Overtreding en boete    Wetten voor 25 mei 2018 


Voorbeelden privacy

Datum laatste wijziging: 5 september 2019  |  Trefwoorden: Privacy, Voorbeelden, E-mail, Mailbox, Computer

Inhoud

  1. Personeelsdossier
  2. Do’s & don’ts bij cameratoezicht en ziekte
  3. Lezen privémail kost geld
  4. Slechtste wachtwoord van 2014
  5. Digitale prikklok met vingerafdruk rukt op
  6. Gezondheidsgegevens verkregen via wearables verboden
  7. Wie mag het medisch dossier inzien?
  8. Onveilige website kost omzet
  9. Privacy statement VNO-NCW
  10. Geldverslindende vernieuwing bevolkingsregister ten einde
  11. Krijgt 'nieuwe werken' zijn ultieme prikklok?
  12. Alcohol- en drugscontroles verleden tijd?
  13. Sollicitaties
  14. Forse toename datalekken
  15. Overtreding privacyregels sociaal domein ‘beperkt’
  16. Sportverenigingen krijgen het zwaar te verduren
  17. 47 miljoen Nederlandse onbeschermde databestanden
  18. Contacten met UWV wijzigen niet door de AVG
  19. Strengere privacy-regels voor rekenkamers
  20. 100 miljoen cv’s moeten op 25 mei worden verwijderd
  21. Verwerkingsregister
  22. Persoonsgegevens doorgeven aan UWV
  23. Hoe gaat De Jong & Laan om met de AVG?
  24. Privacywetgeving op de werkvloer
  25. Privacywetgeving op de bouwplaats: wat mag wel en niet?
  26. Wanneer mag een werkgever in de mailbox van een medewerker kijken?
  27. Checklist basiscontract arbodienstverlener aangepast aan AVG
  28. Brochure AWVN 'Privacy versus transparantie' aangepast
  29. KvK stopt verkoop telefoongegevens ZZP’ers
  30. Privacyregels voor gebruik van foto’s werknemers
  31. Personeelsdossier: bewaarbeleid AVG al op orde?
  32. Vingerafdruk valt onder privacy

Personeelsdossier

Werkgevers verwerken in het kader van de arbeidsrelatie veel persoonsgegevens van hun werknemers. Deze zijn veelal opgeslagen in een personeelsdossier. Werkgevers hebben hierbij te maken met verschillende verplichtingen die voortvloeien uit diverse wet- en regelgevingen. Zo staat in het Burgerlijk Wetboek dat een werkgever zich als “goed werkgever” moet gedragen wat onder meer inhoudt dat hij de privacy van zijn werknemers dient te respecteren. Door de diversiteit aan wet- en regelgeving weten veel werkgevers niet goed wat nu wel en wat niet mag bij het verwerken van personeelsgegevens.

Do’s & don’ts bij cameratoezicht en ziekte

Het CBP heeft een overzicht gepubliceerd voor werkgevers van de do’s en don’ts bij cameratoezicht, ziekte, screening en controle via social media. Voor werknemers heeft het CBP in 2014 een overzicht gemaakt van de privacyrechten inzake het plaatsen van camera's.

Lees een tweetal vonnissen van de kantonrechter in 2016.
Lees ook: Mag de baas over uw rug meekijken?

Lezen privémail kost geld

Als een werkgever een werknemer wil ontslaan omdat hij in zijn privémail heeft gelezen dat hij vertrouwelijke informatie doorspeelt aan een concurrerende organisatie, riskeert de werkgever een boete aldus jurisprudentie d.d. 12 mei 2014.

Slechtste wachtwoord van 2014

Computergebruikers worden vaak gewaarschuwd voor het risico van makkelijke wachtwoorden. Toch gebruiken elk jaar weer een schrikbarend hoog aantal mensen een slecht wachtwoord. Natuurlijk omdat het zo makkelijk is. Dus ook in 2014 stond ‘123456’ weer bovenaan de top tien van slechtste wachtwoorden.

Digitale prikklok met vingerafdruk rukt op

De vingerscan, oftewel een biometrische prikklok om werknemers te registreren en te controleren, is bezig aan een snelle opmars in het Nederlandse bedrijfsleven. Juristen zijn bezorgd over deze ontwikkeling en betitelen de invoering van de scan als 'een te zwaar middel voor een simpele controle'. Vakbeweging FNV zegt 'niet blij te zijn' met de digitale controle van werknemers en kondigt onderzoek aan.

Uitzendbureau Tempo-Team, onderdeel van Randstad, zegt nu al wekelijks 20.000 'verificatiemomenten bij verschillende bedrijven' uit te voeren. Onder andere bij Grolsch, Etos, Aldipress en drogisterijketen DA zijn kastjes geplaatst waar de uitzendkracht van Tempo-Team zijn vinger op de scan moet leggen alvorens aan het werk te gaan. Aan het eind van de werkdag dient de handeling te worden herhaald.

NB: De Zaak zette voor- en nadelen van de vingerscan op een rijtje.

Gezondheidsgegevens verkregen via wearables verboden

Bedrijven hebben na onderzoek van de Autoriteit Persoonsgegevens (AP) het verwerken van gezondheidsgegevens van werknemers via wearables gestaakt. De bedrijven hadden aan de werknemers een armband gegeven waarmee de werkgever inzicht kreeg in de hoeveelheid beweging van de werknemers. Een andere werkgever had ook inzicht in het slaappatroon. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp).

Dankzij AP is de betreffende organisatie hiermee gestopt, omdat het in strijd is met de Wet bescherming persoonsgegevens (Wbp). Een armband cadeau geven mag wel, de gezondheidsgegevens inzien niet. Zelfs niet als de medewerker daar toestemming voor heeft gegeven. Volgens de AP is er in een arbeidsrelatie geen sprake van vrije toestemming, omdat de medewerker financieel afhankelijk is van het bedrijf.

