Personeel & Privacy: 4x Fout!
In ons artikel over het 4-jarig bestaan van de AVG, haalden we al een aantal veelgemaakte vergissingen op het gebied van Privacy aan. In dit artikel zoomen we daar dieper op in, zodat je met meer context nóg beter AVG compliant aan de slag kunt in je organisatie.
De blinde vlek vooraf
Voordat we een aantal veelgemaakte vergissingen met je doornemen, zien we helaas nog vaak dat er op hoofdniveau een belangrijke blinde vlek bestaat. Klantprocessen AVG compliant inrichten, dat gaat gelukkig bij steeds meer bedrijven steeds beter en wordt ook steeds belangrijker bevonden. Een begrijpelijke focus, want privacy incidenten leiden uiteindelijk tot ontevreden klanten, reputatieschade en omzetverlies. Maar wat is dan die blinde vlek? Je (ex-)personeel. Want óók de gegevens van je medewerkers moeten goed worden beschermd. De gegevens van je sollicitanten. Van voormalige collega’s. En hoe zit het eigenlijk met hun accounts in je systemen?
Gegevens bewaren
Allereerst bestaan er wettelijk vastgestelde bewaartermijnen voor persoonsgegevens. Die verschillen per type data, zoals blijkt uit dit overzicht:
Medewerkersgegevens; gedurende arbeidsovereenkomst (zorg voor actualiteit)
Medewerkersgegevens; uit dienst – 7 jaar voor: salarisstroken, afspraken over salaris en arbeidsvoorwaarden.
Medewerkersgegevens; uit dienst – 5 jaar voor: loonbelastingverklaring en kopie ID
Medewerkersgegevens; uit dienst – direct of 2 jaar voor: alle overige info, zoals: sollicitatiebrief, overzichten van vakantie, getuigschriften, overzichten van ziekteverzuim, verslagen van functioneringsgesprekken, etc.
Sollicitatiegegevens – uiterlijk 4 weken na einde sollicitatieprocedure
Sollicitatiegegevens – een jaar na einde sollicitatieprocedure (met toestemming van sollicitant)
Medische gegevens door een behandelend arts – 20 jaar na einde behandeling.
Waar wettelijke bewaartermijnen niet gelden, kun je als bedrijf zelf vaststellen hoe lang je gegevens bewaart. Misschien is voor jouw organisatie het bewaren van twee jaar aan werknemersinformatie helemaal niet relevant en heb je aan één jaar voldoende. Het staat je altijd vrij om binnen de wettelijke termijnen scherper te handelen, om de hoeveelheid privacygevoelige data in je organisatie tot een minimum te beperken.
Helaas zien we vaak dat het op deze punten nog niet lekker loopt bij organisaties. Of omdat de wettelijke termijnen overschreden worden, of omdat de scherpere termijnen uit eigen bedrijfspolicies niet worden nageleefd. Simpel gesteld: dat er in de praktijk niet wordt gedaan, wat er beloofd wordt.
Say cheese!
We kennen het allemaal wel op onze bedrijfswebsite, bij het kopje ‘over ons’: foto’s van je stralend lachende collega’s. Maar is die lachende collega ook akkoord gegaan met de plaatsing van die foto op de website? Of voor het gebruik ervan op Social Media? Alhoewel veel bedrijven denken dat dit iets is waar het bedrijf zelf over kan beslissen, zonder de medewerker te informeren: schriftelijke toestemming is wel degelijk noodzakelijk. Beschrijf duidelijk aan welke eisen de toestemming moet voldoen. En maak met elkaar óók afspraken over wat er gebeurt als de werknemer uit dienst gaat. Dat dat verstrekkende gevolgen kan hebben, blijkt bijvoorbeeld uit deze case bij Coolblue, waarbij een medewerker zijn portret niet meer op de bezorgbusjes wilde hebben.
Afspraken over het gebruik van beeldmateriaal en de duur van dat gebruik, vallen dus óók onder de afspraken die je met elkaar maakt over een correcte omgang met persoonsgegevens. Staat het bij jou al in de arbeidsovereenkomsten?
Privacy statement
De nieuwe website gaat live, of er komt weer een audit rondje aan voor een ISO-norm: meer dan eens de aanleiding om even snel het Privacy Statement op de website te verversen. Mooi, dan ben je al verder dan bedrijven die dit statement überhaupt niet aanbieden op de website. Maar het zegt natuurlijk nog niets over de kwaliteit van het document zelf.
Wij zien vaak dat in het document de juiste contactgegevens ontbreken om vragen omtrent privacy te kunnen stellen. We horen het je denken: ‘Dan stuur je toch wat naar info@? Dan komt het wel terecht.’ Helaas. De Autoriteit Persoonsgegevens beboet organisaties die geen loket voor Privacy inrichten, of die in het Privacy Statement nalaten een contactpersoon hiervoor te benoemen. Zo gebeurde dat vorig jaar bijvoorbeeld nog bij familie database LocateFamily.com. Het statement zelf moet bovendien makkelijk te vinden zijn op je website.
Verder van belang: voor wie schrijf je het Privacy Statement? Het moet begrijpelijk opgesteld worden voor jouw doelgroep. In de taal van je doelgroep. Heel letterlijk: TikTok ontving een boete, omdat zij voor de Nederlandse markt alleen een Engelstalig privacy statement beschikbaar stelden.
Wat verder vaak mist, is het stukje screenen bij sollicitaties. Vermeld daarbij dat je als werkgever eventueel de sollicitant kan opzoeken op Linkedin, Facebook en andere Sociale Media bronnen. Als je dit als werkgever niet vermeldt, dan ben je in overtreding van de AVG.
Verwerkersovereenkomst
Wat voor het Privacy Statement geldt, zien we ook vaak bij de verwerkersovereenkomst. Dus; het ontbreken ervan óf een onvolledige versie. Dat ontbreken gebeurt al snel, want je hebt een verwerkersovereenkomst nodig, als je een andere organisatie de opdracht geeft om persoonsgegevens te verwerken. Een overeenkomst waar jij mede voor verantwoordelijk bent. Denk daarbij aan je CRM software, je salarisverwerking of een Social Media tool.
Vaak is de overeenkomst er gelukkig wel, maar dan onvolledig. En ook dat levert een boete op. Die onvolledigheid komt dan voort uit dat er meer gegevens worden uitgewisseld dan waar de verwerkersovereenkomst over rept. En dat komt dan vaak weer doordat samenwerkingen over de tijd evolueren. De uitwisseling van gegevens groeit, omdat dat voordelen oplevert voor het bedrijfsproces. Prima, maar zaak dus om de verwerkersovereenkomst mee te laten groeien met deze ontwikkelingen. Dat is een kwestie van periodiek kritisch reviewen: dekt de overeenkomst nog de lading? Of zijn we meer gaan doen? Minder kan natuurlijk ook.
AVG Compliant met MnP
Met onze Privacy Hub, helpt MnP Solutions je organisatie om compliant te zijn met de AVG. Vanzelfsprekend is het fijn om op die manier boetes te voorkomen, maar daarnaast zorgen we er samen voor dat je weer grip ervaart op het thema Privacy. En dat geeft echt meer rust dan het geweken gevaar voor boetes alleen. Je voorkomt namelijk ook reputatieschade. En die is misschien nog wel schadelijker dan een boete.
Samen kijken naar een AVG proof beleid voor jouw organisatie? Neem dan contact op met privacy@mnpsolutions.nl, dan kijken we samen naar een nóg betere inrichting van je Privacy gerelateerde processen.