Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG – Deel VI: Privacy op de werkvloer

19 maart 2018Informatiemaatschappij, Overige onderwerpen

Vanaf 25 mei dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. Met nog iets meer dan twee maanden te gaan tot de regels van de AVG van toepassing worden, kijken we in dit zesde deel kort naar privacy op de werkvloer.

Rechtsgrondslag voor verwerken

De verwerkingen die een decentrale overheid in het kader van een arbeidsrelatie uitvoert, moeten ook voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG). Een werkgever moet vaak persoonsgegevens van werknemers verwerken op grond van een wettelijke plicht en de noodzakelijkheid om een overeenkomst uit te voeren (artikel 6 lid 1 onder b en c). In artikel 88 van de AVG wordt bepaald dat de lidstaten zelf bij wet of collectieve overeenkomst nadere regels kunnen vaststellen voor het verwerken van persoonsgegevens in het kader van de arbeidsverhouding. In het advies over de Uitvoeringswet AVG heeft de Autoriteit Persoonsgegevens (AP) daarbij aangegeven dat met name over de verwerking van gezondheidsgegevens meer duidelijkheid van de Nederlandse wetgever gewenst was. In de Uitvoeringswet AVG is echter besloten nog geen gebruik te maken van deze ruimte, omdat de regels van de AVG geacht worden voldoende duidelijk te zijn.

Daarnaast staat in artikel 9 lid 2 onder b AVG dat ook bijzondere persoonsgegevens mogen worden verwerkt wanneer dit noodzakelijk is ter uitvoering van onder andere een arbeidsrechtelijke plicht. Volgens artikel 9 lid 4 AVG kunnen de lidstaten voor de verwerking van onder andere gegevens over gezondheid bijkomende voorwaarden invoeren. Daar is middels artikel 30 Uitvoeringswet gebruik van gemaakt. Het verbod om gegevens over gezondheid te verwerken is bijvoorbeeld niet van toepassing wanneer dit gebeurt door een werkgever en de verwerking noodzakelijk is om werknemers bij ziekte of arbeidsongeschiktheid te re-integreren of begeleiden. In de Memorie van Toelichting van de Uitvoeringswet AVG wordt daarbij als voorbeeld genoemd dat gegevens over de medische achtergronden van arbeidsongeschiktheid niet door de werkgever mogen worden verwerkt. Enkel het feit dat iemand arbeidsongeschikt is, de mate waarin en de periode van arbeidsongeschiktheid mogen worden verwerkt. Deze benadering verschilt inhoudelijk niet van de bepalingen onder de Wet bescherming persoonsgegevens (Wbp).

Toestemming

Zoals reeds is gebleken uit de behandeling van de verwerkingsbeginselen, is de rechtsgrondslag voor het geven van toestemming door de betrokkene voor het verwerken van zijn of haar persoonsgegevens aangescherpt. Toestemming moet vrijelijk gegeven kunnen worden, de betrokkene moet goed geïnformeerd zijn en de toestemming moet specifiek gegeven worden voor de desbetreffende verwerking(en). Uit de opinie over gegevensbescherming op de werkvloer van de Artikel 29-Werkgroep, waar alle nationale toezichthouders in verenigd zijn, bleek dat dit ook afhankelijk is van het bestaan van een machtsverhouding. Net zoals wordt aangenomen dat toestemming eigenlijk niet vrijelijk gegeven kan worden wanneer er sprake is van de relatie tussen een overheidsorganisatie en burger, geldt dit ook voor de relatie tussen werkgever en werknemer. Het is dus aan te raden altijd eerst te zoeken naar een andere rechtsgrondslag voor verwerking, voordat een werkgever zich op toestemming uit artikel 6 lid 1 onder a beroept. Wanneer een werkgever persoonsgegevens van zijn werknemers op basis van toestemming verwerkt, zal deze goed moeten documenteren dat deze toestemming vrijelijk, geïnformeerd en specifiek gegeven is en er geen druk van de werkgever uit is geoefend. Een voorbeeld hiervan is dat de uitvoering van een overeenkomst bijvoorbeeld niet afhankelijk mag zijn van het geven van toestemming voor een andere verwerking, die niet noodzakelijk is voor de uitvoering van de overeenkomst.

Gerechtvaardigde belangen

Daarnaast is in het eerdere AVG deel over de verwerkingsbeginselen genoemd dat een overheidsorganisatie zich niet kan beroepen op het behartigen van haar gerechtvaardigde belangen, in de uitvoering van haar taken (artikel 6 lid 1 onder f AVG). Een overheidsorganisatie kan zich hier wel op kan beroepen wanneer zij typisch bedrijfsmatige handelingen verricht. Een decentrale overheid gedraagt zich in dat geval namelijk niet anders dan een private partij.

Rechten van betrokkene

Daarnaast moet de werkgever tegenover zijn medewerkers ook de rechten van de betrokkene garanderen. Het recht op informatie en het recht op inzage zijn hierbij het belangrijkste voor decentrale overheden. Medewerkers moeten goed geïnformeerd worden over de verwerking van hun persoonsgegevens. Daarbij moet de werkgever bijvoorbeeld aangeven voor welk doel de persoonsgegevens verwerkt worden en hoe lang deze worden bewaard. Voor decentrale overheden is het daarom belangrijk na te gaan of in hun personeelshandboek de relevante bepalingen zijn aangepast naar de normen uit de AVG. Wanneer een organisatie geen personeelshandboek heeft, moet de werknemer op een andere manier op zijn rechten gewezen worden om te voldoen aan de informatieplicht van de verwerkingsverantwoordelijke jegens de betrokkene. Ook kan de werknemer straks een kopie van de persoonsgegevens die de werkgever van hem verwerkt opvragen. Hierbij kan dus gedacht worden aan de persoonsgegevens in het personeelsdossier. Het slechts een werknemer zijn personeelsdossier laten inzien, zoals onder de Wbp veel gebruikt wordt, zal straks niet meer voldoen aan de vereisten van de AVG.

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIdeel IIIdeel IV, deel V & deel VII van onze reeks over de AVG. Werkt u voor een decentrale overheid of het Rijk en heeft u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Juliëtte Fredriksz, Europa decentraal

Bron:

De Algemene Verordening Gegevensbescherming

Meer informatie:

Privacy, themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Rechten van de betrokkene, Europa decentraal
Advies Uitvoeringswet AVG, Autoriteit Persoonsgegevens
Controle van personeel, Autoriteit Persoonsgegevens
Privacy: Wat is de verhouding tussen maatregel informatiebeveiliging en mogelijkheid monitoren internetverkeer medewerker?, Praktijkvraag Europa decentraal
Opinie: gegevensbescherming op de werkvloer, Artikel 29-Werkgroep

X