NB: Circa 80 procent van alle wearables wordt om de pols gedragen, dat geldt voor de horloges, armbanden en polsbandjes. Een veel kleiner gedeelte wordt gedragen op het lichaam, in de oren of voor de ogen (Google Glass). Meer informatie: Gezonder personeel door wearables, Randstad, 6 jul. 2017)

Wie mag het medisch dossier inzien?

  • Uiteraard de behandelend arts die een medisch dossier bijhoudt.
  • In de Wet op de geneeskundige behandelingsovereenkomst is vastgelegd dat een persoon zijn eigen dossier mag inzien als hij daarom vraagt. Een kopie maken mag ook.
  • Nabestaanden hebben slechts recht op inzage van medische gegevens als dit in de geest van de overledene is. De inschatting hiervan ligt bij de huisarts.
  • De huisarts kan wettelijk verplicht zijn om de medische geheimhouding te verbreken en mededeling te doen aan de GGD, bijvoorbeeld als het gaat om een besmettelijke ziekte.
  • Alleen in het uiterste geval mag een zorgverzekeraar het medisch dossier inzien, bijvoorbeeld omdat de arts er van wordt beschuldigd te frauderen met declaraties.
(Bron: Z24, 15 sep. 2016)

NB: Volgens de wet op de geneeskundige behandelingsovereenkomst (WGBO) bedraagt de wettelijke bewaartermijn van het medisch dossier 15 jaar ‘of zoveel langer als uit de zorg van een goed hulpverlener voortvloeit’.

Onveilige website kost omzet

Zo’n 86 procent van de Nederlandse bedrijfswebsites die privacygevoelige gegevens verwerken, heeft de beveiliging daarvan onvoldoende op orde. Naast veiligheidsrisico’s voor sitebezoekers, dreigen ondernemers hierdoor steeds meer omzet* mis te lopen.

En dat niet alleen. De Wet Bescherming Persoonsgegevens schrijft voor dat websites die wachtwoorden, persoonsgegevens of betaalinformatie verwerken, goed beveiligd worden. De Autoriteit Persoonsgegevens adviseert hiervoor up-to-date versleuteling toe te passen, zoals de meest actuele SSL-varianten. In het uiterste geval kunnen zij een boete tot 4500 euro uitdelen.

Dat blijkt uit gecombineerd onderzoek van MKB Servicedesk en SIDN na analyse van de bijna 780.000 zakelijke .nl-websites (exclusief webshops). Van de bijna 429.000 bedrijfswebsites die gevoelige data verwerken, deden iets meer dan 367.000 (85,6 procent) sites dat zonder enige vorm van SSL-encryptie. (Ter vergelijking: van de overheidswebsites is inmiddels 44 procent hiermee beveiligd.)

Websites met SSL-encryptie zijn te herkennen aan https:// en het ‘slotje’ in de adresbalk van de browser. Bij de meest uitgebreide variant (EV SSL) toont de browser de bedrijfsnaam binnen een groen vlak in de adresbalk. Gebruikers weten dan zeker welk bedrijf eigenaar is van de website. (Bron: Brisk, 26 jan. 2017)

* De iets meer dan 80.000 Nederlandse webshops gebruiken allemaal SSL-certificaten bij hun betaalfaciliteit. Maar van hen gebruikt slechts 3,3 procent de uitgebreide variant met de bekende groene balk. We zien bij consumenten dat men gewend is geraakt aan het concept ‘de groene balk is veilig’ en dat men een voorkeur heeft voor webshops die deze variant gebruiken."
En, al langer ‘straft’ zoekmachine Google alle websites zonder SSL-protocol door deze lager te rangschikken in zoekresultaten. Sinds 1 januari 2017 geven browsers zoals Chrome en Firefox een expliciete waarschuwing voor een ‘onveilige verbinding’. Vrijwel alle sitebezoekers klikken dan weg.

Privacy statement VNO-NCW

Onderstaand treft u de privacyverklaring van VNO-NCW aan, voor het laatst aangepast op 27-06-2017:

VNO-NCW acht een goede omgang met persoonsgegevens van groot belang. Persoonlijke gegevens worden door ons dan ook zorgvuldig verwerkt en beveiligd.
Bij onze verwerking houden wij ons aan de eisen die de Wet bescherming persoonsgegevens (Wbp) stelt. Dat betekent onder andere dat wij:
  • duidelijk vermelden met welke doeleinden wij persoonsgegevens verwerken. Dat doen wij via deze privacyverklaring;
  • onze verzameling van persoonsgegevens beperken tot alleen de persoonsgegevens die nodig zijn voor die doeleinden;
  • u eerst vragen om toestemming om uw persoonsgegevens te verwerken in gevallen waarin uw toestemming is vereist;
  • passende beveiligingsmaatregelen nemen om uw persoonsgegevens te beschermen en dat ook eisen van partijen die in onze opdracht persoonsgegevens verwerken;
  • uw recht respecteren om uw persoonsgegevens op uw aanvraag ter inzage te bieden, te corrigeren of te verwijderen.
VNO-NCW is de verantwoordelijke voor de gegevensverwerking. In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel.

Geldverslindende vernieuwing bevolkingsregister ten einde

De vernieuwing van het voormalige bevolkingsregister, de Basisregistratie voor Personen (BRP), wordt stopgezet. Het project wordt veel te duur en loopt zo'n grote vertraging op dat minister Plasterk geen andere oplossing ziet dan een einde te maken aan het plan.

Het plan was om een systeem te maken waar alle overheidsinstanties 24/7 de meest recente persoonsgegevens, zoals naam en verblijfplaats direct en online kunnen opvragen. Het gaat dan om het Rijk, de gemeenten, de Belastingdienst, het UWV en DUO voor de studentengegevens. Nu sturen gemeenten maar één keer per dag nieuwe registratiegegevens door aan het bevolkingsregister. Het project kampt met grote ICT-problemen. (Bron: NOS, 5 jul. 2017)

Krijgt 'nieuwe werken' zijn ultieme prikklok?

