De Algemene Verordening Gegevensbescherming (AVG) mr. C.(Kees) de Kramer 1
2 Sollicitatie Werknemer Salarisstrook per e-mail ZZP-er en uitzendkrachten Klanten met klantenkaarten, bestelformulieren, voordeelbonnen, spaaracties Kassa met software Idem: patiënten, leerlingen, abonnees Kortom: U beschikt over allerlei (privacygevoelige) persoonsgegevens van andere mensen. 2
3 Europese verordening (vervangt Wet bescherming persoonsgegevens) Algemene Verordening Gegevensbescherming (AVG) De AVG zorgt onder meer voor: meer privacy-rechten directe werking meer verantwoordelijkheden voor organisaties zoals u grote boetes (NL: Autoriteit Persoonsgegevens) Voor alle bedrijven en instellingen (MKB) Moet uiterlijk op 25 mei 2018 startklaar zijn 3
4 Conclusie van vanavond Kritischer omgaan met - en beter beschermen van - persoonsgegevens van anderen waar u over beschikt. Minder-is-ook-goed (vaak-verplicht). Bijvoorbeeld: geen paspoort meer voor ZZP-ers en uitzendkrachten. Meer naar Open-Vizier-Beleid ( Show me ). 4
5 Kernbegrip: persoonsgegevens Alle informatie die direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dus onder meer: naam, adres, (pas)foto, telefoonnummer, personeelsnummer, bankrekeningnummer, kenteken, audio of video-opname. Bijzondere personeelsgegevens: ras, godsdienst, gezondheid, strafrechtelijk verleden en geaardheid. BSN? Deze moeten extra beschermd worden. Paspoort! Kortom: al heel snel is sprake van persoonsgegevens. 5
6 Wanneer is er sprake van verwerking van persoonsgegevens? Elke handeling met betrekking tot persoonsgegevens (van verzamelen tot vernietigen). Zoals: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden uitwissen en vernietigen. Kortom: al heel snel is sprake van het verwerken van persoonsgegevens. 6
7 Wanneer mag u persoonsgegevens verwerken? Mag niet, tenzij bijvoorbeeld: Uitvoering overeenkomst (arbeidsovereenkomst) Toestemming (klantenkaart). Moet ondubbelzinnig zijn Wettelijke verplichting (Arbo/bedrijfsarts) 7
8 Wat betekent de AVG voor u? Binnen het bedrijf? Naar buiten toe? 8
9 Wat te doen binnen uw bedrijf? Hoe is het nu geregeld? Bewustzijn creëren en communiceer Overleg met ondernemingsraad Zorg voor intern beleid m.b.t. privacy Gegevens vernietigen (bewaartermijn of geen doel meer) 9
10 Wat communiceren aan werknemers (en anderen)? Brief en/of in reglement Het doel van de gegevensverwerking Welke gegevens er worden opgeslagen Wat de bezwaartermijn is (één maand + verlenging twee maanden bij omvangrijk verzoek) Wie wanneer toegang heeft tot welke gegevens Hoe de gegevens beveiligd worden Welke rechten de werknemers hebben 10
11 Rechten van de degenen waarvan u persoonsgegevens heeft: Niet meer opslaan dan strikt noodzakelijk is (ziek en herstelmeldingen) Recht op informatie over de verwerking en opslag Recht op inzage Recht op verzet en rectificatie Recht op beperking van de verwerking Recht op doelbinding (beelden anti-diefstalcamera mogen niet gebruikt worden om het algemene functioneren van de werknemer te beoordelen) Recht op overdraagbaarheid van gegevens (dataportabiliteit) Recht op gegevenswisseling (vergetelheid) Recht van bezwaar (binnen één maand) 11
12 Bewaren van werknemersgegevens voor 7 jaar Voor diverse gegevens geldt een bewaarplicht van zeven jaar, ook als een werknemer niet meer in dienst is, te weten: persoonlijke gegevens zoals naam, adres, woonplaats, burgerlijke staat datum indiensttreding salarisadministratie arbeidsvoorwaarden (aanvullende voorwaarden) afstandsverklaring woon-werkverkeer 12
13 Bewaren van werknemersgegevens voor vijf en één jaar De volgende papieren moet u tot vijf jaar na het einde van het dienstverband bewaren en dient u daarna te vernietigen: Loonbelastingverklaringen Kopie van het identiteitsbewijs Voor enkele gegevens geldt een bewaartermijn van één jaar: Met toestemming: sollicitatiegegevens (brief, formulier, CV, referenties, getuigschrift) gegevens uit psychologisch onderzoek 13
14 Bewaren van persoonsgegevens? Overig Camerabeelden: maximaal vier weken (tenzij strafbaar feit) Klantgegevens: maximaal twee jaar na de laatste transactie Van actief naar passief bestand gedurende de bewaartermijn 14
15 Wat te doen naar buiten toe? Algemene voorwaarden aanpassen Verwerkersovereenkomsten opstellen (accountant, salarisadministratie, arbodienst, pensioenverzekeraar, tussenpersonen) Verzekering (evt.) Klantenkaarten aanpassen 15
16 Sinds 1 januari 2016 geldt de Meldplicht datalekken. Datalek: persoonsgegevens vallen in handen van derden die geen toegang tot die gegevens zouden mogen hebben. Voorbeelden: e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers, inbraak in het systeem en verloren usb-sticks. Meldingsplicht bij de Autoriteit Persoonsgegevens (binnen 72 uur). 16
17 Kortom: Beperk uw risico s en zorg nu al voor een goede voorbereiding! Voorkom zwerfinformatie en wordt AVG-proof. FSV kan u daarbij behulpzaam zijn. Woord aan Ton van Gessel 17