Privacyrechten voor werknemers; bent u bekend met de nieuwe regels?

Als werkgever heeft u verschillende mogelijkheden om informatie over uw personeel te verzamelen. Controle van het personeel is niet verboden, maar als werkgever moet u wel rekening houden met de geldende privacyregels. Als werkgever bent u (nu nog) gebonden aan de Wet bescherming persoonsgegevens (Wbp). In 2018 staan echter grote veranderingen op het privacyrechtelijke programma. Wat verandert er dan precies en waarom is dit belangrijk voor de arbeidsrechtpraktijk?

U kunt hierbij bijvoorbeeld denken aan het registreren van ziekmeldingen van uw werknemers. Hoewel u in uw verzuimregistratie mag verwerken dat een werknemer afwezig is wegens ziekte, mag u niet de aard en de oorzaak hiervan noteren.

Wanneer mag u wel gezondheidsgegevens verwerken? Dit mag bijvoorbeeld wanneer dit in het belang is voor de vaststelling van een loonaanspraak, of in het kader van re-integratie. Daarnaast mag u deze gegevens als werkgever in beginsel ook verwerken indien werknemers hiervoor toestemming hebben gegeven. 

De Algemene Verordening Gegevensbescherming
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum voor privacyrechten één verordening geldt in de hele Europese Unie (EU). De Wbp geldt dan niet meer. De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties. Als organisatie wordt u - al sinds de inwerkingtreding van de AVG op 25 mei 2016 – geacht uw bedrijfsvoering in overeenstemming te brengen met deze nieuwe regelgeving. Ter voorbereiding op de aanstaande veranderingen heb ik voor u een aantal wijzigingen op een rijtje gezet.

Documentatieplicht
Hoewel voorheen gegevensverwerkingen gemeld moesten worden bij de Autoriteit Persoonsgegevens, is dit vanaf 25 mei 2018 niet meer het geval. Vanaf die datum geldt een documentatieplicht. Deze plicht houdt in dat met documenten moet kunnen worden aangetoond dat door u als werkgever de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen.

Privacy impact assessment (PIA)
Het kan daarnaast verplicht zijn om een PIA uit te voeren. Dit is verplicht indien systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd of als er op grote schaal bijzondere persoonsgegevens worden verwerkt (van dit laatste is bijvoorbeeld sprake bij het verwerken van gezondheidsgegevens). Er wordt een lijst opgesteld waarin te vinden is bij welke soorten verwerkingen een verplichte PIA moet worden uitgevoerd.

Functionaris gegevensbescherming (FG)
U bent verplicht een FG in te stellen indien uw organisatie: (1) een overheidsinstantie is, (2) op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is van uw organisatie (zorgverleners) of (3) op grote schaal mensen volgt (profilering). Valt uw organisatie niet binnen één van deze categorieën, dan mag u ook een vrijwillige FG aanstellen. Let op, hiervoor gelden dezelfde regels als voor de verplichte variant. Daarnaast mag u als groep organisaties (in beginsel) een gezamenlijke FG aanstellen.

Toestemming
In de AVG is een artikel gewijd aan het toestemmingsvereiste. Hierin staan de voorwaarden voor organisaties om geldige toestemming te krijgen van werknemers om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. Daarnaast moeten werknemers hun toestemming ook weer makkelijk kunnen intrekken.

Het is belangrijk om in kaart te brengen welke verschillende gegevens uw organisatie verwerkt. Classificeer deze gegevens opdat kan worden voldaan aan de wettelijke bewaartermijnen (en het weer tijdig verwijderen van deze gegevens). Indien u denkt dat uw organisatie een PIA moet uitvoeren of een FG moet aanstellen, kunt u hiermee ook alvast aan de slag.

De komst van de AVG en de mogelijkheid van de Autoriteit Persoonsgegevens om hoge(!) boetes op te leggen, betekent ook de komst van een belangrijkere rol van de privacyrechten van werknemers. Zoals al aangestipt, staat in de AVG een nieuw artikel ten aanzien van het verlenen van toestemming. Onder de huidige wetgeving hanteert de Autoriteit Persoonsgegevens het standpunt: 'een werknemer kan nooit vrij toestemming geven vanwege zijn afhankelijke positie ten opzichte van de werkgever'. Of dit standpunt, met de komst van het nieuwe toestemmingsvereiste, zal veranderen moeten we voorlopig nog even afwachten. 

Hoewel in het huidige arbeidsrechtelijke bestel vaak de privacy terzijde werd geschoven, lijkt dit in de toekomst niet langer mogelijk te zijn. Als organisatie bent u gebonden aan de nieuwe en vergaande eisen die de AVG stelt.