In 1888 vond de Amerikaan Alexander Dey de prikklok uit. Aan het begin van de dag moesten de werknemers 'inklokken' en aan het eind van de dag weer 'uitklokken'. De eerste prikklok werd Dey Time Register genoemd. Werkgevers konden onmiddellijk zien als mensen te laat waren, of te vroeg vertrokken. Werknemers wisten waar ze aan toe waren en hielden zich stipt aan de werkuren. Om vijf uur stroomden de fabrieken en kantoren leeg.

De prikklok is vaak gezien als een moderne vorm van slavernij. Er waren werkgevers die personeel zelfs lieten in- en uitklokken voor lunch of toiletbezoek. Big Brother was watching you. Met de industriële teloorgang in de jaren zeventig en tachtig verdween de prikklok. In de dienstensector werd vertrouwd op de discipline van het personeel. Wie een keer te laat kwam vanwege een kater, of te vroeg wegging voor een tandartsafspraak, werd niet meteen op de vingers getikt.

De prikklok is allang terug, zij het in digitale gedaanten. Via toegangspasjes die veel bedrijven uit veiligheidsoverwegingen hanteren of via het aan- en afmelden op pc of laptop, kan precies worden bijgehouden hoe lang werknemers op hun werk zijn. Via mobiele telefoons kan eenvoudig worden gecontroleerd waar personeel in de buitendienst uithangt. Wat toen Dey Time Register heette, wordt nu OccupEye genoemd. (Bron: 22 aug. 2017) 

Alcohol- en drugscontroles verleden tijd?

De Autoriteit Persoonsgegevens (AP) houdt toezicht op naleving van de privacywet. Het uitvoeren van een ADM-controle (alcohol, drugs, medicijnen) wordt beschouwd als het verwerken van bijzondere persoonsgegevens over gezondheid. De vraag is of het voorkomen van veiligheidsincidenten een uitzondering rechtvaardigt. De AP vindt van niet.

Eind 2017 ontving AP signalen van werknemers van Uniper Benelux (voorheen E.ON Benelux). Het ging erom dat al het personeel een beleid moest ondertekenen waarmee het instemt met ad random alcohol(blaas)testen en drugscontroles door middel van wangslijmtesten, drugshonden en controles van auto’s en werkplekken. De AP heeft nader onderzoek gedaan en komt in haar rapport tot de conclusie dat het beleid van Uniper in strijd is met de Wet Bescherming Persoonsgegevens (Wbp).

Inmiddels is bekend dat Uniper heeft besloten zijn beleid in te trekken, onder druk van de mogelijke boetes die de AP kan opleggen. Betekent dit nu dat alcohol- en drugscontroles verleden tijd zijn? Niet helemaal. Voor beroepen waar in de wet de mogelijkheid tot controles is opgenomen, zoals de luchtvaart, verandert er niets. (Bron: Schravenmade Advocaten, 2017)

Duidelijke regels over het afnemen van alcohol- en drugstesten bij medewerkers en het gebruik van de testresultaten ontbreken op dit moment. De Autoriteit Persoonsgegevens heeft het standpunt ingenomen dat de AVG in de weg staat voor alcohol- en drugstesten op de werkvloer. Aan de andere kant zijn er ook redenaties denkbaar waardoor het afnemen van testen in bijzondere situaties toch is toegestaan. Het is afwachten of de wetgever meer duidelijkheid gaat scheppen omtrent de afname van alcohol- en/of drugstesten op de werkvloer en de verwerking van de testresultaten.

Sollicitaties

Tijdens sollicitaties verzamelen werkgevers veel persoonsgegevens van sollicitanten. In de eerste plaats via hun sollicitatiebrieven en cv’s. Tijdens een sollicitatiegesprek kunnen aanwezige personen aantekeningen maken van de antwoorden die een sollicitant geeft, het verloop van het gesprek en de indruk die zij van diegene krijgen. Tot slot kunnen een screening, assessment, psychologisch onderzoek of medische keuring (aanstellingskeuring) deel uitmaken van de sollicitatieprocedure.

Vrijstellingsbesluit

De vrijstelling (artikel 5 Vrijstellingsbesluit) heeft betrekking op verwerkingen van een verantwoordelijke over sollicitanten die bij de verantwoordelijke hebben gesolliciteerd om werkzaam te zijn in dienst van of voor (bijvoorbeeld als stagiaire of op andere wijze als tijdelijke arbeidskracht) de verantwoordelijke. Deze verantwoordelijken hoeven de verwerking van persoonsgegevens van de sollicitanten niet te melden als aan de volgende voorwaarden is voldaan:

