De AVG… Hoe zat het ook alweer?

Ondanks het feit dat de Algemene Verordening Gegevensbescherming (AVG) inmiddels al weer meer dan acht maanden in werking is, worstelen veel werkgevers nog regelmatig met deze in de gehele Europese Unie geldende privacywetgeving. Daarom zetten we de drie meest voorkomende problemen nog maar eens op een rijtje.

1) Spelregels omtrent persoonsgegevens sollicitanten

Tijdens een sollicitatieprocedure vergaart een werkgever verschillende persoonsgegevens. Allereerst het cv van de sollicitant. Dit moet binnen een redelijke termijn verwijderd worden, tenzij de sollicitant expliciet en aantoonbaar aangeeft dat zijn of haar cv langer bewaard mag worden. Wat een redelijke termijn is, staat niet vast, maar hanteer hierbij het uitgangspunt dat je deze persoonsgegevens niet langer bewaart dan nodig is voor het doel waarmee ze verkregen zijn: de sollicitatieprocedure.

Het is raadzaam om aan deze bewaartermijn te refereren in het openbare privacy statement van je bedrijf. Vraagt een sollicitant of (oud) werknemer om zijn of haar cv te verwijderen, dan dien je daar gehoor aan te geven. Geeft hij of zij expliciet toestemming de gegevens langer te bewaren, let er dan goed op dat ze alleen gebruikt mogen worden voor het doel waarvoor eveneens expliciet toestemming is gegeven. Geef het cv en de daarop betrekking hebbende eventuele notities bovendien nooit aan een derde partij.

2) Ziekte en verzuim personeel

Wanneer een medewerker zich ziek meldt, mag een werkgever de volgende gegevens vragen en registreren:

• het telefoonnummer en (verpleeg)adres;
• de vermoedelijke duur van het verzuim;
• de lopende afspraken en werkzaamheden;
• of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
• of de ziekte verband houdt met een arbeidsongeval; of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

Andere dan de hierboven genoemde gegevens over de gezondheid mag je als werkgever in principe niet vragen; zelfs niet met toestemming van de werknemer. Gelet op de gezagsverhouding tussen werkgever en werknemer kan een werknemer zich namelijk gedwongen voelen toestemming te verlenen, zodat er geen sprake is van een ‘vrije’ wilsuiting. Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag de werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte registreren.

3) Monitoren / controleren van werknemers

Voor het werk benodigde bedrijfsmiddelen zijn in vrijwel alle gevallen eigendom van de werkgever. Deze mag dus regels stellen aan het gebruik van die middelen. Bovendien mag hij nagaan of werknemers zich wel aan die regels houden. Lastiger wordt het als het om internettoegang of computergebruik gaat: de werknemer heeft namelijk recht op privacy; óók bij privégebruik van computer of internet. De werkgever mag wel grenzen stellen aan het gebruik, maar een totaalverbod op privégebruik is niet toegestaan, net zo min als het persoonsgericht monitoren.

Het bijhouden van wat werknemers doen op hun pc of via de internetverbinding valt onder de verwerking van persoonsgegevens en is dus alleen toegestaan met een legitiem doel. De privacy van de werknemer gaat daarbij onder normale omstandigheden boven het bedrijfsbelang. Een algeheel verbod op privé internetgebruik is dus niet legitiem. Een verbod op misbruik van de faciliteiten behoort wel tot de mogelijkheden, net als een verbod op activiteiten die ‘disproportioneel veel verkeer vergen of schade aan de bedrijfsvoering toebrengen’.