AVG: Algemene verordening gegevensbescherming

AVG staat voor Algemene verordening gegevensbescherming, deze wet is sinds 25 mei 2018 in de hele Europese Unie van toepassing. De huidige Wet, Wet bescherming persoonsgegevens (Wbp), geldt dan niet meer.
In de hele EU is de AVG vooral bekend onder de Engelse naam: General Data Protection Regulation, oftewel GDPR.

Veranderingen voor organisaties door AVG

De AVG is met name in het leven geroepen om privacyrechten te versterken en uit te breiden en om zo voor heel Europa dezelfde regels te laten gelden. Voor organisaties houdt dit onder andere het volgende in:

  • Er ligt meer nadruk op de verantwoordelijkheid van organisaties. Zo moet u als organisatie nog beter als voorheen aan kunnen tonen dat u zich aan de wet houdt. Organisaties hebben hierin een verantwoordingsplicht. Hiermee dient een organisatie met documenten aan te kunnen tonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de nieuwe wetgeving te voldoen.
  • Verwerkingen van persoonsgegevens hoeven niet meer gemeld te worden bij de Autoriteit Persoonsgegevens.
  • Sommige organisaties zijn verplicht een gegevensbeschermingseffectbeoordeling uit te voeren. In het Engels heet dit de Data protection impact assessment (DPIA). De DPIA is een instrument vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens de nodige maatregelen te nemen om risico’s te verkleinen.
  • Sommige organisaties zijn verplicht een functionaris gegevensbescherming (FG) aan te stellen. Een FG is iemand die binnen een organisatie toezicht houdt op de juiste toepassing en naleving van de AVG.
  • Indien uw organisatie in meerdere EU-lidstaten actief is, heeft u, doordat de nieuwe wet voor de hele EU geldt, minder administratieve en nalevingskosten, meer rechtszekerheid en hoeft u nog maar met één toezichthouder zaken te doen.
Veelgestelde vragen

Voor veel antwoorden rondom de AVG kunt u terecht op de website van Autoriteit Persoonsgegevens. Hiernaast hebben we ook enkele veelgestelde vragen die betrekking hebben op onze dienstverlening onderstaand op een rijtje gezet.

PRO HRM biedt werkgevers met de onderstaande informatie handvatten voor de toepassing van de Algemene verordening gegevensbescherming (AVG). Wij bespreken hierin geen uitzonderingen of bijzondere gevallen. We verwijzen u daarvoor door naar de website van de Autoriteit Persoonsgegevens.

AVG | Vraag en antwoord

Hoe gaat PRO om met de AVG?

Als juridisch werkgever zijn wij dagelijks bezig met de verwerking van persoonsgegevens. Wij nemen de privacywetgeving daarom uiteraard zeer serieus. Niet voor niets is onze interne privacy-projectgroep in 2017 en 2018 voor een lange periode druk bezig geweest met de doorvoering van deze wetgeving, zodat we nu volledig aan alle nieuw gestelde eisen voldoen. U kunt hierbij denken aan een AVG Compliance Check, maar ook aan maatregelen om uiteindelijk geheel ISO 27001 gecertificeerd te zijn. Op deze manier staan wij er garant voor dat we uw gegevens en die van uw medewerkers, nu en in de toekomst, veilig kunnen borgen.

We gebruiken voor het verwerken van (persoons)gegevens diverse systemen, zoals het verloningssysteem. Om de privacy van deze gegevens te waarborgen en optimaal te beschermen, hebben we met de betreffende leveranciers een verwerkersovereenkomst afgesloten.

Geldt de AVG ook voor kleine organisaties en zzp’ers?

Ja, deze wetgeving geldt voor alle organisaties en zzp’ers die te maken hebben met persoonsgegevens en deze verwerken. Denk hierbij bijvoorbeeld aan het bijhouden van afspraken van opdrachtgevers, telefoonnummers of personeelsinformatie.

Wat zijn persoonsgegevens?

Met persoonsgegevens spreken we over alle gegevens waarmee je een persoon kunt identificeren. Denk hierbij aan NAW-gegevens, e-mailadressen, telefoonnummers, personeelsnummers, geboortedata, geslacht, nationaliteit, werkervaring, opleidingen, IP-adressen, logingegevens (Bron: Handreiking privacy, ABU).

Wat wordt verstaan onder verwerken?

Onder verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens verstaan. Voorbeelden hiervan zijn: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen (Bron: Handreiking privacy, ABU).

Welke persoonsgegevens mag u verwerken?

Als u het juridische werkgeverschap uitbesteedt bij PRO, mag u enkel gegevens tijdens het sollicitatieprocedure verwerken. Dit mogen tevens enkels gegevens nodig zijn voor de arbeidsbemiddeling.

  • Sollicitatiegegevens: zoals NAW-gegevens, contactgegevens, relevante werkervaring en opleiding van de sollicitant mogen worden verwerkt.
  • Kopie van identiteitskaart: deze mag niet worden gevraagd bij de sollicitatieprocedure.
  • Het burgerservicenummer (BSN): mag enkel worden gevraagd indien u wilt controleren of de sollicitant valt onder de doelgroep van de Wet banenafspraak en quotum arbeidsbeperkten. Een BSN is hierbij nodig om deze informatie op te vragen bij het UWV.

