De werkgever moet werknemers laten weten wat er met hun gegevens gebeurt voordat de werkgever die gegevens daadwerkelijk verwerkt, bijvoorbeeld wanneer een nieuwe werknemer in dienst komt. De personeelsfunctionaris moet dan informatie verstrekken vóór het moment dat de werknemer de nodige formulieren invult voor de personeels- en salarisadministratie.
Dit geldt bijvoorbeeld ook als een werknemer een leaseauto krijgt. Vooraf moet de werknemer dan informatie krijgen over de gegevensverwerking bij autogebruik: welke gegevens worden vastgelegd en met welk doel?
Krijgt de werkgever gegevens niet van de werknemers zelf maar van een andere partij? Dan moet de werkgever de werknemers hierover informeren op het moment dat de werkgever de gegevens vastlegt.
Dataminimalisatie
Persoonsgegevens moeten toereikend zijn, ter zake doen en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Ofwel: je mag niet meer gegevens verwerken dan je echt nodig hebt. Dat heet dataminimalisatie: zo min mogelijk gegevens verwerken.
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om de doeleinden te bereiken waarvoor zij zijn verzameld. Dus: heb je gegevens niet meer nodig? Verwijder ze dan!
Beveiliging
Persoonsgegevens moeten op zo’n manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is. Dat moet gebeuren door passende technische of organisatorische maatregelen te nemen. Hierdoor moeten de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging.
Om het noodzakelijke niveau van beveiliging te bepalen, moet de werkgever een risicoanalyse uitvoeren. Hierbij zijn onder meer de aard van de gegevens en de kring van gebruikers van belang.
Beperkte toegang tot personeelsdossier
De werkgever moet ervoor zorgen dat de toegang tot de persoonsgegevens van betrokkenen wordt beperkt. Dit betekent bijvoorbeeld dat uitsluitend bevoegde werknemers toegang mogen hebben tot personeelsdossiers. Het is van belang dat de werkgever over beveiliging nadenkt voordat hij start met het verzamelen van persoonsgegevens. Beveiliging van persoonsgegevens moet binnen organisaties een blijvend punt van aandacht zijn.
Bij het beantwoorden van de vraag wat een passende maatregel is, moet de werkgever rekening houden met de stand van de techniek.
Een aantal voorbeelden van beveiligingsmaatregelen zijn:
- toegangsbeveiliging met meerfactorauthenticatie (identiteit van gebruiker controleren met minimaal twee verschillende typen authenticatiefactoren);
- registreren wie er toegang heeft gehad tot de gegevens (logging);
- pseudonimiseren van persoonsgegevens.
Datalek
Ook wanneer er passende beveiligingsmaatregelen zijn genomen, kan een datalek ontstaan. Dat houdt in dat er toegang is geweest tot persoonsgegevens of dat de gegevens zijn vernietigd, gewijzigd of vrijgekomen zonder dat dit de bedoeling was van de werkgever of zonder dat dit wettelijk was toegestaan.
De werkgever is verplicht om een datalekregister bij te houden. Is sprake van een ernstig datalek? Dan moet de werkgever dit datalek melden bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook aan de betrokken.
Privacyrechten werknemers
Werknemers hebben verschillende privacyrechten. Hiermee kunnen zij controle houden over hun persoonsgegevens. Zo hebben zij onder meer recht op inzage in hun personeelsdossier. Ook kunnen zij vragen om rectificatie, aanvulling of verwijdering van hun gegevens. Hierdoor kunnen zij zich tegen onjuiste of incomplete gegevens in het dossier verweren.
Gerechtvaardigd belang
Verwerkt de werkgever gegevens op grond van een gerechtvaardigd belang? Dan moet de werkgever de werknemers wijzen op het recht van bezwaar. Werknemers hebben het recht zich te verzetten tegen deze verwerking wanneer zij menen dat hun privacybelang zwaarder weegt dan het belang van de werkgever, bijvoorbeeld als sprake is van bijzondere persoonlijke omstandigheden.
De werkgever mag de gegevens vervolgens niet verwerken als de gerechtvaardigde gronden die de werkgever voor de verwerking aanvoert niet zwaarder wegen dan de belangen van de werknemers. Of als niet duidelijk is of deze gronden zwaarder wegen.
Recht op dataportabiliteit
Tot slot moet de werkgever werknemers de mogelijkheid bieden hun gegevens over te laten dragen. Dit is het recht op dataportabiliteit. Werknemers kunnen hun persoonsgegevens dan in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen. En deze gegevens vervolgens aan een andere organisatie overdragen.
Bron: OR-privacyboekje van Autoriteit Persoonsgegevens
