra maatregelen te nemen bij het vastleggen, bewaren en gebruiken van persoonsgegevens.

Wat zijn persoonsgegevens?

Bij persoonsgegevens gaat het om informatie die direct of indirect leidt tot het identificeren van een persoon. Voorbeelden van zulke gegevens die jij, als werkgever, vaak in het bezit hebt zijn:

  • Naam
  • Adres
  • BSN-nummer
  • E-mailadres
  • Kenteken(s)
  • Bankrekeningnummer
  • IP-adres

Naast de standaard persoonsgegevens zoals hierboven beschreven, zijn er ook nog gevoelige gegevens. Deze worden de bijzondere persoonsgegevens genoemd. Dit gaat bijvoorbeeld over iemands gezondheidssituatie, strafrechtelijk verleden of godsdienst. Deze persoonsgegevens mag je als werkgever niet bewaren tenzij je daar een wettelijke uitzondering voor hebt.

Ondernemers en de AVG

Je hebt als werkgever al gauw te maken met de AVG. Ondernemingen krijgen meer verantwoordelijkheden voor de beveiliging van de persoonsgegevens die zij in bezit hebben. Het is ook belangrijk om aan te tonen dat een onderneming zich aan de privacyregels houdt. Het is mogelijk dat een ondernemer aanvullende verplichtingen opgelegd krijgt vanuit de AVG. Dit is afhankelijk van de grootte van de onderneming, de bedrijfsactiviteiten en de mate waarin gegevens worden verwerkt.

Verwerken van persoonsgegevens

Het verwerken van gegevens mag met invoering van de AVG niet meer zomaar. Organisaties mogen persoonsgegevens alleen verzamelen als dat noodzakelijk is voor een bepaald doel. Of als de persoon in kwestie zelf toestemming heeft gegeven. Als werkgever heb je een goede reden, ook wel grondslag, nodig voor het verzamelen van gegevens.

Breng het volgende in kaart om te bepalen welke stappen er nodig zijn om aan de eisen van de AVG te voldoen.

  • Welke gegevens verwerkt jouw bedrijf?
  • Van welke personen verwerkt jouw bedrijf gegevens?
  • Wie verwerkt de gegevens?
  • Wie hebben toegang tot de gegevens?
  • Met wie worden de gegevens gedeeld en met welk doel worden deze gedeeld?
  • Met welk doel verwerk je de gegevens?
  • Wat is de grondslag van verwerking?

Ook Please voldoet aan de eisen van de AVG. Meer informatie hierover vind je in ons privacybeleid.

Ook als je niet verplicht bent om een privacybeleid op te stellen raden wij aan om dit wel te doen. Door een beleid op te stellen is het gemakkelijker om aan te tonen dat jouw organisatie zich aan de wet houdt. Stel het privacybeleid in een eenvoudige taal op die voor iedereen te begrijpen is. En zorg dat het privacybeleid in ieder geval de volgende onderdelen bevat:

  • Naam en contactgegevens van de onderneming.
  • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing).
  • Doel van de verwerking van de persoonsgegevens.
  • De bewaartermijn van persoonsgegevens.
  • Beschrijving van welke beveiligingsmaatregelen worden getroffen.
  • Beschrijving van hoe wordt omgegaan met een datalek.

In het privacybeleid wijs je de betrokkene erop dat hij/zij recht heeft op:

  • inzage, wissen en rectificatie van de persoonsgegevens;
  • dataportabiliteit (het recht om je eigen persoonsgegevens te ontvangen en mee te nemen naar een ander bedrijf);
  • het intrekken van eerder gegeven toestemming;
  • het indienen van een klacht bij de Autoriteit Persoonsgegevens.

Datalek melden

Ondanks dat je de gegevens goed beschermt kan het alsnog gebeuren dat er een datalek ontstaat. Om ervoor te zorgen dat je dan weet wat je moet doen is het verstandig om een draaiboek op te stellen. Op deze manier weet je wat er van jou verwacht wordt bij een datalek. Het is verplicht om een melding te maken van het datalek bij de Autoriteit Persoonsgegevens. Ook het eventueel inlichten van de betrokkenen kan hierbij horen. Je dient een datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. De AVG verplicht je tevens om datalekken intern vast te leggen en te documenteren.

Ontdek Aybler

Met ons HR-platform Aybler heb je al jouw personeelsadministratie verzameld op één digitale, beveiligde plek. Benieuwd naar de voordelen?

Lees meer over Aybler

Vraag maar raak!

Heb jij een vraag over de AVG of een privacybeleid? Stel ze hieronder en ik help je graag verder!

Ilse

Gerelateerde artikelen