Webinar:

Detecteren van Phishing met een SOC

Lees verder

AVG

Algemene Verordening Gegevensbescherming

Waar staat AVG voor?

AVG staat voor Algemene Verordening Gegevensbescherming, ook bekend als de General Data Protection Regulation (GDPR) in het Engels. Het is een Europese verordening die de regels rond de verwerking van persoonsgegevens regelt.

Wat houdt de AVG in?

De AVG is ingevoerd om onze privacy beter te beschermen. De AVG dwingt ondernemers zorgvuldig om te gaan met persoonsgegevens van klanten, personeel of andere personen. Ondernemers moeten kunnen aantonen dat ze zich aan deze wet houden.

Wat mag wel en wat mag niet volgens de AVG?

Werkgevers kunnen op verschillende manieren automatisch aan informatie komen over hun eigen personeel en deze verzamelen. Middelen hiervoor zijn bijvoorbeeld via cameratoezicht, telefooncentrales, toegangspoorten en computersystemen. Deze informatie kan voor verschillende doelen gebruikt worden, waaronder het controleren van hun werknemers.

Het controleren van werknemers is in principe niet verboden. Maar de privacy voor de werknemers moet wel gewaarborgt worden. De werknemers mogen bijvoorbeeld niet de hele dag gefilmd worden en ze mogen werknemers alleen maar controleren als het voldoet aan de van voorwaarden uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.  

Voorwaarden controle werknemers

De belangrijkste voorwaarden voor de controle van werknemers zijn:

  • Een legitieme reden hebeen. Dit belang moet zwaarder wegen dan het privacybelang van de werknemers.
  • De controle moet noodzakelijk zijn. Dat wil zeggen dat er geen andere manieren mogelijk zijn om uw doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
  • Werknemers moeten worden geinformeerd over wat mag en wat niet mag en dat controle mogelijk is en op welke manier dat gebeurt. De werknemers krijgen bijvoorbeeld informatie over gedragsregels of een protocol.
  • Houd rekening met het recht op vertrouwelijke communicatie van de werknemers. Bijvoorbeeld bij de controle van e-mail of telefoon.
  • Vraag vooraf instemming aan de ondernemingsraad (OR) bij een regeling voor (heimelijke) controle.
  • Een grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens inzetten om activiteiten van de werknemers te controleren? Dan moet eerst de data protection impact assessment (DPIA) worden uitgevoert. Denk hierbij aan controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht om diefstal en fraude te bestrijden.
  • Is uit de DPIA naar voren gekomen dat de beoogde controle een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet met de Autoriteit Persoonsgegevens (AP) overleg gepleegd worden voordat de controle van hetpersoneel start. Dit wordt een voorafgaande raadpleging genoemd.

Heimelijke controle

Wilt u uw werknemers heimelijk controleren? Dan moet u daarnaast voldoen aan de extra voorwaarden voor heimelijke controle.

Controle mail en internet

De werkgever mag voorwaarden stellen aan het gebruik van e-mail en internet op het werk of bepaalde soorten gebruik verbieden. Vervolgens mag de werkgever controles uitvoeren. De werkgever moet daarbij wel voldoen aan de voorwaarden uit onder meer de AVG en UAVG.

De werkgever kan bijvoorbeeld steekproefsgewijs monitoren of er verboden gebruik van e-mail of internet plaatsvindt, zoals het bezoeken van pornowebsites of downloaden van muziek- en filmbestanden. De werkgever kan privégebruik van e-mail en internet onder werktijd niet helemaal verbieden. De werknemer heeft namelijk recht op een bepaalde mate van privacy op het werk.

Sociale media

De werkgever heeft een gerechtvaardigd belang om te monitoren wat er op sociale media over zijn organisatie wordt gezegd. Hij kan dit bijvoorbeeld monitoren door op de naam van de organisatie te zoeken. De werkgever moet daarbij wel voldoen aan de voorwaarden uit onder meer de AVG en de UAVG.

Let op!: de werkgever mag alleen openbare informatie op sociale media controleren. De werkgever kan niet afdwingen dat de werknemer hem tot vriend maakt op bijvoorbeeld Facebook. Of dat de werknemer de inlogcodes van het account afgeeft.

