HR-thema's: van diversiteit, personeelsplanning tot recruitment

Hoe zit het met de AVG als je nieuwe medewerkers in dienst neemt?

Geschreven door Francisca Grun | Sep 3, 2024 8:29:58 AM

 

Je bedrijf groeit, dus het is tijd voor nieuwe werknemers! Daar hoort ook administratie bij: je verwerkt de persoonsgegevens en voegt de kersverse medewerkers toe aan je systeem. Dit lijkt logisch, maar toch moet je volgens de AVG (Algemene Verordening Gegevensbescherming) verantwoorden welke gegevens je gebruikt en waarom. Waar moet je nu precies op letten rondom de AVG als je nieuwe medewerkers in dienst neemt? Met deze 5 stappen breng je je AVG-basis op orde.

Stap 1. Check welke persoonsgegevens je verwerkt en waarom

Als eerste ga je na welke persoonsgegevens je verwerkt. Welke gegevens verzamel je als je iemand in dienst neemt? Het gaat dan om alle informatie die naar een persoon te herleiden is, van het adres tot het bankrekeningnummer. Bedenk vervolgens per gegeven waarom je het vraagt. Dat heet ook wel het doel van de verwerking. Houd hier rekening mee:

  • Concreet doel
    Van elk gegeven moet het doel duidelijk en heel precies zijn. Bijvoorbeeld: ‘een bankrekeningnummer is nodig om het salaris over te maken’. Maar niet ‘misschien komt dit gegeven ooit van pas’, dat is te vaag.

  • Noodzaak
    Je mag alleen persoonsgegevens verwerken als die voor het doel noodzakelijk zijn. Het is namelijk alleen toegestaan om persoonsgegevens te gebruiken als het niet anders kan, dus als je op geen enkele andere manier je doel kunt bereiken.

  • Dataminimalisatie
    Dat houdt in dat je zo min mogelijk gegevens verwerkt. Dus je vraagt echt alleen de persoonsgegevens die onmisbaar zijn voor je doelen.

Stap 2. Voeg grondslagen toe aan je doelen

Nu je duidelijk hebt welke persoonsgegevens van nieuwe medewerkers je verwerkt en waarom, bepaal je of je deze gegevens daadwerkelijk mag gebruiken. Je mag namelijk niet zelf een reden bedenken, maar elke reden moet onder een grondslag uit de AVG vallen. Dit zijn de 6 grondslagen uit de privacywet:

  1. Je hebt toestemming van de persoon om zijn of haar gegevens te verwerken.
  2. Je hebt de persoonsgegevens nodig om een overeenkomst uit te voeren.
  3. Je bent wettelijk verplicht om de gegevens te verwerken.
    Het is noodzakelijk om persoonsgegevens te verwerken om vitale belangen te beschermen. Deze is voor jou als werkgever eigenlijk nooit van toepassing, omdat het hierbij gaat om acuut gevaar voor iemands leven of gezondheid.
  4. Je verwerkt de gegevens om een taak van openbaar gezag of algemeen belang uit te oefenen.
  5. Je behartigt je gerechtvaardigde belang door de persoonsgegevens te verwerken. Dat betekent dat jouw belang om de gegevens te gebruiken zwaarder weegt dan het recht op privacy van je nieuwe werknemers.

Je beslist zelf welke grondslag bij welk doel past. Elke verwerking van gegevens krijgt een eigen grondslag. Je mag dus niet al je verwerkingen samenvoegen en 1 grondslag kiezen.

Stap 3. Maak een verwerkingsregister van alle persoonsgegevens

Je weet nu welke gegevens je verwerkt, voor welk doel en welke grondslagen daarbij horen. De volgende stap is om dat allemaal vast te leggen in een verwerkingsregister. Als werkgever ben je verplicht om zo’n verwerkingsregister te hebben. Je mag zelf weten hoe je het register opstelt, maar dit moet er in ieder geval in staan:

  • Van wie je persoonsgegevens verwerkt
  • Wat voor soort gegevens je verwerkt
  • De doelen waarvoor je de gegevens verwerkt
  • Welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen

Je hoeft de grondslagen van de verwerkingen niet te registreren, maar de Autoriteit Persoonsgegevens raadt dit wel aan. Dat helpt namelijk om aan je verantwoordingsplicht te voldoen. Met andere woorden: daarmee laat je zien dat je aan de AVG voldoet.

Stap 4. Zorg voor goede beveiliging van de gegevens

Een andere eis uit de AVG is dat je persoonsgegevens goed moet beveiligen. Als je dat niet doet, kan je bijvoorbeeld te maken krijgen met een datalek. Zo’n lek is niet alleen schadelijk voor je (nieuwe) medewerkers, maar ook voor de reputatie van je bedrijf. Je bepaalt zelf welke beveiligingsmaatregelen voor jouw onderneming nodig zijn. Hoe hoger het risico, hoe strenger de maatregelen die je moet nemen. De AVG geeft hier geen exacte richtlijnen voor: het hangt helemaal af van je situatie. Denk bijvoorbeeld aan dit soort maatregelen:

  • Technische maatregelen
    Hierbij gaat het om de moderne technieken die je gebruikt om gegevens te beveiligen. Bijvoorbeeld: je zorgt dat je bij een incident de toegang tot en beschikbaarheid van persoonsgegevens snel kunt herstellen.
  • Organisatorische maatregelen
    Hierbij ga je na hoe je bedrijf met persoonsgegevens omgaat. Wie heeft toegang tot welke gegevens? Bijvoorbeeld: je stelt een proces op om regelmatig te testen of je beveiligingsmaatregelen nog steeds effectief zijn.

Er zijn dus geen precieze richtlijnen voor de beveiliging van persoonsgegevens. Maar je moet vanwege de verantwoordingsplicht van de AVG wel kunnen aantonen dat je voldoende beveiligingsmaatregelen hebt genomen.

Stap 5. Leg vast hoe je met privacyrechten omgaat

Je (nieuwe) werknemers hebben allerlei rechten om controle te houden over hun persoonsgegevens: privacyrechten. Het is handig om vast te leggen wat je doet als ze gebruikmaken van deze rechten. Hier krijg je als werkgever bijvoorbeeld mee te maken:

  • Recht op informatie
    Een medewerker vraagt wat er precies met zijn of haar gegevens gebeurt. Vanwege het recht op informatie moet je hier antwoord op geven. Dat gaat het makkelijkst met een privacyverklaring. Zorg dus dat je die hebt.

  • Recht op inzage in gegevens
    Een werknemer vraagt om inzage in zijn of haar gegevens. Ook hier moet je gehoor aan geven. Stuur een kopie van alle persoonsgegevens die je van hem of haar hebt en informatie over de verwerking. Die informatie staat meestal al in je privacyverklaring.

  • Recht op vergetelheid
    Een oud-medewerker vraagt om zijn of haar gegevens te wissen. Dit moet je doen vanwege het recht op vergetelheid. Daarnaast heb je de gegevens niet meer nodig voor het doel waarvoor je ze eerder gebruikte, al moet je ze in sommige gevallen wel nog even bewaren. Bepaal dus eerst welke persoonsgegevens je wel en niet mag wissen. Verwijder ze daarna uiterlijk binnen 1 maand.