1. Toegestane doeleinden van de verwerking
De verwerking mag alleen geschieden voor:
  • de beoordeling of de sollicitant geschikt is voor een functie die vacant is of kan komen;
  • de afhandeling van de door de sollicitant gemaakte onkosten;
  • de interne controle en de bedrijfsbeveiliging;
  • de uitvoering of toepassing van een andere wet.
2. Toegestane (categorieën) verwerkte gegevens
Alleen de volgende persoonsgegevens mogen worden verwerkt:
  • naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres), alsmede het bankrekeningnummer van de sollicitant;
  • een administratienummer, als dat geen andere informatie bevat dan de bij het vorige punt bedoelde gegevens;
  • nationaliteit en geboorteplaats van de sollicitant;
  • de bij het eerste punt bedoelde gegevens van de ouders, voogden of verzorgers van minderjarige sollicitanten;
  • gegevens die betrekking hebben op gevolgde en te volgen opleidingen, cursussen en stages;
  • gegevens die betrekking hebben op de functie waarnaar gesolliciteerd is;
  • gegevens die betrekking hebben op de aard en inhoud van de huidige dienstbetrekking en op de beëindiging daarvan;
  • gegevens die betrekking hebben op de aard en inhoud van de vorige dienstbetrekkingen en op de beëindiging daarvan;
  • andere gegevens met het oog op het vervullen van de functie (bijvoorbeeld gegevens in het kader van een te voeren voorkeursbeleid voor minderheden of re-integratiebeleid). Voorwaarde hierbij is dat die gegevens door de sollicitant zelf zijn verstrekt of hem bekend zijn.
  • andere dan de bij de vorige punten bedoelde gegevens als die verwerkt moeten worden op grond van een andere wet.
3. Toegestane (categorieën) ontvangers van de gegevens
De persoonsgegevens mogen alleen worden verstrekt aan:
1. Degenen, inclusief derden, die aan een van de volgende voorwaarden voldoen:
  •  die belast zijn met de hierboven onder 1. opgesomde werkzaamheden;
  • die leiding geven aan de hierboven onder 1. opgesomde werkzaamheden;
  • die noodzakelijk zijn betrokken bij de hierboven onder 1. opgesomde werkzaamheden.
2. Anderen, indien aan een van de volgende voorwaarden is voldaan:
  • De sollicitant heeft zijn ondubbelzinnige toestemming heeft verleend voor de verwerking.
  • De gegevensverwerking is noodzakelijk voor de nakoming van een wettelijke plicht door de verantwoordelijke.
  • De gegevensverwerking is noodzakelijk vanwege een vitaal belang van de sollicitant (bijvoorbeeld een dringende medische noodzaak).
  • De gegevens worden verder verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de verantwoordelijke ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt.
4. Bijzondere beperking te verstrekken gegevens
Als de sollicitant een medische of psychologische keuring of een assessment moet ondergaan, mogen aan de keurende arts, psycholoog of aan degene die het assessment uitvoert, alleen de persoonsgegevens worden verstrekt die noodzakelijk zijn voor de keuring of het assessment.

5. Toegestane bewaartermijn
De persoonsgegevens moeten worden verwijderd als de sollicitant daarom verzoekt en in ieder geval uiterlijk 4 weken nadat de sollicitatieprocedure is beëindigd. Langer bewaren van de gegevens is alleen toegestaan tot uiterlijk 1 jaar na beëindiging van de sollicitatieprocedure met toestemming van de sollicitant.

Vragen en antwoorden

De Autoriteit heeft een groot aantal vragen en antwoorden opgesteld. Werkt u bij een middelgrote of grote onderneming dan moet u zich vanaf 25 mei 2018 strikt aan nieuwe regels houden, want u riskeert een onmiddellijke boete van duizenden euro's.

Weet u het antwoord op de volgende vragen:
  • Mag ik als werkgever van sollicitanten eisen dat zij videosolliciteren?
  • Mag een werkgever tijdens een sollicitatiegesprek vragen of ik een ziekte of beperking heb?
  • Moet ik tijdens een sollicitatiegesprek iets vertellen over mijn gezondheid?
  • Mag een werkgever mijn burgerservicenummer (BSN) vragen als ik solliciteer?
  • Mag een werkgever een kopie van mijn identiteitsbewijs vragen als ik solliciteer?
Deze en andere vragen plus de antwoorden kunt u vinden op de site van de Autoriteit.

Forse toename datalekken

De meldplicht datalekken blijft onder de Algemene verordening gegevensbescherming (AVG) vrijwel hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken.

In 2017 zijn 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is in 2017 met ruim 70% toegenomen ten opzichte van het jaar ervoor, van 5849 naar 10.009. (Bron: SalarisNet, 29 mrt. 2018)

Red.: De forse toename kan ook het gevolg zijn van de verplichting datalekken voortaan te melden.

Overtreding privacyregels sociaal domein ‘beperkt’

Minister van Volksgezondheid, Welzijn en Sport De Jonge (CDA) ziet er geen heil in om aanvullende regels op te stellen voor gemeenten op gebied van privacy-waarborging binnen het sociaal domein*.

De Jonge laat weten dat, wat hem betreft, er geen behoefte is aan specifiek op gemeenten gerichte privacyregels. Hij wil dat gemeenten hierin beleidsvrijheid behouden en vindt dat dit met ondersteuning door het rijk en de VNG moet worden overgelaten aan de ‘lerende praktijk’. Ook wijst De Jonge erop dat het niet aan hem is om op dit punt te handhaven maar aan de Autoriteit persoonsgegevens. (Bron:

* Gemeenten hebben er sinds 1 januari 2015 nieuwe taken bij gekregen op het gebied van jeugdzorg, maatschappelijke ondersteuning, arbeidsparticipatie en zorg voor chronisch zieken en gehandicapten. Dit wordt ook wel de decentralisatie van taken in het sociaal domein genoemd. Decentralisatie houdt in dat taken van het Rijk en de provincies naar de gemeenten gaan. (Bron: Binnenlands Bestuur, 31 mrt. 2018

Sportverenigingen krijgen het zwaar te verduren

Voor (sport)verenigingen is het een extra regellast die op het bordje komt van de veelal vrijwillige bestuursleden die in hun vrije uren de club runnen. Ze worden geacht heel zorgvuldig om te gaan met alle adres- en persoonsgegevens van leden, van naam en adres tot eventuele ziektes of aandoeningen.

Maar ook:
  • Voor het publiceren van foto's van teams of foto's van evenementen moeten alle ouders toestemming geven.*
  • Als leden 10 procent korting bij een bepaalde sportwinkel krijgen, mag die winkel niet zomaar een ledenlijst krijgen.
  • Verenigingen moeten kunnen aantonen dat ze hun persoonsgegevens veilig beheren: daarvoor moeten verwerkingsovereenkomsten worden opgesteld met bijvoorbeeld de beheerder van de website of online ledenadministratie.
  • Gegevens van leden die vertrokken zijn, moeten worden verwijderd. 
  • Bestuursleden zijn straks hoofdelijk aansprakelijk als de club de zaken niet op orde heeft.
(Bron: AD, 3 apr. 2018)

*  Red.: Als op een groepsfoto 20 kinderen staan, en 19 paar ouders hebben toestemming gegeven, knip je het ene kind zonder toestemming er gewoon af. Eenvoudig toch? 

