nieuws

De AVG een jaar later: nog veel tekortkomingen en hoe zat het ook alweer?

Instroom

We zijn een jaar verder sinds de invoering van de nieuwe Europese privacyregels in de Algemene Verordening Gegevensbescherming (AVG). Nog steeds kampen veel organisaties met problemen rond de uitvoering van de richtlijn. De stand van zaken en hoe zat het ook alweer met wat wel en niet mag?

De AVG een jaar later: nog veel tekortkomingen en hoe zat het ook alweer?

Een jaar geleden waren alle organisaties er druk mee. De Autoriteit Persoonsgegevens stelde boetes in het vooruitzicht wanneer niet op tijd aan de wetgeving zou zijn voldaan. Er zijn een jaar later echter nog veel tekortkomingen (zie hieronder). De toezichthouder is op 24 mei een campagne gestart om bedrijven bewust te maken van de privacyregels.

In het jaarlijkse overzicht van HR-Trends van AFAS Software, Berenschot en Performa komt het thema ‘privacy en dataveiligheid’ nog maar nauwelijks voor in de top-10 van belangrijkste beleidsthema’s voor HR-professionals. Vorig jaar stond het op de eerste plaats. Naar verwachting is het volgend jaar op de twaalfde plek te vinden. Uit het rapport blijkt dat verder dat 83 procent zich geen zorgen maakt om de ‘privacy en dataveiligheid’ van de eigen organisatie.

Lees ook: ‘Informeer medewerkers per functie over de AVG’

30 procent van bedrijven voldoet niet aan de eisen

Tegelijk voldoen nog steeds drie op de tien mkb-bedrijven niet aan de eis dat organisaties een overeenkomst over gegevensverwerking afsluiten met samenwerkingspartners, zo blijkt uit een onderzoek van de branchevereniging DDMA voor data- en marketingbedrijven. Meer dan de helft van de bedrijven houdt zelfs niet in een register bij welke persoonsgegevens ze verwerkt. Ook aan een aantal andere eisen wordt nog lang niet door alle bedrijven voldaan.

Het is voor veel bedrijven nog steeds niet duidelijk. Of sommigen gaan toch vooral hun eigen gang. Zo zijn er volgens berichtgeving van de NOS tientallen bedrijven, met name grote industriële bedrijven maar ook in de scheepvaart en vervoersector, die zelf hun werknemers testen op drugs- en alcohol. En dat is verboden volgens de privacywet.

Werkgeversorganisaties VNO-NCW en MKB-Nederland zijn dan ook nog niet te spreken over de AVG. Uit een onderzoek van Motivaction blijkt namelijk dat de bedrijven die wel voldoen aan de eisen daar veel tijd en geld aan kwijt zijn. Zo zijn kleine organisaties gemiddeld zo’n 2000 euro kwijt om aan alle eisen te voldoen. Bij grote organisaties kan dit oplopen tot wel 20.000 euro of meer.

Wat wel bewaren?

Maar hoe zat het ook al weer met de privacy? Wat mag je wel bewaren in het personeelsdossier? Volgens de Autoriteit Persoonsgegevens (AP) zijn dat vooral:

  • Klachten
  • waarschuwingen;
  • verzuimfrequentie;
  • een kopie van het identiteitsbewijs;
  • het burgerservicenummer (BSN);
  • persoonlijke werkaantekeningen van de leidinggevende.

Lees ook: AVG: Databescherming moet levensstijl zijn voor werknemer

Hoe zit het met medische gegevens?

Medische gegevens mag een werkgever in principe niet opnemen in het personeelsdossier. Alleen de arbodienst of bedrijfsarts mag deze gegevens verwerken. Ook wanneer de medewerker bij zijn ziekmelding vrijwillig informatie verstrekt over zijn arbeidsongeschiktheid, mag de werkgever dit niet opslaan in het dossier.

