AVG op de werkvloer; Een gewaarschuwd werkgever telt voor twee!

Privacy is ‘hot’. De invoering van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 heeft de pennen al flink in beweging gezet. Tel daar de discussie over de ‘sleepwet’ bij op en privacy staat weer volop in de schijnwerpers. Door de toenemende ‘privétisering’ van arbeidsverhoudingen, zakelijk en privé lopen steeds meer door elkaar, speelt het thema privacy ook op de werkvloer een steeds belangrijkere rol.

Wat betekent de invoering van de AVG voor de arbeidsorganisatie? Laat ik beginnen met de opmerking dat de AVG de op dit moment in Nederland geldende privacyregelgeving inhoudelijk niet wezenlijk wijzigt. Ook nu al zijn werkgevers gebonden aan de regels neergelegd in (onder andere) de vanaf 2000 geldende Wet bescherming persoonsgegevens (Wbp). Kennelijk leidt de invoering van de AVG er toe dat het thema privacy nu meer aandacht krijgt. De zwaardere sancties die na invoering van de AVG op overtreding van de privacyregels zijn gesteld, zullen daar ongetwijfeld in belangrijke mate aan bijdragen. Het is dan ook raadzaam om kennis te nemen van de ‘do’s and don’ts’ op privacy gebied. Bewustwording is het codewoord.

Deze bewustwording begint met de constatering dat zeer veel handelingen die betrekking hebben op de persoon van de werknemer kwalificeren als het ‘verwerken van persoonsgegevens’. Daarmee valt die handeling onder de reikwijdte van de AVG. Of het nu gaat om het opslaan van een telefoonnummer of een kopie ID in het personeelsdossier, het controleren van telefoon- en e-mailverkeer of het aanleggen van een re-integratiedossier, vrijwel altijd moeten daarbij de regels van de AVG in acht worden genomen. Temeer nu de AVG niet slechts ziet op de ‘verwerking in klassieke zin’ (bijvoorbeeld: het verzamelen, opslaan en/of vernietigen van persoonsgegevens), maar ook op wellicht minder voor de hand liggende ‘verwerkingen’ (bijvoorbeeld: het enkele opvragen, raadplegen en/of gebruiken van persoonsgegevens). Daar waar die verwerkingen te herleiden zijn of kunnen leiden tot de persoon van de werknemer, moeten de AVG alarmbellen afgaan!

Is de AVG van toepassing, dan gelden er specifieke verwerkingsregels. Het voert in het kader van deze column te ver om deze stuk voor stuk te behandelen, maar met het oog op de bewustwording sta ik stil bij één van de belangrijkste regels. Het is essentieel dat voor de beoogde verwerking van de persoonsgegevens een rechtsgeldige verwerkingsgrondslag aanwezig is. Deze zijn limitatief in de AVG voorgeschreven.

Geen rechtsgeldige verwerkingsgrondslag betekent geen rechtsgeldige verwerking en dus een overtreding van de AVG. Kort gezegd moet een werkgever de gegevens ‘écht nodig’ hebben voor één van de in de AVG genoemde doeleinden, om van een rechtsgeldige verwerking te kunnen spreken. Het verwerken van persoonsgegevens enkel op basis van toestemming van de werknemer is gevaarlijk. In zijn algemeenheid geldt dat een werknemer onmogelijk in volledige vrijheid zijn toestemming kan geven, vanwege zijn gezagsverhouding met de werkgever. Is een werkgever eenmaal door de poort van de verwerkingsgrondslag gegaan, dan is hij er nog niet. De persoonsgegevens van de werknemer zullen volgens de in de AVG voorgeschreven regels en beginselen moeten worden verwerkt. Daarnaast zullen ook de in de AVG aan de werknemer toegekende rechten moeten worden gerespecteerd. Het is voor een werkgever van groot belang om van die regels, beginselen en rechten kennis te nemen. Hoewel het nog onduidelijk is hoe controle en handhaving exact vorm zullen krijgen, kan een werkgever maar beter ‘compliant’ zijn om problemen (fikse boetes) te voorkomen.

Reageren? Mail: profijt@danielshuisman.nl

Tom Profijt is advocaat, gespecialiseerd in arbeidsrecht en is werkzaam bij Daniels Huisman Advocaten; een advocatenkantoor met een persoonlijke en assertieve benadering voor de ondernemer. Daniels Huisman Advocaten is gespecialiseerd op vele rechtsgebieden en werkt vanuit 3 vestigingen in Almelo, Deventer en Enschede.

Gerelateerd nieuws

Realisatie door Internetbureau Creative ICT