47 miljoen Nederlandse onbeschermde databestanden

Eén maand voor de AVG ingaat, blijken nog miljoenen bestanden onbeschermd online rond te zwerven. Digital Shadows, expert op het gebied van digital risk management, vond wereldwijd meer dan twaalf petabytes (12.000 terabyte) aan gevoelige data online.

De data bestaat voornamelijk uit belastingaangiften, loonstroken, intellectueel eigendom, NAW-, creditcard- en medische gegevens. Daarnaast zijn ook bedrijfsgeheimen gevonden. (Bron: Manager On Line, 10 apr. 2018)

Contacten met UWV wijzigen niet door de AVG

Voor u als werkgever verandert er niets in de manier waarop u contact heeft met UWV:
  • U kunt persoonsgegevens aan ons blijven doorgeven zoals u dat gewend bent. U mag bijvoorbeeld een BSN van een (ex-)medewerker telefonisch aan ons blijven doorgeven. Ook andere gegevens kunt u telefonisch aan ons blijven doorgeven.
  • U heeft geen verwerkersovereenkomst met UWV nodig. Omdat u namelijk al wettelijk verplicht bent om persoonsgegevens van uw (ex-)werknemers (zoals het BSN) aan ons door te geven, is een verwerkersovereenkomst met UWV niet nodig.
  • U bepaalt nog steeds zelf wie binnen uw organisatie de bevoegdheid krijgt om persoonsgegevens aan ons door te geven.
(Bron: UWV, 3 apr. 2018)

Strengere privacy-regels voor rekenkamers

Ook lokale rekenkamers ontkomen er niet aan: zij moeten voor 25 mei een functionaris gegevensbescherming (FG) hebben. Rekenkamers die in gebreke blijven, riskeren een boete van de Autoriteit Persoonsgegevens. Ook als onderzoek wordt uitbesteedt, blijft de rekenkamer verantwoordelijk.

De rekenkamers hebben de keuze uit drie varianten:
  1. ze stellen de FG van de gemeente (provincies of waterschap) aan voor de rekenkamer,
  2. ze stellen intern iemand als FG aan of huren er een externe voor in,
  3. ze doen dat samen met andere rekenkamers.
De NVRR, de koepelorganisatie van rekenkamers en rekenkamercommissies, waarschuwt er voor dat de onafhankelijkheid van de FG van de gemeente mogelijk niet is te waarborgen. Zo zou in de toekomst een belangenconflict kunnen ontstaan, bijvoorbeeld als een rekenkamer onderzoek uitvoert naar de naleving van de AVG binnen de gemeente en daarbij tevens het functioneren van de FG beoordeelt. Met een eigen FG kan dat probleem worden ondervangen. ‘Voor de meeste rekenkamer(commissie)s zal het vanwege de tijdsdruk verstandig zijn om gebruik te maken van de FG van de gemeente’, aldus de NVRR. (Bron: Binnenlands Bestuur, 24 apr. 2018)

100 miljoen cv’s moeten op 25 mei worden verwijderd 

Voor de werkgevers en intermediairs die sollicitanten niet akkoord hebben laten gaan - al dan niet met terugwerkende kracht - met een ‘recruitment proof AVG’ statement, betekent het dat alle cv’s ouder dan 4 weken uit het systeem verwijderd moeten worden.

Om te voorkomen dat alle cv’s die ouder dan een maand zijn (een maand wordt nu aangehouden o.b.v. de richtlijnen van de NVP die de Autoriteit Persoonsgegevens overneemt) verwijderd moeten worden, is het noodzaak dat sollicitanten akkoord zijn gegaan met het privacy statement dat verwijzingen maakt naar bewaar- en bezwaartermijn van sollicitanten. In dit privacy statement dienen expliciet de rechten van de sollicitant, de verwerking van zijn of haar cv, de bewaartermijn en de doeleinden van deze verwerking te worden vastgelegd. (Bron: Alles over HR, 25 apr. 2018)

Verwerkingsregister

Met de inwerkingtreding van de AVG op 25 mei 2018 is het voor organisaties verplicht om “een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden” bij te houden.

Tot 25 mei 2018 moest een organisatie de verwerking melden bij de Autoriteit Persoonsgegevens. Vanaf 25 mei 2018 hoeven organisaties de gegevensverwerkingen niet meer te melden bij de Autoriteit*, maar hebben zij conform artikel 30 AVG een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen (accountability).

* De meldingsplicht voor het verwerken van gegevens is niet hetzelfde als de meldplicht datalekken. Deze meldplicht vervalt niet.

Wat moet er in het register staan?
  • Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en Data Protection Officer1;
  • De verwerkingsdoeleinden;
  • Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • Eventuele doorgifte aan derde landen of internationale organisaties;
  • Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
1 Lees meer over Data Protection Officer.

En dan is er nog een apart verwerkingsregister waarin de categorieën van verwerkingsactiviteiten worden bijgehouden. De inhoud, die sterk lijkt op bovengenoemde documentatieplicht, heeft de volgende inhoud:
  • Naam en contactgegevens van de verwerker(s) en verantwoordelijke en de eventuele Data Protection Officer;
  • De categorieën van verwerkingen die zijn uitgevoerd;
  • Doorgifte van persoonsgegevens aan derde landen of internationale organisaties;
  • Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.

Persoonsgegevens doorgeven aan UWV

Werkgevers kunnen persoonsgegevens aan het UWV blijven doorgeven zoals zij dat gewend zijn. Voorbeeld: het BSN van een (ex-)medewerker kan men telefonisch aan de uitvoeringsinstantie blijven doorgeven. Datzelfde geldt voor andere gegevens.

