Privacy op de werkvloer deel II

In deel I van dit drieluik ben ik ingegaan op de strenge eisen die de Algemene Verordening Gegevensbescherming (hierna te noemen: “AVG”) aan u als werkgever stelt. In dit deel bespreek ik welke persoonsgegevens, voor welk doel, verwerkt mogen worden.
 
Persoonsgegevens
 
Er is sprake van een ‘persoonsgegeven’ als u via het desbetreffende gegeven de identiteit van een werknemer direct of zonder veel inspanning, vast kan stellen.
De AVG maakt onderscheid tussen algemene persoonsgegevens en bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden strengere eisen dan voor het verwerken van algemene persoonsgegevens. Bij algemene persoonsgegevens kan bijvoorbeeld gedacht worden aan de NAW- gegevens van de werknemer.  
 
Bijzondere persoonsgegevens
 
Onder bijzondere persoonsgegevens worden gegevens verstaan die wat gevoeliger liggen. Het moet gaan om gegevens omtrent:
 

• Politieke voorkeur
  
• Gezondheid
• Seksualiteit
• Lidmaatschap van een vakbond
• Strafrechtelijk verleden

 
Het verwerken van deze bijzondere persoonsgegevens is in principe verboden, tenzij er een wettelijke uitzondering geldt. Deze uitzonderingen zijn te vinden in artikel 9 lid 2 AVG.  
 
Wettelijke grondslagen voor verwerking persoonsgegevens  
 
In de AVG worden vier wettelijke grondslagen genoemd voor de verwerking van persoonsgegevens in zijn algemeenheid;  
 

1. Toestemming van de werknemer is een grond waarop persoonsgegevens rechtmatig doorgevoerd kunnen worden. Met name als het gaat om bijzondere persoonsgegevens is het belangrijk dat de toestemming expliciet door de werknemer gegeven wordt en dat dit gedocumenteerd wordt. Op die manier heeft een werkgever schriftelijk bewijs van de toestemming. Ook moet het doel van de gegevensverwerking duidelijk kenbaar worden gemaakt. Denk hier bijvoorbeeld aan het gebruik van een vingerafdruk om het gebouw in te komen. U kan de werknemer in zo’n geval het beste een schriftelijke verklaring laten afleggen waarin hij expliciet en specifiek toestemming verleent om de vingerafdruk te verwerken. Let u hierbij op dat de toestemming niet te algemeen is en echt specifiek ziet op (in dit geval) de vingerafdruk.
2. De uitvoering van een overeenkomst waar betrokkene partij bij is, kan een rechtmatige grondslag zijn voor het verwerken van persoonsgegevens. Denk hierbij aan de situatie dat het uitvoeren van de overeenkomst niet mogelijk is zonder de gegevens door te voeren. Bijvoorbeeld als iemand lid wil worden van een vereniging waar contributie moet worden betaald. Het IBAN-nummer en de tenaamstelling is dan noodzakelijk om de overeenkomst tot uitvoering te brengen.
3. De noodzaak om aan bepaalde wettelijke verplichting te voldoen is ook een rechtmatige grondslag. Bijvoorbeeld als gegevens ingediend moeten worden bij de belastingdienst omdat er loonbelasting voor een werknemer betaald moet worden.
4. De verwerking van persoonsgegevens kan ook gerechtvaardigd zijn op het moment dat er sprake is van een gerechtvaardigd belang. Bijvoorbeeld als een onderzoek wordt gehouden om te bekijken in welke stad mensen het gelukkigst wonen en voor dit onderzoek postcode en huisnummer vereist zijn. Het belang van de werkgever dient in zo’n geval dus groter te zijn dan dat van de werknemer.

 
In de praktijk
 
Om als werkgever zeker te weten dat u voldoet aan de eisen van de AVG, kan u het beste de volgende drie stappen volgen:
 

1. Inventariseer welke persoonsgegevens tot nu toe verwerkt worden in uw bedrijf
2. Inventariseer welke gegevens daarvan aan te merken zijn als ‘bijzondere’ persoonsgegevens.
3. Inventariseer of de verwerking van de persoonsgegevens berust op een rechtsgeldige wettelijke grondslag. Let op dat de verwerking van de bijzondere persoonsgegevens dienen te vallen onder één van de wettelijke uitzonderingen van artikel 9 lid 2 AVG.

 
Als u tot de conclusie komt dat aan bovenste drie vereisten voldaan is, kan u ervan uitgaan dat u voldoet aan de AVG-vereisten.  
 
Conclusie
 
Om te voldoen aan de eisen die de AVG stelt aan de verwerking van persoonsgegevens, moet u goed kijken of de verwerking berust op een wettelijke grondslag. Daarnaast dient u te beoordelen of de gegevens die u verwerkt, zijn aan te merken als algemene persoonsgegevens of als bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden namelijk strengere eisen. In deel III van dit drieluik zal ik de concrete stappen die u als werkgever moet nemen om te voldoen aan de AVG nog een keer duidelijk op een rij zetten.