Interne richtlijnen

De werkgever moet de werknemers vooraf laten weten dat zij gecontroleerd kunnen worden. Het is raadzaam dat de werkgever hierover interne richtlijnen opstelt.

Mail lezen

De werkgever mag de zakelijke mail lezen van de werknemer als hij er niet is. De werknemer kan zelf onderscheid maken tussen de zakelijke mail en de privémail. Dit doet hij door de privémail in een aparte map te bewaren, bijvoorbeeld met de titel ‘Persoonlijk’. Of door bij privémails ‘persoonlijk’ in de titel van het bericht te zetten. Blijkt uit de titel van het bericht dat de e-mail persoonlijk is? Dan mag de werkgever dat bericht niet lezen. Is er geen scheiding gemaakt tussen zakelijke en privé e-mail? Dan moet de werkgever er rekening mee houden dat werknemers privéberichten ontvangen en versturen. Bij het lezen van de e-mail moet de werkgever de privéberichten zo veel mogelijk ontzien.

Regeling check mail

Het is aan te raden dat de werkgever via een regeling laat weten dat tijdens vakantie of ziekte de zakelijke e-mail kan worden gecheckt. De werknemer weet dan van tevoren dat het mogelijk is dat de werkgever de e-mail leest.

Telefoon gebruiken

De werknemer heeft het recht de werktelefoon af en toe te gebruiken voor een privégesprek. De werkgever kan de werknemer dus niet op aanspreken op incidenteel privégebruik van de werktelefoon. Maar de werkgever heeft wel het recht om de kosten in de gaten te houden.

De werkgever kan maandelijks een geanonimiseerde rapportage ontvangen van alle duurste gesprekken. Steekproefsgewijs kan de werkgever vervolgens bij deze gesprekken achterhalen welke werknemer daar verantwoordelijk voor is. En deze werknemer vervolgens om uitleg vragen.

Dure gesprekken voorkomen

De werkgever kan ook proberen dure gesprekken te voorkomen, bijvoorbeeld door het bellen naar 0900-nummers en buitenlandse nummers te blokkeren. Nemen hierdoor de kosten af? Dan is het waarschijnlijk niet meer nodig dat de werkgever de kosten van telefoongesprekken van afzonderlijke werknemers controleert.

Mobiel bellen

Belt de werknemer met een mobiele telefoon van de werkgever en is er afgesproken dat hij deze telefoon niet voor privégesprekken mag gebruiken, dan mag de werkgever bij een redelijk vermoeden van misbruik het belgedrag controleren, bijvoorbeeld door de gespecificeerde telefoonnota op te vragen.

Zijn er geen afspraken gemaakt over het gebruik van de mobiele telefoon voor privégesprekken? Dan heeft de werknemer af en toe recht op een privégesprek. Maar de werkgever heeft het recht om daarbij de kosten in de gaten te houden.

De werkgever mag alleen uw telefoongesprekken opnemen als dat noodzakelijk is. En de werkgever daarbij voldoet aan de voorwaarden uit onder meer de AVG en de UAVG. Werkgevers kunnen bijvoorbeeld telefoongesprekken opnemen om de telefonische dienstverlening door de werknemers in een callcenter te verbeteren.

Informeren over opname

De werkgever moet de werknemer ter plekke informeren dat het telefoongesprek wordt opgenomen, bijvoorbeeld door een geluidssignaal te laten horen bij de start van de opname. En van tevoren aan de werknemers uit te leggen dat zo’n signaal betekent dat een opname start en voor welk doel de gesprekken worden opgenomen.

Het is niet genoeg als de werkgever de werknemer eenmalig informeert dat uw gesprekken kunnen worden opgenomen als u in dienst treedt. De werknemer moet ervan op de hoogte zijn wanneer de gesprekken worden opgenomen.

De werkgever moet ook diegene die de werknemer belt vooraf informeren dat het gesprek wordt opgenomen en waarvoor de opname van het gesprek worden gebruikt, zoals voor trainingsdoeleinden.

