1. Home
  2. Kennis
  3. Wetten en regels
  4. Avg

AVG

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat nu dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) is hiermee komen te vervallen.

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Op de website van de Autoriteit Persoonsgegevens kan je alles lezen over de AVG. Meer informatie over de meldplicht datalekken kan je hier lezen. Als er een datalek is geweest in je organisatie, kan je die melden via Meldloket Datalekken.

Wil je meer weten?

Stuur een e-mail naar advies@bouwendnederland.nl of bel 079 3 252 250. Ons team van specialisten van Bouwend Nederland Advies geeft graag antwoord.

Stappenplan

Inmiddels is de overgangsperiode voor het invoeren van de AVG in je organisatie afgelopen. Alle organisaties moet voldoen aan de nieuwe privacyregels. Als je nog geen actie hebt ondernomen, is het zaak om dat zo snel mogelijk in orde te maken in je organisatie. Om aan de AVG te voldoen, moet je een aantal stappen ondernemen. Om je hierbij te helpen, heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen voor je op een rijtje gezet.

Stap 1: Bewustwording

Zorg ervoor dat de relevante mensen in je organisatie op de hoogte zijn van de nieuwe privacyregels. Bijvoorbeeld je HR manager of administrateur. Zij moeten inschatten wat de impact van de AVG is op je huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG tijd kost en begin er daarom zo snel mogelijk mee.

Stap 2: Rechten van betrokkenen

Onder de AVG hebben de mensen van wie je persoonsgegevens verwerkt meer en verbeterde  Privacyrechten gekregen. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage (welke gegevens heb je van hen?) en het recht op correctie en verwijdering.

Maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Stap 3: Overzicht verwerkingen

Breng je gegevensverwerkingen in kaart. Voor welke processen gebruikt je organisatie persoonsgegevens? Bijvoorbeeld voor de salarisadministratie. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. Je kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.

Stap 4: Data protection impact assessment

Onder de AVG kan je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een verwerking van persoonsgegevens in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Je moet een DPIA uitvoeren als je beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

In onze sector zou het kunnen zijn dat je zo’n analyse moet uitvoeren als je bedrijf bijvoorbeeld de gegevens van huurders van een woningcorporatie beheert.

Komt er uit een DPIA naar voren dat je beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvang je een schriftelijk advies van de AP.

Stap 5: Privacy by design & privacy by default

Maak je organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen je organisatie kunt invoeren.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Stap 6: Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

Stap 7: Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.

Stap 8: Verwerkersovereenkomsten

Heb je de gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Bijvoorbeeld een salarisverwerker. Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Stap 9: Leidende toezichthouder

Heeft je organisatie vestigingen in meerdere EU-lidstaten? Of hebben je gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.

Stap 10: Toestemming

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

Veelgestelde vragen

Veelgestelde vragen over de AVG in het HRM-proces

Bij personeelszaken wordt er bij uitstek persoonsgegevens gebruikt. Je kunt hierbij denken aan de basispersoonsgegevens, maar ook gevoelige gegevens als rapporten van de bedrijfsarts bij arbeidsongeschiktheid.

Hoe lang en welke gegevens mag je (digitaal) bewaren van je werknemers?

Werkgevers verwerken veel persoonsgegevens van hun werknemers. Deze zijn vaak opgeslagen in een personeelsdossier. Werkgevers mogen alleen een personeelsdossier aanleggen als dat noodzakelijk is om een arbeidsovereenkomst.

Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over de werknemer kan onderbouwen. Naast persoonlijke gegevens gaat het om informatie over arbeidsovereenkomsten en arbeidsvoorwaarden, functioneren en ontwikkeling, ziekteverzuim en bijzonderheden. Werkgevers moeten daarbij rekening houden met de privacy van hun werknemers.

In de AVG staat niets over welke gegevens wel of niet bewaard mogen worden, maar de AVG geeft wél aan onder welke voorwaarden persoonsgegevens in het personeelsdossier mogen worden bewaard. Je moet dus goed nadenken over welke gegevens je in het personeelsdossier wilt bewaren. Zo mogen de arbeidsovereenkomst en gegevens die nodig zijn voor de loonadministratie, worden bewaard op grond van de grondslagen uitvoering van een overeenkomst en uitvoering van een wettelijke bepaling. Maar medische gegevens over bijvoorbeeld ziekteverzuim mogen niet worden bewaard. Foto’s van werknemers mogen alleen met toestemming van de werknemer worden bewaard of gebruikt.

Ook hier is het belangrijk om in een privacy-reglement te hebben, waarin is vastgelegd:

  • Welke gegevens er bewaard of verwerkt worden en wat het doel hiervan is;
  • Hoe de beveiliging van de gegevens is geregeld en wat de bewaartermijnen zijn;
  • Specifiek voor het personeelsdossier: inzagerecht van de werknemer en het recht op correctie van personeelsdossier.