Aangezien de werkgever wettelijk verplicht is om persoonsgegevens van de (ex-)werknemers, zoals het Burgerservicenummer (BSN) , aan UWV door te geven, is een verwerkersovereenkomst met UWV niet nodig. De werkgever bepaalt zelf wie binnen de organisatie de bevoegdheid krijgt om persoonsgegevens aan UWV door te geven. (Bron en meer: CMWeb, 11 mei 2018)

Hoe gaat De Jong & Laan om met de AVG?

Een voorbeeld hoe een organisatie van accountants en belastingadviseurs de AVG (Algemene verordening gegevensbescherming) toepast. In het kort:
  • We brengen in kaart welke samenwerkingen wij hebben met onze (software)leveranciers, welke verschillende posities wij hebben ten aanzien van hen en de overeenkomsten over het verwerken, uitwisselen en opslaan van persoonsgegevens die we volgens de AVG met hen moeten hebben.
  • We maken een verwerkersovereenkomst die we vanuit de Jong & Laan uniform hanteren voor onze klanten.
  • We brengen de verschillende ‘verwerkingsactiviteiten’ in kaart, zowel voor de interne organisatie als de externe dienstverlening. Uiteindelijk kunnen we hiermee het vereiste verwerkingsregister opstellen en bijhouden.
  • We beoordelen de bewaartermijnen van persoonsgegevens.
  • We beoordelen de communicatiemiddelen en passen waar nodig de veiligheid hiervan aan (we gaan bijvoorbeeld meer gegevens uploaden in plaats van versturen via mail).
  • We passen onze algemene voorwaarden en privacyverklaring waar nodig aan.
  • We stellen een privacy-beleid op.
(Bron: De Jong & Laan, mei 2018) 

Privacywetgeving op de werkvloer

Een schier eindeloze lijst van wat wel en wat niet mag als we het over werknemers hebben. Een aantal voorbeelden waar u misschien niet direct aan denkt:

  • Bij wet kan de werkgever verplicht zijn informatie over een werknemer te verstrekken: politie, fiscus, instanties die belast zijn met het saneren van schulden van mensen, instanties belast met een loonbeslag1, UWV, Inspectie SZW.
  • Wat mag/moet een HR-functionaris wel en wat niet vertellen aan: directie, chefs, ondernemingsraad, bedrijfsmaatschappelijk werk(st)er, preventiemedewerker, klachtencommissie, privacy officer c.q. functionaris gegevensbescherming?
  • 25- en/of 40 jarig jubileum, werknemer gaat met pensioen, neemt ontslag, speech vaak een taak van HR, hogere functionarissen taak directie. Bespreek kort wat je wilt zeggen, wat wil hij/zij graag horen en wat zeker niet (bijv. dat hij/zij een tijd arbeidsongeschikt was). Wil de betrokkene ook zelf nog wat zeggen?
  • De werknemer heeft recht op inzage in zijn personeelsdossier. Dit geldt voor het gehele dossier en bovendien heeft de werknemer het recht om zaken eventueel te corrigeren. De werkgever (i.c. personeelsfunctionaris) moet desgevraagd inzichtelijk kunnen maken aan welke derden gegevens zijn verstrekt. Een notitie over dit laatste moet dus in het personeelsdossier worden bewaard.
  • Het verstrekken van persoonsgegevens van werknemers aan een derde, om die derde bijvoorbeeld een aanbieding aan de werknemers te laten doen, is niet toegestaan. Ook niet indien de werkgever de beste bedoelingen heeft, door bijvoorbeeld een aantrekkelijke ziekenkostenverzekering of een aanbieding voor een vakblad onder de aandacht te brengen.
  • Werkgevers hebben diverse mogelijkheden om automatisch allerlei informatie over hun personeel te verzamelen. Bijvoorbeeld via cameratoezicht, telefooncentrales, toegangspoorten2 en computersystemen. Zij kunnen deze informatie voor verschillende doelen gebruiken, waaronder het controleren van hun werknemers. Controle van werknemers is niet verboden, maar er moet een goede reden voor zijn. Dat de werkgever controles uitvoert moet algemeen bekend zijn. De werkgever mag alleen onder bepaalde voorwaarden gebruik maken van heimelijke controle. 
  • Tenslotte, het is zinvol dat de HR-functionaris binnen de eigen afdeling, met collega's maar ook met de directie - vooral in het begin - continue het onderwerp privacy op de agenda plaatst. Wat was de doelstelling (ook in de tijd), was er voor- en/of tegenspoed, wat hebben we gerealiseerd, zijn er nieuwe of aangepaste doelen, hoe gaan we die te lijf en wanneer. Is er een datum vastgelegd hierover te rapporteren? Het is, zeker in het begin, verstandig het onderwerp privacy als vast punt op de OR-overlegvergadering3 te plaatsen.
  • De privacyregels gaan niet alleen over documenten, denk ook aan foto's, berichten, meningen en manifestaties. Er wordt een groepfoto gemaakt, wil iedereen daar wel opstaan (speelt ook bij sportverenigingen)? Een vraag aan de werknemer van derden waarom sollicitant X niet is aangenomen, beantwoorden 'dat weet ik niet' is goed en 'daar praat ik liever niet over' kan anders vallen. Afluisteren van een telefoongesprekken zonder dwingende reden, het zal de functionaris/organisatie een boete kosten. En ook het uitnodigen van Sinterklaas met enkele zwarte pieten zal onder het privacy-vuur liggen, omdat daar niet iedereen van gediend is.
Tot slot: Er komt op de werkgever, werknemers en burgers inzake het overtreden van privacyregels veel op hen af. Te veel? De redactie HR-kiosk denkt van ja. Kan de rechtspraak dat aan?  Kan de Autoriteit Persoonsgegevens dat aan momenteel gevangen in een bestuurscrisis? Kunnen advocaten en overige adviseurs dat aan, ja.

