logo 218 58.png                                                                                                                            Administratiekantoor MijnBedrijfsPunt

                                                                                                                            Mozartlaan 46-B

                                                                                                                  2742  BN  Waddinxveen

                                                                                                                  +31 182 235 131

                                                                                                                  info@mijnbedrijfs.nl

                                                                                                                

Algemene verordening gegevensbescherming (AVG) en personeel

   Vanaf 25 mei geldt deze nieuwe wet voor alle landen (en bedrijven) binnen de EEG. Deze nieuwe wet geeft

   bedrijven een grotere verantwoordelijkheid om de privacy van personen te beschermen.

  

    De AVG gaat over de bescherming van persoonsgegevens. Dit omvat:

  

            Klantgegevens

                Zorg dat je personeel op een juiste manier omgaat met de gegevens van (potentiële) klanten.

            Personeelsgegevens

                Zorg dat je personeelsdossier voldoet aan de nieuwe eisen.

            Andere persoonsgegevens

                Als een bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers

                en relaties of databases van andere bedrijven) moet ook aan deze regels worden voldaan.

 

In dit schrijven lichten wij in het bijzonder de gevolgen toe voor de

 

Personeels- en salarisadministratie,

 

het onderdeel waar u per definitie met vertrouwelijke persoonsgegevens werkt.

Aanleiding is uiteraard onze ´verwerkerovereenkomst, -verklaring´ voor de salarisadministratie, maar wij willen u graag eerst breder informeren zodat u als werkgever op de hoogte bent wat deze wet met zich meebrengt.

 

 

 

Algemeen uitgangspunt vernietiging persoonsgegevens

Persoonsgegevens mag u alleen bewaren voor een legitiem doel. In dit geval de personeels en salarisadministratie. Dan kan het moeten vernietigen van privacy gevoelige gegevens als volgt worden aangegeven.

Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van uw bedrijf. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

 

 

 

 

 

 

logo 218 58.png

 

 

 

 

Drie uitgangspunten voor u als werkgever

   Voor privacy gevoelige gegevens zijn er drie belangrijke onderdelen die voor uw gedachten bepalend moeten zijn:

1-     Beveiliging: Waar worden werknemersgegevens opgeslagen en wie heef er toegang?

2-     Naleving: Hoe lang moet en mag ik gegevens bewaren?

3-     Oplossing: Bieden mijn oplossingen voldoende ondersteuning voor de AVG?

 

 

Tijdens “het dienstverband” kunt u de volgende fasen onderscheiden:

-       Sollicitatiegesprek

-       Salarisverwerking

-       Onkosten-, uren-, verlof- en verzuimadministratie

-       Functionerings- en beoordelingsgesprekken

-       Het vertrek

 

Grofweg moet u de hieronder genoemde vragen beantwoorden, uiteindelijk communiceren naar werknemers en kunnen garanderen aan iedereen die aan u privacy gevoelige gegevens verstrekt. Zonder toestemming mag u dit namelijk niet en vergis u niet in de mogelijke boetes. Deze lijst heeft niet de intentie voor iedereen volledig te zijn, meer om u attent te maken op zaken waar u aan moet denken.

 

 

1-     De beveiliging van gegevens:

Personele gegevens bewaart u deels in uw personeelsdossier, deels geautomatiseerd.

De beveiliging van deze gegevens moet u goed geregeld hebben. Wij hebben hieronder een aantal belangrijke aandachtspunten geïnventariseerd waarbij u Ja of Nee kunt kiezen. Zo krijgt u inzicht of u op onderdelen nog zaken moet regelen. Uiteindelijk doet u er goed aan hiervoor duidelijke procedures op papier te zetten waarbij wij u desgewenst behulpzaam willen zijn.

 

 

Beveiliging privacy gevoelige gegevens

Waar zijn de gegevens van werknemers/sollicitanten opgeslagen?

-    Kent u alle locaties/systemen waar werknemersgegevens zijn ondergebracht      :             O-ja      O-Nee

-    Zijn personeelsdossier goed afgeschermd? (Zonder toestemming dus niet in te zien)       O-ja      O-Nee

-    Geregeld dat papieren afdruk bij printer, kopieermachine, servers, gedeelde locaties

    of computer niet “kan blijven liggen”?                                                                             O-ja      O-Nee

-    Opslag op eigen computer, server, mail goed afgeschermd?                                           O-ja      O-Nee

    Gegevensuitwisseling goed afgeschermd?

