Privacy / AVG
Is mijn organisatie AVG-compliant?
De Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR (General Data Protection Regulation) heeft 6 grondslagen voor de verwerking van persoonsgegevens door organisaties:
Elke grondslag heeft zijn eigen regels. Organisaties moeten zorgvuldig en duidelijk uitleggen waarom ze persoonsgegevens gebruiken.
Onderstaand een korte toelichting voor elk van de 6 grondslagen. Eveneens bij elke grondslag een voorbeeld van het gebruik van persoonsgegevens dat in strijd is met deze grondslag + de toelichting waarom dit niet is toegestaan.
1. Toestemming. Iemand geeft nadrukkelijk toestemming om zijn of haar gegevens te gebruiken voor bepaalde doelen. Niet toegestaan: een organisatie of website verzamelt en gebruikt persoonsgegevens voor marketingdoeleinden zonder expliciete toestemming van de klant of bezoeker van de website.
2. Overeenkomst. Het gebruik van gegevens is nodig om een contract uit te voeren waar de persoon bij betrokken is. Niet toegestaan: klantgegevens van een online winkel worden verkocht aan derden, terwijl deze alleen bedoeld waren voor orderverwerking.
3. Wettelijke verplichting. De gegevens moeten gebruikt worden omdat de wet dat vereist. Niet toegestaan: een ziekenhuis deelt patiëntgegevens met onderzoeksinstituten zonder wettelijke verplichting of toestemming van de patiënt.
4. Vitale belangen beschermen. Het is nodig om iemands leven of gezondheid te beschermen. Niet toegestaan: een arts deelt gevoelige patiëntgegevens met familieleden zonder directe medische noodzaak of toestemming van de patiënt.
5. Taak van algemeen belang of uitoefening van openbaar gezag. De gegevens zijn nodig voor werk dat belangrijk is voor de samenleving of voor taken van de overheid. Niet toegestaan: een gemeente gebruikt gegevens verzameld voor belastingdoeleinden voor het promoten van lokale evenementen.
6. Gerechtvaardigd belang. De verwerking is belangrijk voor de organisatie, zolang het niet meer invloed heeft op iemands privacy dan nodig. Niet toegestaan: een organisatie monitort het internetgebruik van werknemers in hun privétijd zonder gerechtvaardigd belang. De grenzen tussen privé en zakelijk vervagen echter steeds meer. Een alternatief voor controleren is blokkeren. Door het installeren van software wordt het voor werknemers technisch onmogelijk gemaakt worden om voor het werk niet relevante sites te gebruiken (zoals Facebook).
Hoe zorgt een werkgever voor privacy op de werkvloer?
Een werkgever moet ervoor zorgen dat bij het gebruiken van persoonsgegevens de privacy van werknemers beschermd wordt. Dit betekent dat de werkgever een paar belangrijke regels moet volgen.
- Gegevens moeten zijn: relevant, adequaat en niet te vergaand voor het beoogde legitieme doel.
- Betrek de ondernemingsraad daar waar nodig.
- Verwijder persoonsgegevens zodra ze niet meer nodig zijn en bewaar ze niet langer dan noodzakelijk.
- Zorg voor goede beveiliging van persoonsgegevens met de juiste technische en organisatorische maatregelen.
Interne Privacyverklaring voor werknemers
Een werkgever moet werknemers informeren over de verwerking van hun persoonsgegevens.
Dit gebeurt via een document dat de interne privacyverklaring heet. Hierin legt de werkgever uit welke gegevens van werknemers gebruikt worden, de redenen daarvoor, en hoe lang deze gegevens bewaard worden. Ook staat erin vermeld naar welke externe partijen (zoals het salarisadministratiebureau, UWV en de arbodienst) de gegevens worden gestuurd. Werknemers hebben bepaalde rechten, zoals het recht om hun gegevens in te zien en het recht om deze te laten verwijderen. Werkgevers zijn ook verplicht om werknemers over deze rechten te informeren.