1 In geval van een door de deurwaarder opgelegd loonbeslag doet de werkgever er verstandig aan om een afschrift van het veroordelende vonnis op te vragen. Zodoende kan geverifieerd worden of er inderdaad sprake is van een veroordelend vonnis jegens een werknemer. Zo ja, dan mogen gegevens verstrekt worden. De afhandeling van het loonbeslag is in handen van een HR-functionaris c.q. de salarisadministrateur. Het is zinvol ook de chef van de werknemer - onder geheimhouding - weet heeft van een loonbeslag.

2 Werkgevers mogen geen vingerafdrukscans van werknemers gebruiken voor tijdsregistratie.

3 De ondernemingsraad heeft instemmingsrecht bij de invoering van ict-systemen die persoonsgegevens verwerken.

Privacywetgeving op de bouwplaats: wat mag wel en niet?

De nieuwe GDPR-wetgeving, gericht op de bescherming van persoonsgegevens, speelt ook op bouwlocaties een belangrijke rol. Op een bouwlocatie werken vaak meerdere partijen. De hoofdaannemer dient goed na te denken over de fysieke én digitale inrichting van de bouwplaats. Welke maatregelen zijn wel en niet toegestaan om een bouwplaats te beveiligen, hoe is privacy van alle bouwplaats medewerkers (dus ook die van onderaannemers) geborgd en met welke (privacy echtelijke) vraagstukken heeft de aannemer/werkgever te maken?

Kort weergegeven:
  1. De hoofdaannemer is verantwoordelijk voor het identificeren van alle mensen die op de bouwplaats werkzaam zijn; van eigen medewerkers en de onderaannemers tot uitzendkrachten en ZZP’ers. Dit betekent in de praktijk dat bouwplaatsen zijn afgeschermd en dat iedereen die de bouwplaats betreedt geregistreerd dient te worden.
  2. Bouwplaatsen kunnen beveiligd zijn met cameratoezicht. Hoe is geborgd dat camera’s alleen de bouwplaats filmen en niet de openbare ruimte, of nabijgelegen woningen of kantoren?
  3. De hoofdaannemer is ook verantwoordelijk voor het faciliteren van de digitale infrastructuur. Vaak maken de verschillende bouwbedrijven op de bouwplaats dan gebruik van hetzelfde netwerk, zowel voor werkdoeleinden als voor privécommunicatie.
  4. Op de bouwplaats werken mensen met grote en gevaarlijke machines. Periodieke alcohol- en drugstesten kunnen dan nodig zijn om ieders veiligheid te waarborgen.
(Bron: BDO, 29 jul. 2018)

Wanneer mag een werkgever in de mailbox van een medewerker kijken?

Werkgevers hebben om verschillende redenen (af en toe) de behoefte om toegang te hebben tot de mailbox van medewerkers. Soms is er een zakelijk belang, omdat mails tijdens afwezigheid beantwoord moeten worden, maar het is ook goed denkbaar dat het ‘gluren’ gebeurt om het functioneren van individuele medewerkers te controleren. Wanneer mag een werkgever zich toegang verschaffen tot de mailbox van een medewerker en welke bevoegdheden heeft de OR als het hierom gaat?
E-mailberichten behoren tot het privédomein van een medewerker, zelfs al zijn deze gedurende werktijd verstuurd vanaf de werkplek met het zakelijke e-mailadres. Dit doet ook recht aan de praktijk. In mails tussen collega’s komen immers ook wel eens privézaken ter sprake en sommige medewerkers gebruiken het zakelijke adres ook privé. Minstens zo belangrijk is dat werkgevers de mail steeds vaker gebruiken voor het versturen van persoonlijke gegevens van medewerkers, zoals loonstroken of functioneringsverslagen.
Vanwege het privékarakter van de mailberichten van de medewerker en het recht op privacy mag de werkgever zich slechts in uitzonderlijke gevallen toegang verschaffen tot de mailbox van een medewerker. De werkgever mag dit alleen indien:
  • een medewerker op de hoogte is of zou kunnen zijn dat de mail gecontroleerd kan worden,
  • de werkgever een gerechtvaardigd doel heeft om mails te controleren en
  • er is voldaan aan de proportionaliteiteis.
Van een gerechtvaardigd doel kan sprake zijn indien bijvoorbeeld het vermoeden is gerezen dat een medewerker fraudeert, bedrijfsgeheimen aan de concurrent onthult of zich onheus over de werkgever uit. De proportionaliteiteis houdt in dat de inbreuk op de privacy door de werkgever in verhouding moet staan met het belang van de werkgever.
Sommige werkgevers hebben een reglement opgesteld waarin wordt bepaald in welke situaties (zakelijke) e-mailberichten gecontroleerd kunnen worden. Dit is ook wenselijk, aangezien het voor medewerkers dan duidelijk is dat en wanneer de werkgever in bepaalde omstandigheden toegang tot de mailbox zou kunnen hebben. Ook kan de handelwijze van de werkgever worden getoetst aan het reglement.

Uit de rechtspraak volgt dat indien er geen reglement is opgesteld, de belangenafweging tussen het belang van de werkgever om mails te controleren en het recht op privacy van de medewerker strenger zal worden getoetst.