Voor uitzonderingen of bijzondere gevallen verwijzen wij u door naar de Autoriteit Persoonsgegevens “Sollicitaties”.

Enkel wanneer de betreffende medewerker in dienst komt bent u, wanneer u het juridisch werkgeverschap uitbesteedt bij PRO, verantwoordelijk om de sollicitatiegegevens en de gegevens die op het kopie van het identiteitsbewijs staan aan te leveren aan PRO. Op deze manier kunnen wij, als juridisch werkgever, deze persoonsgegevens verwerken wanneer de medewerker werkzaam is.

Welke persoonsgegevens verwerkt PRO?

PRO verwerkt de gegevens van een medewerker wanneer die werkzaam is of werkzaamheden heeft verricht. In deze situaties zijn wij (voormalig) juridisch werkgever. Het is hierbij onze taak om volgens de wet- en regelgeving van de AVG de volgende gegevens te registeren en verwerken.

  • Contactgegevens: NAW-gegevens, e-mailadres en telefoonnummer, geboortedatum, leeftijd, geslacht, burgerlijke staat en nationaliteit.
  • Het burgerservicenummer (BSN): voor het verwerken van onder andere het uitvoeren van (inhoudelijke) loonbelastingen, salaris en pensioenadministratie en gegevensverstrekking aan het UWV.
  • Kopie van het identiteitsdocument (en verblijfsvergunning): om de identiteit en nationaliteit vast te stellen en te voldoen aan de wettelijke plicht om een kopie te bewaren voor de loonadministratie. Een kopie van het ID-document wordt voor aanvang van de werkzaamheden opgenomen in de administratie.
  • Ziekteverzuim en gezondheidsgegevens: gegevens over onder andere de vermoedelijke duur van het verzuim mogen door ons worden verwerkt. Aard en oorzaak van het verzuim mogen zowel wij als u niet opnemen in de administratie, ook niet wanneer een werknemer hier vrijwillig informatie over geeft. Er dient enkel kennis te worden opgenomen van de functionele beperkingen (wat de werknemer wel en niet kan).

Wanneer u het juridisch werkgeverschap uitbesteedt bij PRO mag u deze gegevens dus niet verwerken. Uiteraard worden deze gegevens goed beschermd door PRO en worden alleen doorgegeven aan leveranciers ten behoeve van de uitvoering van de dienstverlening. Wij zullen tevens persoonsgegevens doorgeven indien we hiertoe verplicht zijn, denk hierbij aan een gerechtelijk bevel of een rechterlijk vonnis.

Welke persoonsgegevens mag u bewaren en voor hoelang?

Wanneer een sollicitant de functie binnen uw organisatie niet heeft gekregen, dient u de gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure te verwijderen. Een sollicitant kan zelf toestemming geven om de gegevens langer te bewaren, omdat er bijvoorbeeld in korte tijd een vergelijkbare functie vrijkomt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

Welke persoonsgegevens bewaart PRO en voor hoelang?

Als (voormalig) juridisch werkgever zijn wij verantwoordelijk voor de bewaartermijnen van persoonsgegevens. Deze gegevens mogen maximaal twee jaar worden bewaard.

Een aantal gegevens zullen door het wettelijke minimumbewaartermijn langer worden bewaard. Voor de administratie die noodzakelijk is voor de controle op de rijksbelasting en vennootschappelijke administratieplicht geldt een bewaartermijn van zeven jaar. ID-bewijzen en loonheffingskortingen dienen ten minstens vijf jaar te worden bewaard na het einde van het kalenderjaar waarin de dienstbetrekking is geëindigd.

Wanneer u het juridische werkgeverschap uitbesteedt bij PRO, mag u in het kader van de nieuwe wet- en regelgeving van de AVG deze gegevens dus niet bewaren.

Wanneer wordt er gesproken over bijzondere persoonsgegevens?

Er wordt van bijzondere persoonsgegevens gesproken, zodra uit deze gegevens naar voren komt wat iemands etnische afkomst is, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid, strafrechtelijk gedrag, seksuele leven of het lidmaatschap van een vakbond. Ook genetische gegevens en biometrische gegevens voor unieke identificatie van een persoon vallen hieronder.

Als werkgever kunt u hiermee te maken krijgen door het gegeven dat een medewerker of sollicitant een hoofddoek draagt, een pasfoto met gegevens over huidskleur of afkomst of een reden van ziekmelding van een medewerker. Deze persoonsgegevens mogen in principe niet verwerkt worden, mits een wettelijke uitzondering van toepassing is en het strikt noodzakelijk is om ze hiervoor te verwerken (Bron: Handreiking privacy, ABU). Meer informatie hierover staat op de website van de Autoriteit Persoonsgegevens.

Beschikt PRO over een functionaris voor de gegevensbescherming (FG)?

Ja, PRO heeft een FG aangesteld. Dit is iemand die binnen PRO toezicht houdt op de toepassing en naleving van de AVG.