Als u personeel in dienst heeft bent u wettelijk verplicht een personeelsadministratie te voeren.

Dat weet u als werkgever.

Een personeelsadministratie waarbinnen naast de “basale” personeelsgegevens rondom de persoon van de medewerker en diens salaris veelal ook medische gegevens geadministreerd worden in het kader van ziek- en herstel meldingen, functionerings- en beoordelingsgesprekken, leasecontracten en noem maar op.

Handmatig of digitaal, nagenoeg alle personeelsgegevens/ persoonsgegevens van medewerkers worden vastgelegd. Nog even los van de vraag of wat u allemaal vastlegt vastgelegd mag worden (bijv. medische gegevens zijn per definitie verboden), u (of de door u ingeschakelde bewerkers – salaris-/administratiebedrijven/- providers) heeft/hebben van uw medewerkers een hoop privacygevoelige informatie voorhanden.

En u zult dan ook weten dat de Wet bescherming persoonsgegevens (Wbp) u voorschrijft aan welke (privacybeschermende) verplichtingen u in het kader van die administratie en uitbesteding aan derden heeft te voldoen.

De Wbp die u niet alleen een verantwoordelijkheid oplegt zorg te dragen voor de juistheid en nauwkeurigheid van de gegevens in het personeelsdossier maar u ook verplicht niet meer dan slechts ter zake doende gegevens (en zeker geen bijzondere persoonsgegevens omtrent ras, seksualiteit, geloof etc) in het personeelsdossier vast te leggen en uw werknemers (bij voorkeur direct al bij het sluiten van de arbeidsovereenkomst) te informeren over het doel van die informatieverzameling en die gegevens niet langer te bewaren dan noodzakelijk.

Daarnaast dient u uw werknemers de mogelijkheid te bieden hun gegevens in te zien en “last but not least” de door u geregistreerde persoonsgegevens stevig te beveiligen.

En in het geval u de bewerking van uw personeelsgegevens aan derden heeft uitbesteed zult u in de vorm van een bewerkersovereenkomst deze vereisten aan die derde partijen op moeten leggen. U bent tenslotte verantwoordelijk voor de vastlegging daaraan als verantwoordelijke in de zin van de Wbp en mocht er iets mis gaan bij uw bewerker dan nog bent u degene die dan aan de AP verantwoording heeft af te leggen.

Tot zover niks nieuws hopelijk voor u als werkgever.

  • 25 mei 2018: de AVG

So far, so good wellicht…maar…per 25 mei 2018 zal de bestaande Wbp vervangen gaan worden door de Algemene Verordening Gegevensbescherming (AVG). Een AVG die niet alleen van toepassing zal zijn voor alle organisaties en instellingen die persoonsgegevens verwerken en/of opslaan als “core business”, maar evenzogoed zal gaan gelden voor elke werkgever in Nederland. Immers ook werkgevers zijn te bezien als verwerkers van persoonsgegevens…misschien zelfs wel als de grootse groep van verwerkers van persoonsgegevens.

Een AVG die op onderdelen in zijn algemeenheid strengere eisen stelt t.a.v. de be-/ verwerking van persoonsgegevens. Eisen die ook voor u als werkgever van toepassing zullen worden.

Op zich wellicht allemaal geen reden om u zorgen te maken…tenzij u de vereisten vanuit de Wbp tot nu toe, (deels of volledig), links hebt laten liggen …dan heeft u mogelijk tot aan het moment van de invoering van de AVG per 25 mei 2018 nog het nodige te doen.

  • Registratie- en documentatieplicht

Alle ondernemingen zijn straks verplicht om aan de toezichthouder (de Autoriteit Persoonsgegevens (AP)) te kunnen laten zien dat ze “privacy (AVG) compliant” zijn. Dat brengt een (wettelijke) plicht tot vastlegging van wat de onderneming doet en gedaan heeft en zal met documenten moeten worden aangetoond dat de juiste (beschermende) maatregelen zijn genomen.

