PRAKTIJKNOTITIE Arbeidsrecht. 1. Inleiding

Transcriptie

1 Van: NOAB Adviesgroeplid WVO Advocaten Datum: April 2016 Onderwerp: Het verwerken en bewaren van persoonsgegevens van werknemers nu en straks 1. Inleiding Privacy in relatie tussen werkgever en werknemer is de laatste tijd regelmatig onderwerp van gesprek geweest in de media. Vooral de vraag welke gegevens een werkgever mag verwerken bij ziekte van een werknemer was en is een groot struikelblok. Over het wel/niet verwerken van bijzondere persoonsgegevens van zieke werknemers valt veel te zeggen, maar ook over het verwerken van meer algemene gegevens van een werknemer zijn in de Wet bescherming persoonsgegevens (hierna: Wbp) regels en voorwaarden gesteld. Daarnaast is met ingang van 1 januari 2016 de Wet meldplicht datalakken in werking getreden, met als gevolg dat werkgevers vanaf die datum verplicht zijn om een (ernstig) datalek te melden bij de toezichthouder, de Autoriteit Persoonsgegevens. Met de inwerkingtreding van de Wet meldplicht datalekken heeft de Autoriteit Persoonsgegevens ook een verdergaande boetebevoegdheid gekregen. Zo kan bij overtreding van de regels een hoge boete worden opgelegd tot wel ,-. Het is voor een werkgever dus belangrijk om bekend te zijn met de regels over het verwerken van bijzondere én algemene persoonsgegevens van werknemers en ook in overeenstemming met deze regels te handelen. In de praktijk blijkt echter dat er nog weinig bekendheid is, daarom wordt in deze praktijknotitie uitleg gegeven van de Wbp, de Wet meldplicht datalekken en in het verlengde daarvan de Algemene Verordening Gegevensbescherming (verder: AVG). Vervolgens wordt ingegaan op het verwerken van persoonsgegevens van werknemers en welke wettelijke eisen daaraan worden gesteld. Tot slot zal, met het oog op de nieuwe wetgeving, aan de hand van een stappenplan de aandachtspunten voor werkgevers in het kader van de AVG worden uiteengezet. Let op! Binnenkort zal de definitieve versie van de AVG worden gepubliceerd. Met de inwerkingtreding van de AVG worden aan organisaties nóg strengere eisen gesteld ten aanzien van het verwerken van persoonsgegevens. Denk bijvoorbeeld aan het aanstellen van een zogenaamde privacy officer die de processen rondom privacy moet begeleiden en toezicht moet houden op de juiste naleving van de verordening. Per 25 mei 2018 is de AVG rechtstreeks van toepassing in Nederland. De Wbp geldt dan niet meer. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie, namelijk de AVG. Praktijknotitie Persoonsgegevens Pagina: 1/9

