Home AVG en HR: de onzichtbare uitdagingen van privacybescherming voor werknemers
AVG en HR: de onzichtbare uitdagingen van privacybescherming voor werknemers
Cuccibu | Kennispartner
Inleiding
Sinds het van toepassing worden van de Algemene verordening gegevensbescherming (AVG) is veel aandacht besteed aan de verwerking van persoonsgegevens, vooral in de primaire processen van een organisatie. Dan hebben we het over de gegevens van bijvoorbeeld klanten, patiënten, studenten of gebruikers. De meeste organisaties hebben inmiddels een hoger niveau van privacyvolwassenheid bereikt en nemen gegevensbescherming serieus in hun kernactiviteiten. Maar hoe zit het met de verwerking van persoonsgegevens in de secundaire processen van de organisatie? Krijgt de privacy van de eigen medewerkers bijvoorbeeld net zoveel aandacht als die van klanten en andere betrokkenen?
In de praktijk zien wij dat de gegevensverwerking van secundaire processen, zoals HR, finance en marketing, vaak minder prioriteit krijgen en de aandacht die daarnaartoe gaat vaak niet van hetzelfde niveau is. Niet elke organisatie heeft in de uitvoering van haar primaire processen te maken met verwerking van persoonsgegevens (zoals een metaalbewerkingsbedrijf). Deze organisaties staan er regelmatig niet bij stil dat ze wel degelijk persoonsgegevens verwerken, namelijk die van hun personeel.
Privacybescherming is essentieel voor een goed HR-beleid en -proces. In dit artikel maak je alvast kennis met de, soms onzichtbare, uitdagingen van gegevensbescherming en de complexe privacyrechtelijke aspecten binnen het HR-proces. Tijdens onze break out sessie ‘Privacy & Security: Privacy & HR’ op het Dataprotectie & Privacy Actualiteitencongres van Outvie gaat Haykush Hakobyan, Privacy Lead bij Cuccibu, dieper in op deze uitdagingen met concrete voorbeelden en praktische handvatten. Daarnaast vertelt ze meer over de AVG en HR-specifieke wet- en regelgeving én de essentiële samenwerking tussen HR en Privacy Professionals.
AVG en bijzondere persoonsgegevens
De AVG stelt eisen aan de verwerking van persoonsgegevens (alle informatie die direct of indirect herleidbaar is tot een individu). Gegevensverwerking mag pas plaatsvinden als daar een grondslag voor is op grond van de AVG. Er worden tevens extra eisen gesteld aan de verwerking van bijzondere persoonsgegevens waar in principe een verbod op geldt tenzij er een grond aanwezig is om het te doorbreken zoals een wettelijke plicht of voor de uitvoering van een overeenkomst Daarnaast stelt de AVG allerlei eisen aan opslag, vertrouwelijkheid en integriteit, verantwoording en nog meer. Deze eisen hebben direct impact op HR-processen en het is daarom van belang dat HR-afdelingen deze eisen uit de AVG kennen en naleven om de privacy van medewerkers te waarborgen.
Gegevensverwerking binnen HR
Binnen HR-processen worden verschillende categorieën persoonsgegevens verwerkt, zowel gewone als bijzondere persoonsgegevens. Soms kan de verwerkte informatie zelfs strafrechtelijk van aard zijn, bijvoorbeeld als het gaat om een Verklaring Omtrent het Gedrag (VOG) of screenings die de werkgever voorafgaand aan of tijdens het dienstverband uitvoert/laat uitvoeren.
Bij elke verwerking van persoonsgegevens is het altijd de vraag: zijn deze gegevens echt noodzakelijk voor het bereiken van het doel? En worden de gegevens verwerkt overeenkomstig met de privacyregels en sectorspecifieke wettelijke kaders, zoals het arbeidsrecht?
De AVG speelt in elke verwerking binnen het HR-proces een rol. Hieronder een aantal belangrijke aspecten waar men rekening mee dient te houden.
Bijzondere persoonsgegevens
Gegevensverwerkingen binnen HR verdienen juist extra aandacht vanwege het feit dat er bijzondere persoonsgegevens worden verwerkt. Neem bijvoorbeeld het verzuimproces. Er gelden regels waardoor aard en oorzaak van de arbeidsongeschiktheid niet mag worden geregistreerd. Er zijn echter ook uitzonderingen op deze regel, bijvoorbeeld in het geval van een bedrijfsongeval.
Voor elke soort arbeidsongeschiktheid gelden andere termijnen en werkafspraken, met impact op de privacybescherming. Dit maakt ook dat men te maken heeft met een verscheidenheid aan wet- en regelgeving binnen het arbeidsrecht die complex in elkaar is gestoken.
De praktijk laat ook zien dat wat de wetgeving vraagt en de Autoriteit Persoonsgegevens (AP) bij schending boetes voor uitdeelt, niet aansluit bij de praktijk van het UWV. Een goed voorbeeld is dat bij het registeren van ziekte door zwangerschap wel vermelding wordt gemaakt van zwangerschap terwijl de AP duidelijk aangeeft dat enkel de vermelding dat er sprake is van de vangnetregeling voldoende is. Zo zijn er meerdere onenigheden te vermelden wanneer de wet en handhaving van de AP naast de praktijk van het UWV worden gelegd. Food for thought dus!