          Verstuur ik via email? Deze mogelijkheid is namelijk inbraakgevoelig.                                   O-ja      O-Nee

-    Als email door u of werknemer/-neemster wordt gewenst: Heb ik expliciete toestemming

    van deze werknemer/-neemster?                                                                                     O-ja      O-Nee

-    Voor het ontvangen/versturen van loonstroken ed raden wij u aan dit via de login

    Van “MijnLoon” of MBP-Cloud te doen. Veiliger en bij eventueel benodigd verwijderen

              minder kans op vergeten sporen zoals bijvoorbeeld uw in- of uitbox in uw email               O-ja      O-Nee

              (Uw werknemers kunnen via dit systeem ook privacy gevoelige gegevens uploaden, denk

              hierbij bijvoorbeeld aan ID-bewijs e.d.)

-    MijnBedrijfsPunt verstrekt u een verwerkingsverklaring /-overeenkomst waarin

    staat vermeld voor welke doeleinden en met welke waarborgen wij gegevensverwerking

    voor u kunnen verzorgen. Heeft u deze gekregen en getekend?                                       O-ja      O-Nee

-    Als u bijvoorbeeld ziekteverzuimgegevens doorgeeft aan uw verzekeraar. Heeft u hun

    verklaring voor de vertrouwelijkheid hiervan?                                                                   O-ja      O-Nee

-    Voldoende maatregelen dat persoonsgegevens zonder toestemming van deze

    persoon niet (kunnen) worden doorgestuurd naar anderen?                                              O-ja      O-Nee

-    U weet dat u een meldingsplicht heeft bij een eventueel data-lek!                                     O-ja      O-Nee

 

 

   

 

 

logo 218 58.png         

 

 

 

 

 

 

          Wie hebben er toegang tot gegevens?

-    Als er bijvoorbeeld gegevens uit sollicitatiegesprekken worden gedeeld. Wat gebeurd

    er dan achteraf met bijvoorbeeld cv’s? Zitten die nog in de ‘inbox’, zijn deze geprint en

              gedeeld? Zijn er voldoende maatregelen en verplichte afspraken dit te voorkomen?         O-ja      O-Nee

              Wanneer sollicitatie bijvoorbeeld niet tot dienstverband leidt, moet u deze gegevens

              uiterlijk binnen 4 weken vernietigd hebben, tenzij u toestemming krijgt voor langer.

 

          Email?

-    Bewust noemen wij dit apart. Vanwege bekendheid, wensen wordt email vaak gebruikt

    voor sturen loonstroken en dergelijke. De servers van uw provider, de zekerheid dat u (of

    computer van uw medewerker) niet is gehackt, wat staat er nog in de inbox die anderen

    zonder uw medeweten kunnen zoeken zijn zaken die eigenlijk niet kunt garanderen.

    Daarom adviseren wij u met het oog op de AVG-regelgeving onze alternatieven als

    MijnLoon of MBP-Cloud te hanteren. Wanneer u of uw medewerker toch de voorkeur

    voor email heeft kunnen wij naar u toe en u naar uw personeelslid toe hier geen garantie

    op geven. Dan zijn de volgende keuzes van belang:

 

-    Wil ik MijnBedrijfsPunt wel of geen toestemming geven voor versturen via email?             O-ja      O-Nee

-    Wil personeelslid mij toestemming geven voor versturen via email?                                 O-ja      O-Nee

-    Ik kies voor gegevensuitwisseling via MijjnLoon of MBP Cloud                                        O-ja      O-Nee

 

 

2-     De naleving:

 

 

Vereisten bewaren persoonsgegevens (zowel voor u als ‘voor ons’)

 

-    Heb ik bepaald hoelang bepaalde documenten met persoonsgegevens

    bewaard gaan worden? Kan ik dit betrokkenen laten zien?                                               O-ja      O-Nee

-    Heb ik voor dit laatste bewaartermijnen opgenomen in een zogenaamd

    verwerkingsregister?                                                                                                      O-ja      O-Nee

-    Heb ik personen voor wie ik persoonsgegevens bewaar geïnformeerd wat ik bewaar,

    waarom en voor hoelang?                                                                                              O-ja      O-Nee

-    Hierbij ook aangegeven over voor mijn verplichte bewaartermijnen (meestal 7jaar)             O-ja      O-Nee

    (Een beknopte weergave van belangrijkste zaken vindt u hieronder)

-    Heb ik naar werknemers duidelijk gemaakt dat zij alle over hun bewaarde gegevens

    altijd kunnen en mogen inzien?                                                                                       O-ja      O-Nee