2 2. De Wet bescherming persoonsgegevens / Algemene Verordening privacybescherming 2.1. Algemeen wettelijk kader verwerken persoonsgegevens De snelle ontwikkelingen in de informatietechnologie (digitalisering) van de laatste decennia hebben veel voordelen voor de maatschappij met zich meegebracht. Echter, de snelle digitalisering heeft ook een keerzijde. De digitalisering brengt namelijk diverse privacy risico s met zich mee in het kader van verwerking van persoonsgegevens. Denk aan identiteitsfraude, datalekken en dergelijke. Zodoende bestond de behoefte om verwerking van persoonsgegevens (dat zijn alle handelingen m.b.t. persoonsgegevens; van verzamelen tot en met vernietigen) te reguleren c.q. te structureren. Als gevolg daarvan is de Wbp (die mede is gestoeld op Europese wetgeving) op 1 september 2001 in Nederland in werking getreden. Inmiddels, ruim vijftien jaar later, is de informatietechnologie nog verder ontwikkeld en door diverse schandalen (denk bijvoorbeeld aan de onthullingen van Snowden) ontstond de behoefte om op Europees niveau strengere privacywetgeving te introduceren. Op Europees niveau is inmiddels overeenstemming bereikt over Europese privacy regels en is de AVG opgesteld, die op 25 mei 2018 direct van toepassing zal zijn en onze nationale wetgeving, de Wbp volledig vervangt. Aan de vooravond van de inwerkingtreding van de AVG heeft Nederland overigens de Wbp al ingrijpend gewijzigd. Op 1 januari 2016 is namelijk de Wet meldplicht datalekken in werking getreden en heeft de Autoriteit Persoonsgegevens verdergaande boetebevoegdheid gekregen. De meldplicht uit de Wet meldplicht datalekken brengt met zich mee dat een organisatie bij een (ernstig) datalek dit verplicht aan de Autoriteit Persoonsgegevens moet melden. Bij een datalek kan bijvoorbeeld worden gedacht aan een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop, of een inbreuk door een hacker. Dat betekent dat Nederlandse organisaties ook nu al geconfronteerd (kunnen) worden met strengere privacy regels en hogere boetes Toepassingsbereik De Wbp en de Wet meldplicht datalekken (en straks ook de AVG) zijn uiteraard niet in iedere situatie van toepassing, maar alleen als sprake is van het daadwerkelijk verwerken van persoonsgegevens in de zin van de Wbp. In de Wbp en de AVG zelf worden overigens nog aanvullende voorwaarden gesteld voor het van toepassing zijn van de wet/verordening. Persoonsgegeven Om vast te stellen of sprake is van een persoonsgegeven in de zin van de Wbp, moet aan twee voorwaarden zijn voldaan. Allereerst dient het gegeven informatie te verschaffen over een persoon. Het gaat hierbij om eigenschappen van de persoon, zijn opvattingen of gedragingen. Het gaat bij persoonsgegevens dus niet alleen om een naam, adres of BSN-nummer, maar het kan ook gaan om een foto of een video. Dat betekent dat bijvoorbeeld gegevens over het telefoon- en computergebruik (van werknemers) ook onder het begrip persoonsgegeven van de Wbp vallen. Praktijknotitie Persoonsgegevens Pagina: 2/9

3 Het tweede vereiste is dat de persoon waarover het gegeven informatie verschaft een geïdentificeerde of identificeerbare natuurlijke persoon moet zijn. Een persoon is identificeerbaar als zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. In sommige gevallen lijkt het op het eerste gezicht misschien niet te gaan om gegevens die tot een bepaalde persoon te herleiden zijn, maar dat betekent niet dat het dan niet om een persoonsgegeven in de zin van de Wbp gaat. Soms kan namelijk ook uit de combinatie met andere gegevens alsnog een gegeven tot een bepaalde persoon worden herleid, met als gevolg dat sprake is van een persoonsgegeven en dat de Wbp/AVG van toepassing is. Met de komst van de AVG verschillen de definities van persoonsgegevens en de verwerking daarvan enigszins met de Wbp, met dien verstande dat de AVG een veel uitgebreidere definitie geeft van persoonsgegevens (zie tekstblok hieronder) en dat dus in principe eerder sprake zal zijn van een persoonsgegeven. Artikel 1 onder a Wbp Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Artikel 4 onder 1 AVG Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkenen als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met 3. name aan Ten de slotte hand van een identificator zoals een naam identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, Mocht u vragen hebben over de culturele inhoud of van sociale deze identiteit NOAB praktijknotitie, van die natuurlijke dan persoon kunt u als NOAB-lid in het kader van de NOAB-helpdesk contact opnemen met: Verwerken Als is vastgesteld dat het gaat om persoonsgegevens, dient vervolgens de vraag te worden beantwoord of sprake is van het verwerken van persoonsgegevens. Het verwerken van persoonsgegevens moet ruim worden opgevat en praktisch gezien komt het erop neer dat iedere handeling die een organisatie met een persoonsgegeven verricht onder het begrip verwerken valt. In de memorie van toelichting (zeg maar de uitleg van de wet) bij de Wbp, staat dan ook dat elke handeling of elk geheel van handeling met betrekking tot persoonsgegevens, waaronder in ieder geval wordt verstaan: elke handeling of elke geheel van handelingen betreft met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens het verwerken van persoonsgegevens inhoudt. Deze omschrijving uit toelichting bij de Wbp sluit ook aan bij de definitie van verwerken in de zin van de AVG, daarin staat namelijk de volgende definitie opgenomen: een bewerking of een geheel Praktijknotitie Persoonsgegevens Pagina: 3/9