In het geheim opnemen

De werkgever mag alleen in een aantal uitzonderlijke situaties heimelijk telefoongesprekken opnemen. Deze situaties zijn: bij bedreigingen, bommeldingen of als hij de werknemer van strafbaar gedrag verdenkt, zoals het naar buiten brengen van bedrijfsgeheimen.

Doorlopend opnemen

De werkgever mag alleen doorlopend telefoongesprekken opnemen als dat noodzakelijk is bij sommige vormen van dienstverlening, zoals bij telefonische beursorders. Een opname is dan nodig als bewijs dat er een overeenkomst is gesloten.

De werkgever kan dit bewijs niet op een andere manier krijgen. Daarom mag hij in zo’n soort situatie de telefoongesprekken doorlopend opnemen.

De werkgever mag de opnames van de telefoongesprekken alleen gebruiken als bewijs voor de gesloten overeenkomst.

Testen op alcohol en drugs

Testen op alcohol, drugs en geneesmiddelen is meestal verboden, tenzij de werkgever hiervoor een zwaarwegend algemeen belang heeft en er een wettelijke uitzondering bestaat. Ook moet de werkgever aan een aantal strenge voorwaarden voldoen.

De algemene veiligheid kan zwaarder wegen dan de privacy als werknemer, bijvoorbeeld als hij schipper, loods, piloot of spoorwegmachinist is.

Alle gevallen waarin het uitvoeren van alcohol-, drugs- en geneesmiddelentests zijn toegestaan, staan specifiek genoemd in de wet. Valt de werkgever niet onder een van de wettelijke uitzonderingen, dan mag hij de tests niet afnemen.

Cameratoezicht

De werkgever mag onder bepaalde voorwaarden cameratoezicht gebruiken om werknemers te controleren. Een verborgen camera mag normaal gesproken niet. Maar wordt er bijvoorbeeld veel gestolen of gefraudeerd op het werk? Dan mag de werkgever onder strenge voorwaarden een verborgen camera gebruiken om werknemers te controleren.

Trackingsysteem in auto

De werkgever mag een trackingsysteem in de auto van de werknemer plaatsen als hij zich houdt aan de voorwaarden uit onder meer de AVG en UAVG. De belangrijkste voorwaarde is dat de werkgever een legitieme reden (gerechtvaardigd belang) heeft. En dat het plaatsen van een trackingsysteem, zoals een black box, board computer of gps-systeem, hierbij noodzakelijk is. Een gerechtvaardigd belang van de werkgever kan bijvoorbeeld zijn dat hij kan nagaan welke auto zich het dichtst in de buurt van een klant bevindt, zodat hij deze auto naar de klant kan sturen.

Privacytoets

Voordat de werkgever een trackingsysteem in de auto van de werknemer plaatst, moet hij eerst een privacytoets uitvoeren. Verder moet de werkgever de werknemer laten weten waarom het trackingsysteem gegevens verzamelt, wanneer dit gebeurt en om welke gegevens het gaat.

Controleren privégebruik

Bij het controleren in privétijd wegen de belangen van de werknemer meestal zwaarder dan het belang van uw werkgever. Bij veel bedrijven kan de black box, de board computer of het gps-systeem worden uitgezet in privétijd.

10 Stappen die u helpen om te voldoen aan de AVG

  1. Beoordeel de noodzaak om persoonsgegevens te verwerken.
  2. Leg de verwerkingsgrondslag vast.
  3. Maak een inventarisatie van verwerkte persoonsgegevens.
  4. Bepaal de verantwoordelijke voor de verwerking.
  5. Neem passende technische en organisatorische maatregelen.
  6. Maak afspraken met verwerkers.
  7. Verwerk persoonsgegevens op een transparante en verantwoorde wijze.
  8. Bied inzage en correctie aan betrokkenen.
  9. Zorg voor back-up en beveiliging.
  10. Volg de regels rond gegevensverlies, datalekken en meldplicht datalekken.

