Veelgestelde vragen over de wet AVG

Laatste update: 23 mei 2018, 14:39

Vanaf 25 mei treedt de wet AVG in werking, ook wel de nieuwe privacywet genoemd. Bij de Werkgeverslijn worden veel vragen gesteld over deze wet. Vorige maand stond de wet centraal tijdens ons thema van de maand. Deze pagina vindt u hier. Hier treft u bijvoorbeeld een tien stappenplan en een bijbehorende uitleg aan.

Op onze themapagina leest u dat de wet eigenlijk uit drie onderdelen bestaat: ondernemers moeten nadenken over de doelstelling, transparantie en beveiliging van de persoonsgegevens die ze bewerken. Lees op de themapagina meer over deze drie onderdelen.

Praktische vragen

Bij de Werkgeverslijn worden momenteel veel vragen gesteld over de wet AVG. We hebben een aantal veel gestelde vragen met antwoorden voor u op een rij gezet. Dit is onze interpretatie van de wet, we hebben hier zoveel mogelijk een praktische draai aan gegeven. De informatie is met name gericht op werkgeverschap.

De kennis rond de AVG is sterk in ontwikkeling en we hebben met grote zorgvuldigheid praktische antwoorden geformuleerd. U kunt hier geen rechten aan ontlenen. Voor de exacte regels verwijzen we naar de site van de autoriteit persoonsgegevens. Op deze site staat veel juridisch getoetste informatie.

1.       Moet ik nu concreet iets op papier zetten? En zo ja, wat dan?

Dat is inderdaad verstandig. Iedereen die persoonsgegevens verwerkt heeft met de nieuwe wetgeving te maken. Verwerken is daarin een breed begrip; het opslaan van persoonsgegevens en zelfs het wissen ervan vallen onder verwerken. Elk bedrijf bewaart wel gegevens van bijvoorbeeld klanten, personeelsleden etc. in bestanden. U kunt dit in twee stappen doen:

1. Zet zelf eerst op een rij welke gegevens u bewaart en waarom u dit doet. Denk erover na met welk doel u gegevens bewaart. Is er geen doel? Vernietig dan de gegevens. Tevens geeft u aan wat u doet om te voorkomen dat de gegevens door onbevoegden kunnen worden ingezien.
2. Maak vervolgens een privacy verklaring (ook wel privacy statement genoemd). Hierin beschrijft u:

• Welke gegevens u bewaart
• Met welk doel bewaart u deze gegevens (bijvoorbeeld: om te voldoen aan geldende wet- en regelgeving)
• Wat u doet om deze gegevens te beveiligen (bijvoorbeeld: de gegevens staan op een beveiligde computer, en indien er sprake is van een datalek wordt dit gemeld bij de Autoriteit Persoonsgegevens)

2.       Is er een format voor zo’n privacyverklaring?

Vanuit de Werkgeverslijn hebben we geen standaard format. We raden u aan om zelf een verklaring op te stellen met de gratis privacyverklaring generator. Dit kost u ongeveer een half uurtje werk. Deze verklaring kunt u vervolgens delen met uw personeel (uitdelen, in het personeelsreglement opnemen, ophangen in de kantine, delen op uw website). U vindt de generator hier: https://veiliginternetten.nl/privacyverklaring/ .

3.       In het stappenplan staat dat ik moet vastleggen wat ik van mijn werknemers verwacht omtrent het zorgvuldig omgaan met gegevens. Geldt dat voor alle werknemers?

Dat geldt alleen voor de werknemers die bevoegd zijn om met de gegevens werken, zoals uw werknemer die verantwoordelijk is voor de personeelsadministratie. Werknemers die niets met de gegevens te maken hebben mogen hier ook niet bij kunnen.

4.       Moeten mijn werknemers ergens voor tekenen? En zo ja, waarvoor dan?

Nee, dat hoeft in het kader van de AVG niet, zolang u naar uw werknemers helder bent welke gegevens u bewaart en wat u er mee doet. Van werknemers mag u wel meer gegevens bewerken dan van anderen. Zo moet u bijvoorbeeld het BSN van uw werknemers hebben omdat er een koppeling is met de salarisverwerking. Dat geldt uiteraard niet voor uw klanten. U voldoet aan de eisen van de Wet AVG, indien:

• Er een duidelijk doel is waarom u de gegevens bewerkt,
• U ervoor zorgt dat alleen bevoegden de gegevens mogen zien,
• En u transparant bent over wat u met de gegevens doet. Deze transparantie biedt u middels het delen van de privacyverklaring.

5.       Ik bewaar de gegevens van mijn werknemers op een computer die met een wachtwoord beveiligd is. Is dat voldoende?

Wij denken dat dat het onderdeel “zorgvuldig omgaan met” daarmee voldoende is afgedekt voor de werknemersgegevens. U mag uiteraard niet meer gegevens bewaren dan u nodig heeft om een goede werkgever te zijn en u moet helder zijn wat u met de gegevens doet.

6.       Ik bewaar de loonstroken van mijn werknemers, omdat ze die soms kwijtraken en dan bij mij opvragen. Daarnaast gebruik ik ze voor mijn eigen boekhouding. Mag ik deze bewaren?
Ja, dat mag. Zorg er wel voor dat ze niet voor anderen toegankelijk zijn (bewaar ze bijvoorbeeld in een afgesloten kast of in een beveiligde map op uw computer). Informeer uw werknemers dat u dit doet.

7.       Hoelang mag ik een kopie van een paspoort / ID van mijn werknemer veilig bewaren?

U moet deze 5 jaar bewaren, vanaf het moment dat de werknemer uit dienst is gegaan. Dit is een verplichting van de Belastingdienst.

8.       Mag mijn accountant nog gegevens naar mij sturen, zoals ingevulde arbeidsovereenkomsten?

Dat mag, maar u moet de accountant wel toestemming geven om die gegevens te bewerken en u moet daar ook eisen aan stellen. Denk hierbij ook aan zaken als doelbinding en zorgvuldigheid. U dient een verwerkingsovereenkomst met uw accountant af te sluiten zodat zij namens u de gegevens mogen bewerken. Veel accountantskantoren hebben hier formulieren voor die hun klanten moeten ondertekenen. Heeft u hier nog niets voor getekend? Informeer hiernaar bij uw accountant.

9.       Moet ik ook afspraken maken met mijn uitzendbureau?

Dat lijkt ons verstandig, u wisselt waarschijnlijk met uw uitzendbureau persoonsgegevens van de uitzendkrachten uit. Heeft u hier nog niets voor getekend? Informeer hiernaar bij uw uitzendbureau.

10.   Ben ik verplicht om mijn werknemer zijn personeelsdossier te laten inzien als hij dat wil?
Ja, zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/personeelsdossiers

11.   Moet ik een adviesbureau inhuren om me te helpen op dit thema? Ik hoor en zie veel reclames van bureaus.
Dat kan, maar wij denken dat de meeste agrarische werkgevers het ook zelf kunnen. Wees dus kritisch op de gegevens die u bewaart, en doe dit alleen met gegevens die u met een duidelijk doel nodig heeft. Ga veilig en zorgvuldig om met deze gegevens. En wees transparant door een privacyverklaring op te stellen. Als u deze stappen heeft genomen, dan heeft u aan alle verplichtingen voldaan.