De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 de uniforme Europese set regels die vastlegt hoe organisaties persoonsgegevens moeten verwerken en beschermen. Naast een overkoepelend beginsel waarbij organisaties moeten kunnen aantonen dat zij aan alle AVG-regels voldoen, bevat de verordening een heel aantal andere basisprincipes.
Mr. Frank Troost, jurist en trainer arbeidsrecht en AVG:
“De AVG bepaalt bijvoorbeeld dat niet alle gegevens mogen worden verwerkt en ook dat gegevens rechtmatig, behoorlijk en transparant moeten worden verwerkt, alleen gebruikt mogen worden voor een duidelijk omschreven doel, verwerking niet verder mag gaan dan nodig is en juist en actueel zijn. Daarnaast mogen ze niet langer worden bewaard dan noodzakelijk en moeten ze goed worden beschermd om vertrouwelijkheid en integriteit te waarborgen.”
Bewustzijn is weggezakt
Troost merkt dat veel organisaties zich minder bewust (lijken te) zijn van AVG-regelgeving dan in 2018, toen de wetgeving volop in de belangstelling stond. In de dagelijkse praktijk wordt daarom nog vaak te vrijblijvend met persoonsgegevens omgegaan.
“Organisaties moeten duidelijk bepalen hoe zij gegevens verwerken en beschermen en welke verantwoordelijkheden bij HR, leidinggevenden en medewerkers liggen.”
Volgens Troost begint privacy bij AVG-bewustzijn en van daaruit alertheid. “Denk bijvoorbeeld aan ziekteverzuim, waar collega’s spontaan informatie delen over de zieke collega. De AVG schrijft voor dat vrijwel niemand deze gezondheidsgegevens mag kennen en delen.”
“Leidinggevenden en directeuren vinden het soms lastig dat ze niet overal bij kunnen.”
– Frank Troost –
Troost benadrukt hoe waardevol AVG‑bewustzijn is, en daarom vormt het een belangrijk onderdeel van zijn trainingen.
“Een kaartje of fruitmand bij ziekte wordt vaak gewaardeerd, maar sommige medewerkers stellen dat juist níet op prijs en beroepen zich op hun privacy. Dat kan botsen met de behoefte van collega’s om betrokken te zijn, maar laat vooral zien hoe belangrijk het is om zorgvuldig met de AVG om te gaan, juist bij iemand die heel lang thuis zit.”
Ook in dagelijkse situaties is alertheid volgens Troost essentieel.
“De privacy is snel in het geding. Denk aan collega’s die kunnen meekijken op elkaars beeldscherm, of aan fysieke personeelsdossiers die in een niet‑afgesloten kast liggen. Gevoelige gegevens over contracten, salarissen of medische zaken liggen dan voor het grijpen.”
Bewaartermijn sollicitaties
Bij sollicitaties gaat het vaak mis met de AVG, vooral rondom bewaartermijnen en toestemming. Standaard mogen sollicitatiegegevens slechts vier weken worden bewaard, tenzij de sollicitant expliciet toestemming geeft om deze langer, tot twaalf maanden, te bewaren. Troost ziet dat dit regelmatig misgaat:
“Organisaties sturen vaak goedbedoelde afwijzingsmails waarin ze melden dat ze de gegevens zullen bewaren, zonder daadwerkelijk toestemming te vragen. Daardoor worden persoonsgegevens ongemerkt te lang of zelfs onrechtmatig vastgehouden. Met duidelijke communicatie en een correcte registratie van toestemming is dat eenvoudig te voorkomen.”
De voorbeelden laten zien hoe belangrijk het is om persoonsgegevens zorgvuldig en bij voorkeur digitaal te beheren, met een duidelijke rollen‑ en rechtenstructuur.
Troost: “Organisaties moeten bijvoorbeeld vastleggen wie toegang heeft tot personeelsdossiers en wie mag muteren of hooguit mag inzien. Die groep moet zo klein mogelijk zijn, in lijn met het AVG‑principe van minimale gegevensverwerking. In kleine organisaties is één bevoegde medewerker vaak genoeg, ook al vinden leidinggevenden of de directie het soms lastig dat zij niet overal bij kunnen. Maar juist vanuit privacy‑oogpunt hoort toegang beperkt te zijn: heeft iemand anders iets nodig, dan levert de medewerker met de juiste autorisatie alleen de strikt noodzakelijke informatie aan.”
Het is belangrijk om steeds opnieuw de balans te vinden tussen het gebruik van persoonsgegevens en het beschermen van privacy.
“Door bewust en zorgvuldig om te gaan met digitale personeelsdossiers, te weten welke gegevens je wel en niet mag delen en goed om te gaan met vertrouwelijke informatie ontstaat een veilige en professionele manier van werken. Zo waarborg je niet alleen de AVG, maar ook het vertrouwen tussen medewerkers binnen de organisatie en richting klanten waarvoor je bijvoorbeeld de salarissen verwerkt of adviseert over beloning en personeelsvraagstukken”, besluit Troost.
Update en upgrade je kennis over personeelsdossiers en AVG
Frank Troost geeft op 11 mei een online cursus over personeel en AVG/privacy. De cursus helpt je om beter en zorgvuldiger om te gaan met (digitale) personeelsdossiers en het beschermen en delen van persoonsgegevens, zodat je privacy correct toepast in je werk.