U moet dus een overzicht van alle verwerkingen van persoonsgegevens binnen uw organisatie bij gaan houden en aan kunnen tonen dat de juiste (organisatorische en technische) maatregelen zijn genomen ter wille van de bescherming van de privacygevoelige persoonsgegevens. Daarnaast moet u o.a. vast leggen wat de doeleinden zijn van de gegevensverwerking, wat de bewaartermijnen bedragen, van welke systemen gebruik wordt gemaakt en of en zo ja wie de bewerker is.

Deze plicht tot registratie en documentatie geldt dus ook voor uw personeelsadministratie!

Er zijn trouwens nog steeds veel bedrijven die persoonsgegevens opslaan in “Excel omgeving achtige toepassingen” of vermengen met hun CRM systemen. Deze bedrijven zullen van de AVG redelijk veel last gaan ondervinden. Immers hoe aan te tonen dat je als organisatie voldoet aan de AVG eisen van security?

Dat zal u met een Excel sheet niet lukken en de AP zal hier ook absoluut geen genoegen mee nemen.

  • Bewerkersovereenkomst

In het geval u als onderneming gebruik maakt van een andere partij bij de verwerking van persoonsgegevens, zoals een salarisbewerker, een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud dan is de noodzaak van het sluiten van bijvoorbeeld een bewerkersovereenkomst met een salarisbewerker of een administratiekantoor verplicht . Een bewerkersovereenkomst is de overeenkomst tussen de verantwoordelijke (werkgever) en de bewerker (salarisverwerker, administratiekantoor etc.), en waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Dat betekent concreet dat er afspraken moeten worden gemaakt over de bescherming van privacy, geheimhouding, bewaartermijnen en datalekken. U moest e.e.a al volgens de Wbp inregelen, maar de eisen t.a.v. het sluiten en de inhoud van bewerkers- overeenkomsten gaan volgens de AVG (qua inhoud en eisen) redelijk intensiever worden.

Het is ook in uw belang dat de afspraken goed op papier worden gezet, want u bent niet alleen als verantwoordelijke in de zin van de wet aan te merken (u bent verantwoordelijk omdat u werknemersgegevens doorspeelt naar een salarisprovider of administratiekantoor) maar ook verantwoordelijk in het geval e.e.a bij uw provider/ administratiekantoor fout loopt. En u bent dus ook (als verantwoordelijke volgens de Meldplicht datalekken) degene die in dat geval aan de Autoriteit Persoonsgegevens moet melden.

  • Inzagerecht werknemers

Daarnaast worden de privacyrechten van werknemers uitgebreid. Werknemers hadden onder de Wbp al het recht om hun personeelsdossier in te zien, maar krijgen onder de AVG ook het recht om een kopie van hun personeelsdossier in een standaardformaat te ontvangen (bijv als pdf-bestand).

Daarnaast heeft/ krijgt een werknemer op het moment dat persoonsgegevens bij hem/haar worden opgevraagd het recht om de “waarom?“ vraag te stellen. Hij/ zij heeft het recht om begrijpelijke informatie te krijgen over het hoe en waarom van de verwerking, zijn/haar rechten en het privacybeleid van de onderneming. Ook mogen betrokkenen te allen tijde gratis de gegevens die op hen betrekking hebben inzien en, indien nodig, aan laten passen. De werkgever is straks, op straffe van een boete, verplicht alle gevraagde informatie te verschaffen.

  • Conclusie

Ondernemingen doen er goed aan om nu al de privacy wetgeving in acht te nemen. We leven in een tijd van toenemend privacy bewustzijn en privacy zorg. We leven inmiddels in een digitale wereld, waarin we digitaal vertellen, delen, bestellen, vragen en antwoorden en we per definitie persoonlijke gegevens achterlaten. Daarmee wordt ook de noodzaak van krachtige wetgeving op dit gebied noodzakelijk. Nog afgezien van de torenhoge boetes die straks kunnen worden opgelegd, die maximaal kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van ondernemingen. Het toezichthoudend karakter van de autoriteit Persoonsgegevens zal het komende jaar ongetwijfeld veranderen van een slapende erfbewaker tot een agressieve waakhond.