-    Heeft u een procedure dat u niet vergeet na het verstrijken van de bewaartermijn de

    persoonsgegevens daadwerkelijk zullen worden vernietigd of geanonimiseerd?                O-ja      O-Nee

-    Als gegevens moeten worden vernietigd. Kunt u er zeker van zijn niet iets te vergeten?     O-ja      O-Nee

-    Kan ik snel reageren op verzoek gegevens te verwijderen (door uw werknemer)                O-ja      O-Nee      

-    Wanneer ‘het niet verder is gekomen dan sollicitatiegesprek’. Heeft u toestemming

    als u gegevens toch langer wilt bewaren?                                                                        O-ja      O-Nee

Zijn fysiek en elektronisch opgeslagen privacy gevoelige gegevens goed afgeschermd?     O-ja      O-Nee

 

 

 

 

 

 

 

 

 

 

 

 

logo 218 58.png

 

 

 

 

 

 

 

De meest voorkomende zaken hebben wij qua bewaartermijn geprobeerd op een rijtje te zetten:

 

Wat

Minimaal

Maximaal

Voorkeur

na afloop van:

Salarisafspraken en arbeidsvoorwaarden

7 jaar

7 jaar

Afloopboekjaar e/o einde dienstverband

Loonbelasting en id bewijzen

5 jaar

7 jaar

Afloopboekjaar e/o einde dienstverband

Verzuimbeheer (afstemmen met uw verzekeraar)

2 jaar

2 jaar

Afloopboekjaar e/o einde dienstverband

Sollicitatie proceduren

4 weken

Afloopboekjaar e/o einde dienstverband

Loonbeslag

Direct

Einde beslag

NAW gegevens

7 jaar

7 jaar

Afloopboekjaar e/o einde dienstverband

Arbeidsovereenkomst en wijzigingen

7 jaar

7 jaar

Na einde dienstverband

Functionerings en beoordelingsgesprekken

2 jaar

Na einde dienstverband

Loonadministratie

7 jaar

Afloopboekjaar e/o einde dienstverband

Sollicitatiegegevens

4 weken

(Of 1 jaar met toestemming) na sollicitatie

Kopie opleiding / cursus / training

2 jaar

Na einde dienstverband

 

 

 

Voor nieuwe werknemers kan van ons formulier “Nieuw personeel” gebruik worden gemaakt. Hierin zullen wij voor uw gemak melding maken om uw werknemers op uw AVG maatregelen te attenderen. Hierin zeker of werknemers wel of niet informatie via email willen ontvangen.

 

 

Volledigheidshalve noemen wij een paar veel voorkomende zaken die ook onder deze regelgeving vallen ook al vallen die niet direct onder personeels- en salarisadministratie :

 

-       Sollicitatieprocedure zonder dienstverband’     4 weken

-       Bezoekersregistratie                                       6 maanden

-       Beveilingscamera’s                                        4 weken

-       Loggin internetgebruiek / netwerk                    6 maanden

-       Gerechtelijke procedures                                2jaar

 

 

3-     De oplossingen voor de AVG

 

Heeft u twijfel bij uw oplossingen voor de AVG? Denk hierbij met name aan de volgende zaken:

                                                           

-    Waarborgen mijn interne procedures het niet kunnen uitlekken van

    privacy gevoelige gegevens?                                                                           O-ja        O-Nee

-    Heb ik mijn digitaal opgeslagen gegevens voldoende beschermd                      O-ja        O-Nee

-    Zijn mijn werknemers op de hoogte gesteld en wanneer u zaken langer wilt

    bewaren: Heb ik toestemming?                                                                        O-ja        O-Nee

-    Heb ik verwerkingsovereenkomsten - /verklaringen bij derden waar ik

    privacy gevoelige gegevens verstrek of bewaar. Vergeet hierbij bijvoorbeeld

    niet uw cloud provider.                                                                                    O-ja        O-Nee  

 

Al het vorenstaande bedoeld om u inzicht te geven over zaken waar u aan de AVG aan moet denken, of beter gezegd: Geregeld moet hebben.

Wij adviseren u in eerste instantie op de met “Nee” beantwoorde vragen actie te nemen en de maatregelen/procedures vast te leggen. Bij twijfels (waar dan ook) verder onderzoek voor uzelf te doen.

 

Wij zijn u daarbij uiteraard graag behulpzaam.

 

Wilt u zelf alles hierover na willen lezen? Raadpleeg onderstaande link:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg