Next Level Nieuwsflits - Vier misvattingen over de AVG!

Regelmatig ontvangen wij vragen over de Algemene Verordening Gegevensbescherming (AVG), daarbij komen we regelmatig een aantal misvattingen hierover tegen. Ga jij hiermee ook in de mist?

1. Een toestemmingsverklaring voor het verwerken van persoonsgegevens in de arbeidsovereenkomst is voldoende.
Wanneer persoonsgegevens worden verwerkt op basis van de grondslag toestemming, gelden er een aantal vereisten. Zo mag iemand niet onder druk worden gezet om toestemming te geven. Bij de relatie tussen werkgever en werknemer gaat de wetgever er vanuit dat dit hier niet het geval is, omdat er een gezagsverhouding bestaat tussen de partijen. De grondslag toestemming is dus niet altijd wenselijk tussen werkgever en werknemer. Daarnaast moet er sprake zijn van een actieve handeling, moet de werknemer geïnformeerd worden over de verwerking en moet duidelijk zijn waarvoor toestemming wordt gegeven. Wanneer de toestemming al in de arbeidsovereenkomst is opgenomen, is er geen sprake van een actieve handeling, omdat de toestemming al voor de werknemer is ingevuld.

Bijvoorbeeld: “Werknemer geeft door middel van ondertekening van de arbeidsovereenkomst toestemming om foto’s te plaatsen op haar website”. Deze toestemming voldoet niet aan de vereisten van de AVG en je riskeert zo een boete van de Autoriteit Persoonsgegevens.

2. Werknemers kunnen geen invloed uitoefenen op het voorkomen van datalekken.
De meeste datalekken worden veroorzaakt door menselijke fouten. Het is dus van belang om werknemers te attenderen op het gebied van privacy en de omgang met persoonsgegevens. Dit kan door het opstellen van gedragsregels, bijvoorbeeld in het personeelshandboek. Denk hierbij aan het toekennen van bepaalde rechten, hoe te handelen bij een datalek en regels met betrekking tot de veiligheid van persoonsgegevens.

3. Een werkgever moet alleen het personeel schriftelijk informeren over de omgang en verwerking van persoonsgegevens.
Eén van de verplichtingen uit de AVG is de informatieplicht. De werkgever is verplicht om alle betrokkenen te informeren over de verwerking van persoonsgegevens. Dit betekent dat zowel werknemers, maar ook klanten, opdrachtgevers en overige relaties geïnformeerd moeten worden. Een organisatie kan aan deze informatieverplichting voldoen door een privacyverklaring op te stellen. Ons advies is om deze privacyverklaring op een zo eenvoudig mogelijke manier te integreren in de werkprocessen van de organisatie, zoals het meesturen met offertes.

4. Werkgevers mogen tijdens werktijd controleren op het gebruik van alcohol en/of drugs.
Resultaten van alcohol- en/of drugstests zijn gezondheidsgegevens (en dus bijzondere persoonsgegevens) en mogen alleen verwerkt worden indien daarvoor een wettelijke uitzondering bestaat. Dit is bijvoorbeeld het geval bij piloten en schippers. Nu specifieke wetgeving voor andere risicovolle beroepen ontbreekt is het op basis van de zorgplicht voor werkgevers van belang om een actief HR-beleid te voeren, gericht op het welzijn van de werknemers en de veiligheid op de werkvloer. Voor sommige functies, denk aan het besturen van machines of vrachtwagens, betekent dit dat een werkgever er zorg voor dient te dragen dat de werknemer geen gevaar voor zichzelf of voor anderen vormt. Dit kan worden opgenomen in een HR-beleid met gedragsregels en/of protocollen.
 
Update AVG!
Tot slot heeft de Minister voor Rechtsbescherming de AVG geëvalueerd en enkele wijzigingen in de uitvoeringswet (UAVG) aangekondigd. Zo wordt er overleg gevoerd omtrent het toestaan van het afnemen van alcohol- en drugstesten en wil de regering strenge(re) regels rondom zieke werknemers. Daarnaast wordt er begin 2020 een wetsvoorstel ingediend met enkele concrete wijzigingen, bijvoorbeeld indien dit noodzakelijk is voor beveiligingsdoeleinden (zoals toegang tot een gebouw door middel van een vingerafdrukscan). Ook de verwerking van het BSN door ondernemers ligt onder loep.

Ben jij als organisatie al AVG-proof? Of kun je nog ondersteuning gebruiken bij het implementeren van de AVG in jouw organisatie? Neem dan gerust contact op met Putmans Next Level via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. of via 040-255 33 77.