U bent hier

3.2 Uitoefenen van rechten

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

aandachtspunten

training

Organisaties moeten voorbereid zijn op de AVG en dat houdt ook in dat zij rekening moeten houden met betrokkenen die hun rechten willen uitoefenen. Dit betekent voor veel organisaties dat er een beleid moet komen voor de manier waarop wordt omgegaan met dit soort situaties. Hier enkele aandachtspunten:

  • het beleid voor de omgang met de rechten van betrokkenen moet aansluiten op het interne privacybeleid;
  • personeel dat mogelijke betrokkenen te woord staat, moet training en instructies krijgen;
  • organisaties moeten technisch en organisatorisch voorbereid zijn op bijvoorbeeld het recht op overdraagbaarheid, en het recht om vergeten te worden;
  • alle uitoefeningen van rechten van betrokkenen zou de organisatie moeten registreren.

3.2.1 Het recht om vergeten te worden

Een veelbesproken onderwerp van de AVG is het ‘recht om vergeten te worden’. Dit recht houdt in dat een organisatie op verzoek van de betrokkene moet stoppen met het verwerken van de persoonsgegevens en deze moet verwijderen.

Digitale voetafdruk wissen lastige opgave

archief

Een aandachtspunt bij ‘Het recht om vergeten te worden’ is om grondig te werk te gaan als het gaat om digitale gegevens. Bij digitale informatie ligt namelijk het gevaar op de loer dat er (onbedoelde) kopieën van de betreffende gegevens achterblijven: op het netwerk, in een digitaal archief, maar ook bijvoorbeeld in de e-mail van een medewerker. En als hij dan die e-mail wist, wil dat nog niet zeggen dat iemand met de juiste kennis die niet terug kan halen. Digitale informatie op zo’n manier wissen dat die niet meer kan opduiken, is dus geen gemakkelijke opgave.

anoniem

boete

Het idee achter het recht om vergeten te worden, is dat organisaties informatie die te herleiden is naar betrokkenen tijdig anoniem maken of zelfs helemaal vernietigen. Op het moment dat een ex-werknemer uw organisatie dus verzoekt om persoonlijke dossiers te vernietigen, moet u daar gehoor aan geven. Voert uw organisatie het verzoek niet uit, dan riskeert zij een boete.

Beleid

verwijderen

Bij uw voorbereiding op ‘Het recht om vergeten te worden’ hoort beleid voor het geval dat een oud-werknemer of klant daadwerkelijk vraagt om zijn gegevens te bewerken of te verwijderen. Uw organisatie moet zodanig ingericht zijn dat zij de bewuste gegevens snel tevoorschijn kan toveren. Er moet ook beleid zijn voor het grondig verwijderen van gegevens. Zeker bij digitale gegevens is dit soms lastig (zie kader op pagina xx).

3.2.2 Toestemming vragen

smoelenboek

ondubbelzinnig

Als uw organisatie niet kan aantonen dat een verwerking van persoonsgegevens strikt noodzakelijk is, zal zij hiervoor expliciet om toestemming moeten vragen aan de personen om wie het gaat. Denk aan een smoelenboek op intranet waarin de organisatie een foto van werknemers wil plaatsen. Hoewel het toestemmingsvereiste in de huidige WBP ook is opgenomen, gaat de AVG een stuk verder:

  • er is een actieve handeling van de betrokkene vereist om zijn toestemming geldig te maken;
  • er moet sprake zijn van ondubbelzinnige toestemming;
  • de toestemming moet vrijwillig gegeven zijn;
  • de betrokkene moet weten hoe zijn gegevens verwerkt worden en voor welk doel hij toestemming geeft;
  • een betrokkene moet in duidelijke en eenvoudige taal worden geïnformeerd.

Bewijs

intrekken

Uw organisatie moet bewijzen dat zij geldige toestemming van werknemers, klanten, relaties en andere betrokkenen heeft gekregen voor de verwerking van persoonsgegevens. Het moet voor betrokkenen bovendien mogelijk zijn om hun toestemming in te trekken en de organisatie moet hen hierover ook informeren.

HR-beleid

Het intrekken van de toestemming moet daarnaast net zo eenvoudig zijn als het geven van de toestemming. Uw werkgever moet er dus voor zorgen dat het HR-beleid hierop aanpast is, en ook voor de afdelingen marketing en IT moet er beleid zijn

Vooraf toestemming vragen nutteloos

indiensttreding

Het is af te raden om werknemers bij indiensttreding al in zijn algemeenheid om toestemming te vragen voor verwerkingen van persoonsgegevens. Soms staat er een generieke toestemmingsbepaling in een arbeidsovereenkomst die dit moet regelen. Dit heeft weinig waarde omdat de organisatie heel specifiek moet aangeven voor welke verwerking zij toestemming vraagt en met welk doel zij dit doet.

3.2.3 Sollicitatiecode

NVP

Bij het werven van nieuw personeel moet uw organisatie zich aan de privacyregels uit de NVP Sollicitatiecode houden. Uitgangspunt is dat zij persoonlijke informatie vertrouwelijk moet behandelen. Dit is ook opgenomen in de AVG.

Onderzoek

referentiecheck

social media

Bij onderzoek naar de kandidaat moet een organisatie degelijk te werk gaan. Dit houdt in dat zij voor een referentiecheck vooraf om toestemming vraagt en bij de werknemer toetst of gevonden informatie op internet en social media wel juist is. Overigens mag een organisatie lang niet altijd screenen via social media. Dat mag alleen als:

  • dit noodzakelijk is (bijvoorbeeld in verband met specifieke functie-eisen);
  • het doel (informatie inwinnen over de werknemer of sollicitant) niet op een andere manier kan worden bereikt waardoor de organisatie minder inbreuk maakt op de privacy;
  • de bewerking proportioneel is (in verhouding met het doel dat hiermee wordt bereikt).

Beslissing

sollicitatiegegevens

Nadat een sollicitant afvalt in de procedure, stuurt de organisatie hem binnen twee weken een schriftelijke reactie met onderbouwing van de beslissing. Mogelijk heeft de kandidaat wel een interessant profiel. De organisatie kan dan in haar reactie vragen of zij de sollicitatiegegevens mag bewaren. Geeft hij hiervoor toestemming, dan behoort uw organisatie na een jaar de sollicitant opnieuw te benaderen voor actualisatie van zijn cv en verlenging van de toestemming. Krijgt de organisatie geen toestemming, dan moet zij de gegevens binnen vier weken vernietigen.