Werkgever: bescherm je werknemergegevens

De deadline van 25 mei 2018 voor implementatie van de nieuwe Europese privacy-verordening (Avg) lijkt nog ver weg, maar komt nu toch echt dichtbij.

In 1989 trad de eerste privacy-wet in Nederland in werking. De eerste Europese richtlijn stamt uit 1995. De basisprincipes uit die wetgeving vormen nog steeds de kern van de nieuwe Avg. Data minimalisatie, right-to-be forgotten, informatieplichten en bewerkersovereenkomsten stonden altijd al in de wet.

Het recht op bescherming van persoonsgegevens is dus niet nieuw. Omdat bedrijven, overheid en werkgevers veel persoonsgegevens verzamelen en (soms ook moeten) registreren, zijn er principes en regels bedacht om de privacy maximaal te beschermen. Die gebruikers en ‘verzamelaars’ van die gegevens worden daarmee ter bescherming van burgers, klanten en personeel, beperkt in het gebruik dat ze van die gegevens mogen maken. Dat voorkomt bijvoorbeeld privacy-diefstal, identiteitsfraude of dat gevoelige persoonsgegevens op straat komen te liggen.

Veel bedrijven hebben de privacybescherming nog niet op orde en moeten dus snel aan de slag. Het is een essentieel onderdeel van het bedrijf, net als het voldoen aan financiële wetgeving of milieunormen. Noem het dat bedrijven en dus ook werkgevers hun privacy-boekhouding op orde moeten hebben op 25 mei 2018.

Werkgevers moeten daarbij vooral denken aan juist omgaan en beschermen van de persoonsgegevens die zij op basis van wet of contract moeten verstrekken aan externe partijen. Denk hierbij vooral aan de salarisadministrateur, de arbodienst en de verzuimverzekeraar.

Gegevens omtrent een zieke werknemer vragen van werkgevers bijzondere aandacht. Want daarbij is volgens de wet- en regelgeving sprake van gegevens waaraan een hoog risico voor de werknemer kleeft. Veel werkgevers zullen het zich (nog) niet bewust zijn, maar van de zieke werknemer mag de werkgever bijvoorbeeld niet vragen naar de aard en oorzaak van de ziekte en dat mag ook nergens worden opgeschreven. Verder mag de werkgever de diagnose of klachten van de zieke werknemer nergens vastleggen, net als gegevens over therapieën en behandelaren. Onze ervaring is dat werkgevers dat in de praktijk wel doen, al was het maar om de personeels- of poortwachter adviseur zijn werk te kunnen laten doen. Maar officieel zijn die vragen en vastleggingen dus niet toegestaan.

De Autoriteit Persoonsgegevens (AP) ziet nu al toe en zal naar verwachting de komende periode nog strenger toezien op naleving van de privacy-regelgeving. Overtredingen kunnen vanaf mei 2018 forser beboet worden dan nu: maximaal € 20.000.000 (of 4% van de wereldwijde omzet als dat tot een hoger boetebedrag leidt). Aan daadwerkelijke boete-oplegging gaan vanuit de AP naar verwachting eerst nog wel waarschuwingen vooraf en verzoeken om zaken te veranderen. Maar het is dus wel (nood)zaak om de komende tijd serieus aandacht te geven aan de voorschriften, instructies en beperkingen die de Avg gaat stellen aan de bescherming van persoons- en in het bijzonder werknemergegevens.

Zoek dichtstbijzijnde locatie

Vul een plaats of postcode in om de dichtstbijzijnde locatie te vinden.