4 van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Kortom: als is vastgesteld dat sprake is van een persoonsgegeven, dan is al snel ook voldaan aan het tweede vereiste van verwerking. Het begrip verwerking is in de Wbp en de AVG dusdanig ruim geformuleerd dat een organisatie die met persoonsgegevens werkt deze feitelijk ook verwerkt, en dus aan de wettelijke regels van de Wbp en straks de AVG dient te voldoen. Praktijknotitie Persoonsgegevens Pagina: 4/9

5 Schematisch In de Beleidsregels meldplicht datalekken in de Wet bescherming persoonsgegevens is een handig schema opgenomen om te controleren of de activiteiten van een organisatie onder de Wbp (en dus de Wet meldplicht datalekken) valt. Als dat zo is, dan moet de organisatie met een aantal zaken rekening houden. Denk aan het beveiligen van de verwerking van persoonsgegevens en de melding bij de Autoriteit Persoonsgegevens als sprake is van een Datalek. Praktijknotitie Persoonsgegevens Pagina: 5/9

6 4. Voorwaarden aan het verwerken van gegevens van werknemers In principe geldt dat bij het verwerken van gegevens van werknemers de Wbp en de AVG onverkort van toepassing zijn. Uitganspunt is dat persoonsgegevens (ook die van werknemers) niet mogen worden verwerkt, tenzij sprake is van een van de volgende situaties: - Toestemming van de betrokkene; - Overeenkomst; - Wettelijke verplichting; - Publieke taak; - Vitaal belang; - Gerechtvaardigd belang. Ook als werkgever moet je dus een rechtvaardigingsgrond hebben om persoonsgegevens, ook als het gaat om werknemers, te verwerken. Vaak is de rechtvaardigingsgrond in het kader van de arbeidsrelatie duidelijk en zal dit niet snel tot problemen leiden. De werkgever is immers veelal verplicht om de persoonsgegevens van een werknemer te verwerken en te bewaren (wettelijke verplichting); denk bijvoorbeeld aan het identiteitsbewijs van een werknemer. Als de werkgever geen kopie van het geldige identiteitsbewijs van zijn werknemer in zijn administratie heeft, dan kan dit zelfs leiden tot een boete van de Inspectie SZW. De werkgever heeft echter niet altijd een gerechtvaardigd belang bij het verwerken van persoonsgegevens. Denk bijvoorbeeld aan de situatie dat een werkgever zijn werknemers heimelijk monitort. Dan is het maar de vraag of hiervoor een gerechtvaardigd belang aanwezig is. Veelal zal de werkgever aanvoeren dat hij dit doet vanwege beveiligingsdoeleinden. In sommige gevallen, bij heimelijke monitoring, zal de werkgever de werknemers niet willen informeren over het monitoren van internet- en telefoongebruik, maar dan wil hij dit geheimhouden. In dat geval moet een werkgever de werknemers in principe wel in algemene zin informeren dat er mogelijk sprake kan zijn van heimelijke monitoring (bijv. cameratoezicht bij herhaaldelijke diefstallen). Let wel, voor het heimelijk monitoren moet een werkgever aan verzwaarde eisen voldoen. Zo moet de werkgever een redelijke verdenking hebben dat een medewerker iets doet wat strafbaar is en moet de werkgever in principe bij de Autoriteit Persoonsgegevens een onderzoek aanvragen. Uitgangspunt is dat altijd moet worden beoordeeld of er niet minder belastende mogelijkheden zijn in het kader van beveiligingsdoeleinden (proportionaliteit). Als monitoring al noodzakelijk is, dan heeft het informeren van de werknemers dat mogelijk sprake is van monitoring meestal de voorkeur, omdat dan minder strenge eisen gelden. Vanzelfsprekend moet er altijd een gerechtvaardigd belang voor monitoring aanwezig zijn. In het kader van de verwerking van meer algemene gegevens van werknemers (adresgegevens, geboortedatum, bankrekeningnummer e.d.), is zoals gezegd al snel een rechtvaardigingsgrond aanwezig, namelijk een wettelijke verplichting, zodat een werkgever hier niet zo snel onrechtmatig c.q. zonder rechtvaardigingsgrond persoonsgegevens verwerkt. Praktijknotitie Persoonsgegevens Pagina: 6/9