Een werkgever mag alleen in het kader van de verzuimbegeleiding van zieke werknemers een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Zoals gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Dat soort gezondheidsgegevens mogen alleen worden vastgelegd nadat daarover een bedrijfsarts of arbodienst is geraadpleegd.

Wanneer werkgevers informatie over hun medewerkers doorgeven aan de arbodienst, moeten zij de werknemers daarover informeren.

Rasgegevens in het personeelsdossier

Het vastleggen van rasgegevens riekt al snel naar discriminatie. Toch is het niet áltijd verboden, meldt de AP. Een werkgever mag alleen rasgegevens in het personeelsdossier opnemen als dat nodig is om de werknemer te kunnen identificeren of om een voorkeursbeleid (positieve discriminatie) toe te passen.

Identiteit vaststellen
De AP noemt als voorbeeld een bedrijf dat veel werknemers in dienst heeft en hun identiteit wil vaststellen voordat ze het terrein betreden. In dat geval kan de werkgever toegangspasjes met foto’s aan alle werknemers verstrekken. Omdat van de foto op het toegangspasje het ras van de werknemer kan worden afgeleid, is de foto te beschouwen als een rasgegeven.

Voorkeursbeleid
Om personeelsleden uit een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen (positieve discriminatie), kan het nodig zijn gegevens over hun geboorteland of dat van hun (groot)ouders op te nemen in hun personeelsdossier.

Dit mag alleen als de werknemer daar geen bezwaar tegen heeft. Als de werknemer schriftelijk bezwaar aantekent tegen het opnemen van rasgegevens, moet de werkgever daar onmiddellijk mee stoppen. De werknemer hoeft geen reden te geven voor zijn bezwaar.

Recht op informatie

Werknemers hebben het recht te weten wat er in hun personeelsdossier staat en waarom deze gegevens zijn opgeslagen. Zij mogen hun dossier inzien en eventuele fouten corrigeren.

Het correctierecht geldt als de gegevens

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

Het recht op informatie is vastgelegd in artikelen 13 en 14 van de Algemene verordening gegevensbescherming (AVG). Organisaties moeten niet alleen informatie verstrekken over wat zij opslaan en wat zij daarmee gaan doen, ook moeten zij informatie geven over hun eigen identiteit (naam en adres), de contactgegevens van de vertegenwoordiger en de functionaris voor de gegevensbescherming (FG). Ook moeten zij betrokkenen informeren wanneer zij informatie delen met derden. Zo moeten werkgevers het hun werknemers laten weten als zij gegevens aan de arbodienst doorgeven.

Gegevens bewaren

Privacy in het personeelsdossier betekent dat gegevens ook niet onbeperkt mogen worden bewaard. In principe moeten de gegevens uit het personeelsdossier maximaal twee jaar nadat de werknemer uit dienst is gegaan worden vernietigd.

Fiscale bewaarplicht
Daarop zijn uitzonderingen. Voorbeelden hiervan zijn de loonbelastingverklaring en de kopie van het identiteitsbewijs. Deze vallen onder de fiscale bewaarplicht. Deze moeten daarom vijf jaar worden bewaard.

Arbeidsconflict
Soms is het nodig om een personeelsdossier langer te bewaren. Dat is bijvoorbeeld het geval wanneer er sprake is van een arbeidsconflict of wanneer er een rechtszaak loopt.

Wetenschappelijke doeleinden
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Digitaliseren
Werkgevers mogen de personeelsdossiers digitaliseren volgens de AVG. De originele papieren dossiers mogen alleen worden vernietigd als de werkgever zorgt voor goede beveiliging van het digitale dossier, zoals met firewalls, wanneer gegevens gekoppeld zijn met het internet.

Lees ook: AVG: werkgevers moeten miljoenen cv’s wissen

En hoe zat het ook al weer met de boetes?

De Algemene verordening gegevensbescherming (AVG) geldt sinds 25 mei 2018 en geldt als privacywetgeving voor de hele Europese Unie. In Nederland vervangt de AVG de Wet bescherming persoonsgegevens (Wbp). Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.

Reageer op dit artikel