Privacy in HR werkzaamheden

privacyVoor HR afdelingen is privacy een actueel thema. Persoonlijk vind ik, wanneer ik spreek over mijn eigen privacy, dat de privacywetgeving in Nederland soms wat ver gaat. Privacy schendingen kunnen echter verstrekkende gevolgen hebben voor individuen, zoals identiteitsdiefstal.

Als HR Adviseur neem ik de privacy van de medewerkers daarom serieus. Ik verspreid bijvoorbeeld niet zomaar bestanden met persoonlijke informatie van medewerkers. Indien dit echter toch vereist is, dan zorg ik ervoor dat enkel de noodzakelijke informatie in het bestand staat en dat het document is versleuteld met een wachtwoord, indien er bijvoorbeeld salarisgegevens in vermeld staan.

Aanpassing Wet Bescherming Persoonsgegevens

Met ingang van 1 januari 2016 is de Wet Bescherming Persoonsgegevens aangepast. Niet alleen is er een meldplicht ingevoerd met betrekking tot datalekken, maar ook zijn de bevoegdheden met betrekking tot het geven van boetes van het College Bescherming Persoonsgegevens (CBP) aanzienlijk uitgebreid.

Boetes

Voorheen had het CBP nauwelijks boetebevoegdheid, maar vanaf 2016 kan het CBP boetes geven die kunnen oplopen tot € 810.000,- of 10% van de jaaromzet van een bedrijf. Indien een overtreding niet opzettelijk is begaan, legt het CBP eerst een bindende aanwijzing op, die de overtreder in de gelegenheid stelt om passende maatregelen te nemen.

Meldplicht datalekken

Wanneer je iets signaleert dat leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens, moet je hiervan melding maken bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de privacywetgeving, verricht onderzoek en geeft hierover voorlichting en advies. Een datalek moet ook bij de betreffende persoon waarover data is gelekt gemeld worden, indien het lek ongunstige gevolgen voor de levenssfeer van die persoon heeft.

Verstrekken en registreren van personeelsgegevens

Natuurlijk houden we als HR Adviseurs in ons werk rekening met privacy van medewerkers. Soms lijkt het echter “normaal” om bepaalde gegevens aan personen te verstrekken/registreren, terwijl dit niet zondermeer is toegestaan. Denk hierbij bijvoorbeeld aan managementinformatie die in het bedrijf wordt verspreid waarin bijvoorbeeld de namen met Burgerservicenummers van alle medewerkers te zien zijn, het registreren van gegevens van medische aard over arbeidsongeschikte medewerkers of het verstrekken van een totaalbestand met de adresgegevens van alle medewerkers aan een verzekeraar.

In de Wet Bescherming Persoonsgegevens (WBP) staan de volgende voorwaarden voor het verstrekken van personeelsgegevens:

  • Werkgevers moeten personeelsgegevens in overeenstemming met de wet, behoorlijk en zorgvuldig verwerken. Verstrekken van gegevens is een vorm van verwerken.
  • Werkgevers moeten de personeelsgegevens hebben verzameld voor specifieke doelen, die zij precies hebben omschreven en die gerechtvaardigd zijn.
  • De verstrekking moet een rechtmatige grondslag hebben. In artikel 8 van de WBP staan alle grondslagen genoemd op basis waarvan organisaties persoonsgegevens mogen verwerken.
  • De verstrekking mag niet onverenigbaar zijn met het doel waarvoor een werkgever de personeelsgegevens heeft verzameld.

Organisaties kunnen ook een Functionaris voor Gegevensbescherming aanstellen die o.a. intern toezicht houdt op de naleving van de WBP en hierover adviseert, evenals klachten afhandelt.

Uitgebreide informatie over de privacywetgeving is te vinden op www.autoriteitpersoonsgegevens.nl.

Deze blog is geschreven door Alexandra Moors. Als je wilt reageren of vragen hebt, neem dan gerust contact op via HRevolutie@dajc.nl.