7 Strengere eisen Met de komst van de AVG worden de eisen voor het verwerken van persoonsgegevens strenger, ook voor werkgevers die persoonsgegevens van hun werknemers verwerken. De AVG vereist namelijk dat persoonsgegevens alleen voor vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet mogen worden verwerkt als dit onverenigbaar zou zijn met de vooraf vastgestelde doeleinden. Belangrijker nog is dat de AVG strenge eisen stelt aan de beveiliging van de verwerkte persoonsgegevens. Volgens de AVG moet de verwerker (in dit geval werkgever), passende technische en organisatorische beveiligingsmaatregelen nemen tegen verlies van persoonsgegevens of onrechtmatige verwerking. De persoonsgegevens die worden verwerkt moeten worden beveiligd naar de stand van de techniek en daarbij moet een kostenafweging worden gemaakt. Des te gevoeliger de verwerkte en bewaarde gegevens, des te strenger de eisen aan de beveiliging en des te hoger de investering die mag worden verwacht. Het doel van de beveiliging is onrechtmatige toegang en overige gebeurtenissen die de verwerkte gegevens in gevaar kunnen brengen te voorkomen. Dat betekent dat werkgevers die bijvoorbeeld in een Excel sheet een personeelsdossier bijhouden (van functioneringsgesprekken tot het bijhouden van vakantiedagen) eens goed moeten nadenken of zij wel aan de strikte veiligheidseisen van de AVG voldoen, én belangijker nog, of zij de gegevens verwerken op een van de genoemde grondslagen (toestemming van de betrokkene, overeenkomst, wettelijke verplichting, publieke taak, vitaal belang, gerechtvaardigd belang). Niet altijd zal aan een van deze vereisten zijn voldaan, zodat de werkgever potentieel het risico loopt niet aan de voorwaarden van de AVG te voldoen en de Autoriteit Persoonsgegevens bij een controle een boete kan opleggen. Omdat de AVG op 25 mei 2018 in werking zal treden heeft de werkgever nog voldoende tijd om te inventariseren waar de mogelijke risico s zich binnen zijn organisatie bevinden. Dit is zeker noodzakelijk om voor de inwerkingtreding van de AVG te doen, omdat de AP nog hogere boetes kan opleggen, namelijk tot twintig miljoen euro of vier procent van de wereldwijde omzet van de organisatie! De conclusie is dan ook dat het zeker de moeite waard is om privacy in de organisatie hoog op de agenda te zetten. Enerzijds om als organisatie te voldoen aan de wettelijke vereisten en anderzijds om werknemers bewust te maken van de omgang met persoonsgegevens (denk aan het melden van een verloren USB-stick). In het kader van de bewustwording van werknemers kan de werkgever bijvoorbeeld een richtlijn omgaan met vertrouwelijke gegevens worden opstellen, die zich richt tot werknemers en waaraan eventueel sancties bij niet-naleving aan verbonden kunnen worden. Om inzichtelijk te maken welke aandachtspunten met ingang van 25 mei 2018 cruciaal zijn in het kader van de AVG, is hierna een overzicht opgenomen met stappen voor de voorbereiding op de inwerkingtreding van de AVG. Let op dit stappenplan is niet uitputtend, maar bedoeld als handvat c.q. vertrekpunt voor het klaarstomen van uw organisatie voor de AVG. Praktijknotitie Persoonsgegevens Pagina: 7/9