Bewaartermijnen
Een organisatie moet in het HR-proces rekening houden met de bewaartermijnen van de specifieke gegevens. We merken dat in de praktijk veel onwetendheid bestaat over de exacte bewaartermijnen, of dat deze helemaal niet worden toegepast. Zo is de eerste gedachte meestal dat het HR-dossier zeven jaar moet worden bewaard. Als men al andere termijnen noemt, dan zijn deze termijnen meestal voor documenten maar niet specifiek voor de informatie in het HR-dossier zelf. Dit kan leiden tot inconsequente naleving.
Wanneer men in de sectorspecifieke wetgeving duikt, komt men al gauw erachter dat er niet alleen verschillende bewaartermijnen gelden voor verschillende verwerkingen en documenten, maar dat deze termijnen ook een andere start- en afloopperiode kennen. Zo geldt er voor fiscale doeleinden doorgaans een bewaartermijn van zeven jaar, maar dit is niet op alle gegevens in het HR-dossier van toepassing. Tot slot, worden oude systemen met veel personeelsdossiers vergeten en worden daarop geen bewaartermijnen toegepast.
Rechten van betrokkenen
De rechten van betrokkenen mogen we natuurlijk niet vergeten. In de praktijk komen we toch tegen dat een procedure ‘rechten van betrokkenen’ bijvoorbeeld niet toepasbaar is op verzoeken van eigen medewerkers. Dit is vaak het geval bij publieke organisaties waar men met een DigiD kan inloggen in een eigen portal en zijn/haar gegevens kan inzien. Er wordt daarbij vergeten dat eigen (ex)medewerkers op deze manier hun rechten ten aanzien van hun personeelsgegevens niet kunnen uitvoeren.
Inzet van technische oplossingen
Privacy verdient tevens aandacht in het HR-proces omdat in de praktijk vaak gebruik wordt gemaakt van verschillende softwareoplossingen, waar veel HR-gegevens in worden gezet. Denk aan een urenregistratiesysteem tot aan een dashboard waar verschillende bronapplicaties aan gekoppeld zijn en de grootschalige verwerkingen van persoonsgegevens die dan plaatsvinden.
Samenwerkingen en afspraken
Daarnaast zorgen de verschillende (verplichte) samenwerkingen binnen het HR-proces ervoor dat steeds nagedacht moet worden welke partijen welke rol hebben en welke afspraken gemaakt moeten worden. Denk daarbij niet alleen aan de gebruikelijke verwerkers die softwareapplicaties leveren, maar ook aan partijen zoals de bedrijfsarts, het ingeschakelde re-integratiebureau, de verzekeringsmaatschappij, het pensioenfonds, etc. Zo hoeft men geen verwerkersovereenkomst met de bedrijfsarts te sluiten als deze enkel eigen wettelijke taken uitvoert. Voert de bedrijfsarts meer zaken in het verzuimproces uit en neemt hij ook wettelijke taken van de werkgever op zich? Dan is een verwerkersovereenkomst wél noodzakelijk. De praktijk wordt nog complexer als er sprake is van een eigenrisicodrager.
Beleid en procedures
Het is noodzaak om over specifieke beleid en procedures te beschikken waarin ook aandacht is voor gegevensverwerkingen, zoals een verzuimbeleid en bewaartermijnenbeleid, procedure rechten van betrokkenen en een HR-specifiek privacybeleid. Ook is het een verplichting om “een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen” ter instemming aan de ondernemingsraad voor te leggen op grond van de Wet op de ondernemingsraden.
Conclusie
Kortom, de AVG heeft grote gevolgen voor de HR-afdeling van een organisatie. Vooral als het gaat om de verwerkingen van bijzondere persoonsgegevens. Gegevensverwerkingen binnen het HR-proces mogen daarom niet een ondergeschoven kindje zijn. Serieuze aandacht is nodig om de gegevens van je medewerkers, die de drijvende kracht van je processen en je producten zijn, te beschermen. Naleving van de regelgeving is cruciaal, niet alleen om aan de wet te voldoen, maar ook om de privacy en rechten van medewerkers te waarborgen. HR-professionals moeten zich bewust zijn van hun rol en verantwoordelijkheid bij het verwerken van persoonsgegevens en moeten continu werken aan bewustwording en naleving binnen de organisatie. Zo laat je zien verantwoord met hun gegevens om te kunnen gaan en zorg je voor behoud van vertrouwen in je organisatie.
De takeaways zijn om de HR-professional en de privacy professional samen te laten werken, een volwassenheidsmeting te laten uitvoeren op de HR-afdeling, op basis daarvan een roadmap met prioritering op te stellen en parallel hieraan, aan de slag te gaan met de uitvoering van DPIA’s met als startpunt een DPIA op het verzuimproces.
Meer weten over de AVG en HR? Neem deel aan onze break out sessie ‘Privacy & Security: Privacy & HR’ op het Dataprotectie & Privacy Actualiteitencongres van Outvie.
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Download de brochure
Share