De voorwaarden die de AVG geeft voor het aanleggen van personeelsdossiers, kun je lezen op de website van de Autoriteit Persoonsgegevens

Kun je in een arbeidsovereenkomst opnemen dat de werknemer, met ondertekening van het contract, toestemt met het verwerken van zijn persoonsgegevens?

Je mag dit opnemen in de arbeidsovereenkomst. Maar hier kleven een aantal haken en ogen aan. Belangrijk is dan dat, wanneer je dit opneemt in de arbeidsovereenkomst, je de arbeidsovereenkomst moet aanpassen of een nieuwe arbeidsovereenkomst moet opstellen als de werknemer de toestemming intrekt. Het is praktischer om dit los van de arbeidsovereenkomst te regelen in een apart toestemmingsformulier.

Hoe organiseer je inzage in het personeelsdossier?

Het begint bij het register. Het overzicht van de verwerkingen van persoonsgegevens. Daarin kun je vermelden wat je doet met persoonsgegevens. Inzage in het personeelsdossier kan een medewerker aanvragen bij de HR afdeling/verantwoordelijke.

Wat moet je doen bij loonverwerking en ziekteverzuim via derden?

Je hoeft geen toestemming te vragen aan je personeel. Maar je moet wél je personeel informeren over de uitbesteding van de loonadministratie en het ziekteverzuim en een privacybeleid hebben. Overigens blijf je in dit geval eindverantwoordelijke voor de verwerking van de gegevens en dien je een verwerkersovereenkomst af te sluiten met het loonadministratiebedrijf en de verzuimbegeleider.

Wat doe je met de track & trace gegevens van de bedrijfsauto's?

Je legt eerst vast in een privacybeleid wat het doel van het verwerken van deze gegevens is en alle overige zaken die nodig zijn om een privacybeleid te formuleren op dit punt. Daarna informeer je de werknemer over het doel van het vastleggen, bewaartermijn etc.

Gelden voor een papieren personeelsadministratie en een digitaal archief dezelfde regels?

Ja, een papieren personeelsadministratie valt ook onder de definitie van bestand, en valt daardoor dus ook onder de AVG. Je moet de personeelsadministratie in het privacybeleid opnemen.

Wat is de rol van de OR met betrekking tot de AVG?

De AVG gaat niet in op de rol van de ondernemingsraad (OR) of personeelsvertegenwoordiging. Op grond van de Wet op de ondernemingsraden (WOR) moet een werkgever aan de OR instemming vragen voor een regeling voor voorzieningen die gericht zijn op, of geschikt zijn voor, de waarneming van of controle op de aanwezigheid van gedrag of prestaties van de in de onderneming werkzame personen.
Dit instemmingsrecht heeft met name betrekking op het aanleggen van een persoonsregistratie en op de door de werkgever opgestelde regelingen over het verzamelen, bewaren, gebruiken en beveiligen van deze persoonsgegevens. Ook een regeling voor bijvoorbeeld cameratoezicht, personeelsvolgsystemen of tijdsregistratiesystemen valt onder het instemmingsrecht van de OR.
Ga je beleid over persoonsgegevens opstellen of aanpassen, dan moet je dat beleid ter instemming voorleggen aan de ondernemingsraad of je personeelsvertegenwoordiging. Het kan daarom handig zijn om een vertegenwoordiger uit het medezeggenschapsorgaan bij de voorbereiding te betrekken.

Wat als medewerkers zelf hun rekening van vakbondslidmaatschap indienen t.b.v. de cao-vergoeding voor de vakbondscontributie?  

De medewerkers verstrekken de informatie zelf en dan is het niet nodig om nog expliciet toestemming te verlenen voor het verwerken van de gegevens. Als je de rekening voor een ander doel wilt gebruiken dan alleen het betalen van de vergoeding volgens cao, dan moeten ze daar wel toestemming voor geven.

Wat doe je met cv's na een sollicitatie? 

Als je de cv’s wilt behouden, dan moet je toestemming aan de betrokken personen vragen. Als het om nieuwe sollicitanten gaat, kan je bij de sollicitatieprocedure de sollicitant direct om toestemming vragen. Wil je dat niet, dan moeten de cv’s vier weken na het einde van de sollicitatieprocedure vernietigd worden.

 

 

Veelgestelde vragen AVG en Wka (Wet ketenaansprakelijkheid)

In het kader van de Wet ketenaansprakelijkheid heb je persoonsgegevens nodig van de werknemers van de onderaannemers die je inhuurt. Waar je aan moet denken bij het opvragen, opslaan en verwerken van deze gegevens en andere relevante zaken, kan je lezen in de onderstaande vragen en bijbehorende antwoorden.

Mag je de BSN-nummers nog vermelden op mandagen registers?