8 Bewustwording Zorg ervoor dat de beleidsmakers op de hoogte zijn van de nieuwe wetgeving en breng in kaart welke persoonsgege-vens worden verwerkt van werknemers. Communicatie Als in kaart is gebracht welke persoonsgegevens worden verwerkt en gedocumenteerd. Zorg er daarnaast voor dat de betrokkene op de hoogte is van de verwerking van zijn/haar persoonsgege-vens en door wie deze gegevens worden verwerkt. Meestal dient dit in de vorm van een privacyverklaring toe worden gegoten. Rechten van betrokkenen Een organisatie moet altijd nagaan of de bedrijfsvoering in overeenstemming is met de rechten van de betrokkenen. Denk daarbij onder andere aan: - informatie en toegang tot persoonsgegevens; -correctie en verwijdering van gegevens; - overdraagbaarheid van gegevens. Let op! Bij een verzoek tot toegang moeten er procedures zijn op bijvoorbeeld toegang tot bepaalde informatie van een betrokkene te weigeren. Hiervoor moet een systeem worden ontwikkeld. Wettelijke grondslag Een organisatie moet altijd een wettelijke grondslag hebben voor het verwerken van persoonsgegevens, ook als dit gegevens van werknemers betreft. Zorg er dus voor dat de wettelijke grondslag van de gegevenswerking is gedocumenteerd (bijvoorbeeld in een privacyverklaring). Toestemming Ga na op welke wijze toestemming wordt gevraagd voor het verwerken van persoonsgege-vens en deze registreert. Toestemming moet altijd expliciet en ondubbelzinnig zijn en kan altijd worden ingetrokken door de betrokkene. Toestemming is overigens niet altijd vereist, mits er een wettelijke grondslag voor de verwerking aanwezig is (bij werknemers is dit vrij snel het geval). Datalekken Privacy Impact Assessment (PIA) Functionaris gegevensbescherming Check je contracten Stel adequate procedures vast om datalekken op te sporen te rapporteren en te onderzoeken. Denk daarbij aan het informeren van de betrokkenen en de autoriteit. Als bedrijf moet je ervoor zorgen dat duidelijk is vastgelegd hoe bedrijfsprocessen de privacy van personen kan beïnvloeden en hoe het bedrijf hier veilig mee omgaat en welke beveiligingsmaatregelen worden genomen. Met de AVG wordt ook de functionaris gegevensbescherming geïntroduceerd. Bij grote bedrijven moete en functionaris worden aangesteld die de verantwoordelijk-heid draagt voor het naleven van de privacy regels. Of een organisatie een functionaris gegevensbescherming moet aanstellen staat in artikel 37 van de AVG. Met de inwerkingtreding van de AVG is het nog meer van belang om in kaart te brengen met welke andere externe organisaties een bedrijf samenwerkt en of deze (persoons)gege-vens verwerkt en of deze bedrijven ook de noodzakelijke veiligheidsmaatregelen in het kader van de AVG toepassen. N.B. In sommige gevallen zal een bewerkersovereenkomst noodzakelijk zijn om te waarborgen dat ook deze organisaties in overeenstemming met de AVG...handelen. Praktijknotitie Persoonsgegevens Pagina: 8/9

9 5. Samenvatting Ook werkgevers hebben iedere dag te maken met privacygevoelige informatie, hetzij doordat zij persoonsgegevens van klanten of andere derden verwerken, dan wel dat zij in het kader van hun interne bedrijfsvoering dagelijks persoonsgegevens van hun werknemers verwerken. Met de komst van de AVG worden de eisen die gesteld worden aan het verwerken van persoonsgegevens alleen maar strenger en de boetes die de toezichthouder kan opleggen alleen maar hoger, zodat het voor een werkgever van belang is om het verwerken van persoonsgegevens in overeenstemming met de AVG te brengen. Deze praktijknotitie beoogt hierin de nodige inzichten te verschaffen en werkgevers op weg te helpen met deze, toch wel spannende, omslag. 6. Ten slotte Mocht u vragen hebben over de inhoud van deze NOAB praktijknotitie, dan kunt u als NOAB-lid in het kader van de NOAB-helpdesk contact opnemen met: NOAB Adviesgroeplid WVO Advocaten Tel Voorwaarden en disclaimer Deze praktijknotities zijn specifiek bedoeld voor NOAB-kantoren. Het is niet toegestaan deze te delen met andere partijen. Daarnaast is de disclaimer van kracht die u kunt vinden op Praktijknotitie Persoonsgegevens Pagina: 9/9