Wanneer een werkgever gegevens uit mailberichten gebruikt in ontslagzaken zal de rechter moeten toetsen of het recht op privacy geschonden is. Als dit het geval is betekent dit niet dat de mailberichten, zoals in strafzaken, niet mogen worden meegewogen bij de beoordeling van de zaak. “Onrechtmatig verkregen bewijs” kan dus wel degelijk leiden tot het einde van het dienstverband. Wel zal een onrechtmatige inbreuk op de privacy zich over het algemeen vertalen in een hogere verwijtbaarheid aan de zijde van de werkgever. Dit kan voor werknemers leiden tot een hogere ontslagvergoeding. (Bron: Annette Terpstra, Sprengers Advocaten)

Checklist basiscontract arbodienstverlener aangepast aan AVG

De checklist gaat in op de uitwisseling van medische gegevens tussen de bedrijfsarts, werkgever en verzekeraars. De bedrijfsarts mag medische gegevens opslaan en verwerken in het medisch dossier. Hij is verantwoordelijk voor het beheer van dat dossier en mag maar heel beperkt gegevens uitwisselen met anderen, zoals de werkgever. De arbodienst of bedrijfsarts moet een medisch dossier 15 tot 40 jaar bewaren in een eigen, beveiligd systeem. Worden medische dossiers door derden bewaard, dan moet deze verwerking minimaal voldoen aan de eisen die de Autoriteit Persoonsgegevens stelt aan het opslaan van medische dossiers in verzuimsystemen. (Bron en meer: Redactie Arbo Rendement, 11 sep. 2018)

Brochure AWVN 'Privacy versus transparantie' aangepast

In verband met de nieuwe wetgeving rond privacy (AVG) heeft AWVN de informatiebrochure Privacy versus transparantie geactualiseerd.

In deze vernieuwde brochure staat hoe werkgevers hun activiteiten op het gebied van inclusief werkgeven binnen de kaders van de wet transparant kunnen maken. Veel organisaties willen hun inclusieve inspanningen meten en inzichtelijk maken. Bijvoorbeeld om deze informatie op te nemen in een MVO- of duurzaamheidsrapportage, als bewijs te overleggen voor het voldoen aan een social-returnverplichting of inzicht te hebben in de invulling van de banenafspraak. Het is belangrijk hierbij rekening te houden met de privacywetgeving. Transparantie en privacy kunnen immers op gespannen voet staan met elkaar. (Bron: AWVN, 30 okt. 2018)

KvK stopt verkoop telefoongegevens ZZP’ers

De Kamer van Koophandel stopt met de online verkoop van telefoongegevens van ZZP’ers voor commerciële doeleinden. Dit gebeurt naar aanleiding van eigen onderzoek. Kort geleden riep de Stichting ZZP Nederland hiertoe op, onder andere in het tv-programma Radar. De achterban van ZZP Nederland klaagt al lang over agressieve en misleidende benadering door tussenpersonen, die grote aantallen persoonsgegevens hebben gekocht bij de Kamer van Koophandel.

“De reactie van de KvK is een stap in de goede richting, maar er moet meer gebeuren”, zegt voorzitter Maarten Post. Wettelijk verplicht Volgens ZZP Nederland is deze levering in strijd met de privacywetgeving, en mag de overheid er niet langer aan meewerken. Nu is de KvK nog wettelijk verplicht om persoonsgegevens van ZZP’ers tegen betaling ter beschikking te stellen. Verbieden ZZP Nederland roept staatssecretaris Keijzer op om de verkoop door de Kamer van Koophandel van alle persoonsgegevens (niet alleen telefoonnummers) van ZZP’ers voor commerciële doeleinden te verbieden, en dit ook te handhaven. (Bron: ZZP Nederland, 7 nov. 2018)

Privacyregels voor gebruik van foto’s werknemers

Veel organisaties gebruiken foto’s van werknemers, bijvoorbeeld voor een smoelenboek op intranet. Ook onder de Algemene verordening gegevensbescherming (AVG) is daarvoor toestemming nodig.  

Als de verwerking van een persoonsgegeven niet strikt noodzakelijk is, moet de werkgever expliciet om toestemming vragen aan werknemers. Dit is bij een smoelenboek het geval. De AVG (tools) stelt diverse eisen aan de goedkeuring. De werkgever mag niet te snel aannemen dat er sprake is van toestemming. De werknemer moet goed weten waar hij precies toestemming voor geeft. Daarvoor is het belangrijk dat de werkgever de werknemer in duidelijke en eenvoudige taal informeert. De organisatie moet kunnen bewijzen dat de werknemer een geldige toestemming heeft gegeven voor de specifieke situatie (in dit geval de foto op intranet). Bij het verzoek om goedkeuring behoort de werkgever aan te geven dat de werknemer zijn goedkeuring op elk moment weer kan intrekken. (Bron: Rendement, 9 mrt. 2018)

Redactie: 1. Stel dat een onderneming een prijs heeft gewonnen, werknemers nemen de prijs in ontvangst, natuurlijk worden er foto's gemaakt. Kan de werkgever een boete krijgen als de werknemers voor de foto geen toestemming hebben gegeven?    
2. Voor de dag van het huwelijk wordt een fotograaf ingehuurd. Aan de bruiloftgangers wordt niet gevraagd of zij op de foto willen. Begint het huwelijk met een overtreding?

Personeelsdossier: bewaarbeleid AVG al op orde?

“In de AVG liggen nog maar enkele zaken vast”, zegt Kevin Olaria, accountmanager van digitaliseringsspecialist Karmac. “Bijvoorbeeld dat je informatie mag bewaren als die ‘historische of wetenschappelijke doelen’ dient. Maar dat moet je dan wel duidelijk maken; om welk onderzoek gaat het, gedurende welke periode worden de gegevens verzameld, en tot wanneer?”

Verder liggen er nog enkele bewaartermijnen vast in andere wetten, zoals de Wet op de Rijksbelastingen. Daarin staan regels over het bewaren van de loonbelastingverklaring en het identiteitsbewijs.

Deze en andere feiten en tips zijn het lezen waard. (Bron: PW, 17 dec. 2018)

Vingerafdruk valt onder privacy

In het kader van een rechtszaak (2019), was de vraag die de kantonrechter zich allereerst stelde of een vingerscan/vingerafdruk een persoonsgegeven is in de zin van de AVG. Het antwoord was bevestigend, biometrische gegevens kunnen worden beschouwd als informatie betreffende een natuurlijk persoon, aangezien het gaat om gegevens die door hun aard informatie verstrekken over een bepaalde persoon.


Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:



 Overtreding en boete    Wetten voor 25 mei 2018