Maak een overzicht van hoe u gegevens verwerkt

Om betrouwbare gegevens te verwerken, is het belangrijk om de volgende stappen te volgen:

  1. Leg de verwerkingsgrondslag vast: bepaal de reden waarom je de gegevens nodig hebt en op welke manier je ze gaat gebruiken.
  2. Maak een inventarisatie van verwerkte gegevens: noteer welke soorten gegevens je verwerkt en hoe ze worden verzameld.
  3. Neem passende technische en organisatorische maatregelen: zorg dat de gegevens op een veilige manier worden opgeslagen en verwerkt, bijvoorbeeld door gebruik te maken van beveiligde servers en firewalls.
  4. Maak afspraken met verwerkers: bepaal de verantwoordelijkheden van partijen die toegang hebben tot de gegevens en maak daar afspraken over.
  5. Volg de regels rond gegevensverlies, datalekken en meldplicht datalekken: stel procedures op om te handelen bij verlies of inbreuk op de gegevens en rapporteer datalekken volgens de wetgeving.
  6. Bied inzage en correctie aan betrokkenen: stel betrokkenen in staat om de gegevens in te zien en te corrigeren als dat nodig is.
  7. Bewaar de gegevens op een verantwoorde wijze: bepaal hoe lang de gegevens bewaard moeten worden en verwijder ze op tijd.
  8. Zorg voor regelmatige controles: voer periodieke controles uit om te zorgen dat de gegevens op de juiste manier worden verwerkt en bewaard.

Voor wie geldt de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR), geldt voor iedereen die persoonsgegevens verwerkt. Dit omvat zowel overheidsinstanties als bedrijven, ongeacht hun grootte of locatie, die persoonsgegevens verwerken in de Europese Unie (EU). Dit geldt dus ook voor bedrijven die buiten de EU gevestigd zijn, maar persoonsgegevens verwerken van inwoners van de EU. Het is dus belangrijk om te weten hoe de AVG gehandhaafd moet worden om te voldoen aan de Europese wetgeving op het gebied van gegevensbescherming.

Check of u persoonsgegevens mag verwerken

U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor aan minstens 1 van deze 6 voorwaarden voldoen:

  • u moet toestemming hebben van de persoon om wie het gaat
  • het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen
  • het is nodig om een wettelijke verplichting na te komen
  • het is nodig om iemands leven of gezondheid te beschermen en u kunt die persoon niet om toestemming vragen
  • het is nodig om een taak van algemeen belang uit te voeren
  • het is om het gerechtvaardigd belang te behartigen. U moet bijvoorbeeld persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen

Houd in uw producten en diensten standaard rekening met privacy

De volgende privacyrechten worden gewaarborgd onder de AVG:

  1. Recht op inzage: het recht om te weten welke persoonsgegevens worden verwerkt en hoe ze worden gebruikt.
  2. Recht op rectificatie: het recht om verkeerde of onjuiste gegevens te corrigeren.
  3. Recht op vergetelheid: het recht om verwijdering van persoonsgegevens te vragen onder bepaalde omstandigheden.
  4. Recht op beperking van verwerking: het recht om beperking van verwerking van persoonsgegevens te verzoeken.
  5. Recht op gegevensoverdraagbaarheid: het recht om persoonsgegevens op een gestructureerde, gangbare en machineleesbare manier te ontvangen en over te dragen aan een andere verwerkingsverantwoordelijke.
  6. Recht op bezwaar: het recht om bezwaar te maken tegen verwerking van persoonsgegevens.
  7. Recht op niet-onderworpenheid aan geautomatiseerde besluitvorming: het recht om niet het onderwerp te zijn van besluiten die uitsluitend op geautomatiseerde verwerking berusten.

Zorg voor een goede verwerkersovereenkomst

Vaak worden bij zorginstellingen de boekhouding, de inhuur van een partij die vragenlijsten afneemt bij patiënten of webhosting allemaal uitbesteeds aan experts. Deze ingeschakelde organisaties heten verwerkers. Voordat zij gegevens mogen verwerken, moet zowel de verwerkingsverantwoordelijke (de zorgorganisatie) als de verwerker afspraken hierover vastleggen. Dit wordt gedaan in een verwerkersovereenkomst.