Ja, dat mag. In de Wka wordt een (hoofd)aannemer gevrijwaard van de aansprakelijkheid voor loonheffingen als hij kan aantonen welke arbeidskrachten op een project werkzaam zijn geweest. Hij kan dit doen door aan zijn onderaannemers te vragen de NAW-gegevens en BSN van de werknemers van de onderaannemers op de mandagenstaten te noteren. Dit is ook vastgelegd in de Wet ketenaansprakelijkheid en daarom een wettelijke grondslag in het kader van de AVG.

Welke gegevens mag je vermelden op mandagenstaten die bij een factuur worden gevoegd?

Veel opdrachtgevers verlangen nog altijd mandagenregisters bij facturen voor onderaanneming. Je mag mandagenregisters naar de opdrachtgevers versturen. En je mag op de mandagenstaten NAW-gegevens en BSN vermelden op grond van de Wka.

Ontstaat er geen tegenstrijdigheid door de AVG bij de registratie in het kader van Wka?

Nee, de Wka geeft een grondslag, een wettelijke verplichting, voor het verzamelen van persoonsgegevens.

Mag je van een zpp’er de persoonsgegevens noteren?

Nee, dat mag niet. Een zzp’er valt niet onder de werkingssfeer van de Wka. De Wka gaat immers over aansprakelijkheid t.a.v. de betaling van de loonheffingen en loonbelasting van werknemers. Een zzp’er is geen werknemer. Je mag wél aan de poort de identiteit van de zzp’er controleren.

Mag je een hoofdaannemer voorzien van een kopie ID-bewijs van je werknemers? 

Nee, dit mag niet. Je mag wél BSN, NAW en evt. het documentnummer van een ID-bewijs verschaffen aan een hoofdaannemer. Je moet je werknemers hierover wel  informeren door bijvoorbeeld het een en ander in een privacybeleid vast te leggen.

Mag je ID-bewijzen opvragen van medewerkers van onderaannemers voor het aanmaken van toegangspassen?

Nee, je mag vooraf (vooraanmelding) geen ID-bewijzen opvragen van werknemers van onderaannemers. Je mag wel om NAW-gegevens vragen om zo toegangspassen te maken, mits je een privacybeleid hebt opgesteld waarin het doel van het gebruik van de persoonsgegevens is opgenomen en je de werknemers van de onderaannemer hierover geïnformeerd hebt. Je mag de identiteit van de betreffende persoon wel controleren aan de poort van de bouwplaats.

Mag je voor gebruik op toegangspassen van een bouwplaats de nummers van ID-bewijzen opvragen?

Je mag wel de nummers van de ID-bewijzen opvragen, mits je in je privacy-beleid hebt vastgelegd voor welk doel (bijvoorbeeld het identificeren van mensen op de bouwplaats of de Wka) en de betreffende personen hierover hebt ingelicht.

Mag je de mensen die toegang hebben tot de bouwplaats door middel van een vingerafdrukscan of een digitale controle van het ID-bewijs controleren?

Vingerafdrukken zijn biometrische gegevens en gelden als bijzondere persoonsgegevens. Maar voor het maken van een digitale vingerscan of digitale controle van het ID-bewijs, zijn er strenge regels. De vingerscan en de scan van het ID-bewijs mogen niet (digitaal) opgeslagen worden.
Het gebruik van een vingerafdrukscan of digitale controle van het ID-bewijs mag alleen als controle in het kader van de Wka of de Wet identificatie of in het kader van de beveiliging van de bouwplaats. Dit doel moet goed vastgelegd zijn in een privacybeleid. Dit privacybeleid moet ter inzage liggen op de bouwplaats.

Voor de Wka mag je géén (digitale) kopie maken van het ID-bewijs, je mag wél de gegevens die je nodig heeft overschrijven. Deze gegevens moeten goed beveiligd op de bouwplaats worden bewaard.

Modellen en hulpmiddelen

Bouwend Nederland heeft voor haar leden verschillende hulpmiddelen verzameld en modellen ontwikkeld die je kunt gebruiken bij het ‘AVG-proof’ maken van uw organisatie. Op deze pagina staan de bijhorende documenten voor je verzameld. Voor sommige geldt dat ze exclusief ontwikkeld zijn voor onze leden en moet je inloggen om ze te kunnen zien en gebruiken.

Modellen

Hulpmiddelen

Wil je meer weten?

Stuur een e-mail naar advies@bouwendnederland.nl of bel 079 3 252 250. Ons team van specialisten van Bouwend Nederland Advies geeft graag antwoord.

Bekijk ook

Databescherming

Zo bescherm je digitale waardevolle bestanden.

Arbowet en regelgeving

Werknemers hebben recht op een veilige en gezonde werkplek. Dit recht is verankerd in de Arbeidsomstandighedenwet (Arbowet).

Wet allocatie arbeidskrachten door intermediairs (WAADI)

De WAADI bevat regels voor arbeidsbemiddeling, waaronder het uitzenden van personeel.

WAV

Als je samenwerkt met arbeidskrachten van buiten Nederland, is de Wet arbeid vreemdelingen (WAV) belangrijk.