Algemeen

AVG en personeel: veelgestelde vragen en antwoorden

02 okt 2018

De AVG is 25 mei van kracht gegaan. Maar dat betekent niet dat je als ondernemer nu niets meer hoeft te doen. Heb je personeel in dienst? Dan ben je verplicht om goed om te gaan met de privacy en persoonsgegevens van je medewerkers. In deze blog beantwoorden we een aantal veelgestelde vragen op het gebied van de AVG en personeel.

  • Hoe moet ik omgaan met foto’s en/of cameraopnamen van medewerkers?

Wil je als werkgever je personeel controleren via cameraopnamen? Dan moet je aan een aantal voorwaarden voldoen. Zo moet je een gerechtvaardigd belang hebben bij de cameraopnamen, en dat belang moet zwaarder wegen dan het privacybelang van je personeel.

Er zal in dit geval dus altijd een belangenafweging plaatsvinden. Daarbij speelt ook de vraag of het doel op een minder ingrijpende wijze kan worden gerealiseerd een belangrijke rol.

Medewerkers inlichten

Daarnaast moet je als werkgever je medewerkers inlichten over welk gedrag en welke handelingen zijn toegestaan tijdens de uitvoering van hun werkzaamheden en welke niet. Daarbij moet je ook aangeven dat er gecontroleerd kan worden op naleving van de regels, waarbij je ook inzicht moet geven in hoe deze controle wordt ingericht.

Je kunt dit vastleggen in gedragsregels of protocollen. Wanneer er binnen de organisatie een ondernemingsraad aanwezig is, dien je vooraf instemming te vragen voor de controle van personeel.

Foto’s publiceren

Sportverenigingen publiceren regelmatig foto’s van wedstrijden op de website of in het clubblad. De mensen die op die foto’s staan, hebben een portretrecht. Bij het publiceren van deze foto’s moet je dus afwegen of de publicatie nadelig kan zijn voor diegene die op de foto staat. Is dat zo? Dan mag je de foto niet publiceren. Degene die op de foto staat kan, als hij daar een redelijk belang bij heeft, de publicatie van de foto tegengaan. Of verzoeken de foto te verwijderen.

Bij een redelijk belang kun je denken aan privacy- en commerciële argumenten. Attendeer de betrokkenen daarom op het feit dat er foto’s en video’s gemaakt kunnen worden. Plaats bijvoorbeeld bordjes die bij de ingang van het terrein of neem dit op in je privacyverklaring.

  • Hoe moet ik omgaan met de medische gegevens van mijn medewerkers?

Medische gegevens zijn bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn naar hun aard extra gevoelig. De verwerking hiervan is verboden, tenzij er sprake is van een uitzondering of de betrokkene uitdrukkelijk toestemming heeft gegeven.

Van een leerling of een lid van een sportvereniging is het handig om te weten of de betrokkene allergieën heeft. Je weet dan namelijk wat je moet doen wanneer hij een allergische reactie heeft. Dit is in het belang van de betrokkene. Waarschijnlijk zal de betrokkene daarom ook bereid zijn toestemming te geven voor de verwerking van deze medische gegevens.

Eisen toestemming

Het is van belang dat deze toestemming voldoet aan deze vereisten:

  1. toestemming moet vrij gegeven zijn
  2. de betrokkene moet geïnformeerd worden over de wijze waarop deze gegevens worden verwerkt
  3. toestemming moet ondubbelzinnig gegeven zijn

Als verwerkingsverantwoordelijke moet je kunnen aantonen dat je toestemming hebt van de betrokkene voor de verwerking van deze gegevens. Zorg dus dat je dit goed vastlegt. Neem bijvoorbeeld in het inschrijfformulier een onderdeel op over medische gegevens.

Toestemming minderjarigen

Wanneer betrokkenen jonger zijn dan 16 jaar, heb je toestemming van de ouders nodig. Het ingevulde inschrijfformulier en de daarop gegeven toestemming moet dus ook worden ondertekend door de ouders.

De verwerking van medische gegevens is ook toegestaan ter bescherming van vitale belangen of ter uitvoering van regels rondom arbeids- en sociale zekerheidsrecht.

Medische gegevens doorsturen

Voor wat betreft het doorsturen van medische gegevens naar andere partijen dan de betrokkene, geldt dat je een dergelijke doorzending in ieder geval moet vastleggen in je verwerkingsregister en in de privacyverklaring. Zo stel je de betrokkene op de hoogte van eventuele gegevensoverdrachten en kan hij zich hiertegen verzetten als hij het hier niet mee eens is.

  • Wanneer moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

De Functionaris Gegevensbescherming (FB) houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. De AVG verplicht in 3 situaties om een FG aan te stellen, namelijk:

  1. bij een overheidsinstantie of publieke organisatie
  2. bij een organisatie die hoofdzakelijk is belast met stelselmatige observatie
  3. bij een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt

Niet verplicht? Toch doen

Als je niet binnen 1 van deze categorieën valt, raden we toch aan een FG aan te stellen. Zo weet je zeker dat iemand binnen de organisatie verantwoordelijk is voor de bescherming van persoonsgegevens. En dat alle vraagstukken op het gebied van de AVG door hem worden opgelost.

Vrijwillig aangestelde medewerker

Er kan verwarring ontstaan als een vrijwillig aangestelde medewerker zich een FG noemt, terwijl de organisatie aan deze medewerker niet dezelfde eisen stelt. Geef in dit geval een andere benaming aan deze functie. Bijvoorbeeld ‘privacy contactpersoon’. Deze medewerker kan dan wel de verwerkingsactiviteiten bijhouden in een verwerkingsregister en een datalek melden, maar is niet officieel een FG.

Lees meer veelgestelde vragen over de AVG
AVG van kracht: hoe zit het ook alweer?
AVG en marketing
AVG: zakenrelaties, visitekaartjes en telefoonnummers

Vertel mij meer over de AVG-mogelijkheden?