Hoe informeer ik mijn werknemers over de omgang met hun persoonsgegevens?

10 mei 2019

Werkgevers zijn volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om hun werknemers te informeren over de omgang met hun persoonsgegevens. Maar hoe voldoe je aan deze informatieplicht? Dit kan met behulp van een interne privacyverklaring. In deze blog leggen wij uit wat een interne privacyverklaring is en wat daarin hoort te staan.


Informatieplicht voor werkgevers onder de AVG

De AVG is duidelijk. Als je persoonsgegevens verzamelt van een persoon, dien je diegene gelijktijdig te informeren over het hoe en wat van de gegevensverwerking. Deze informatie dient eenvoudig toegankelijk en begrijpelijk te zijn. Dit betekent geen ingewikkeld juridisch jargon, maar heldere taal. Het is gebruikelijk en gemakkelijk om alle vereiste informatie op één plek aan te bieden: een zogeheten privacyverklaring, ook wel privacy statement genoemd.

Een werkgever verwerkt altijd persoonsgegevens van werknemers. Bijvoorbeeld om een personeelsdossier aan te leggen, de salarissen uit te betalen, verzuim te registeren en het pand te beveiligen. Een werkgever zal zijn werknemers daarom actief moeten informeren over de verwerkingen die (gaan) plaatsvinden op het moment dat hij de gegevens van zijn werknemers verzamelt.

Regelmatig hebben organisaties een privacyverklaring voor klanten en websitebezoekers op de website staan, en denken ze dat daarmee volledig aan de informatieplicht van de AVG is voldaan. Aan het informeren van werknemers wordt simpelweg niet gedacht. Net als klanten en websitebezoekers dienen werknemers te worden geïnformeerd. Wil je als werkgever in lijn handelen met de informatieplicht uit de AVG? Overleg dan een interne privacyverklaring bij aanvang van het dienstverband en zorg dat de privacyverklaring op je website informatie bevat over hoe je omgaat met de gegevens van sollicitanten.

Hoe ziet een interne privacyverklaring eruit?

De informatie dient beknopt, transparant en in duidelijk en eenvoudige taal verstrekt te worden. De interne privacyverklaring ziet er in grote lijnen hetzelfde uit als de privacyverklaring op de website. De wettelijke vereisten zijn immers hetzelfde. Verder dient de interne privacyverklaring in ieder geval de volgende informatie te bevatten:

  • De identiteit en contactgegevens van de werkgever.
  • De soorten persoonsgegevens die worden verwerkt (bijvoorbeeld NAW-gegevens en salarisgegevens).
  • De doelen van de verwerking van persoonsgegevens (bijvoorbeeld uitbetaling van salaris).
  • De grondslag van de verwerking (bijvoorbeeld om de arbeidsovereenkomst uit te voeren, te voldoen aan een wettelijke plicht of wegens een gerechtvaardigd belang).
  • In voorkomend geval een motivering van het gerechtvaardigd belang van de werkgever (bijvoorbeeld voor het monitoren van medewerkers bij een vermoeden van misbruik van bedrijfsgegevens).
  • Wie de (categorieën) ontvangers zijn van de persoonsgegevens (bijvoorbeeld een salarisadministratiekantoor of IT-dienstverlener).
  • Of er gegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (bijvoorbeeld als er gebruik wordt gemaakt van een hostingprovider gevestigd in Amerika) en welke passende waarborgen zijn getroffen (zoals een Privacy Shield certificatie).
  • Hoe lang de werkgever de persoonsgegevens bewaard (bijvoorbeeld het personeelsdossier maximaal 2 jaar na uitdiensttreding en de salarisadministratie 7 jaar na uitdiensttreding wegens de fiscale bewaarplicht).
  • De getroffen beveiligingsmaatregelen (bijvoorbeeld encryptie en tweefactorauthenticatie).
  • De rechten van de werknemers (zoals het recht op inzage, -rectificatie en -verwijdering).

Waar je een interne privacyverklaring vandaan haalt? Met de generator op JuriDox maak je gemakkelijk zelf jouw eigen interne privacyverklaring.

MEER
LEZEN?

AVG

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
ICTRecht

ICTRecht