SlideShare a Scribd company logo

Presentatie seminar privacy op de werkvloer

Download as PPTX, PDF
AKD
AKD

15 januari 2018

Law
1 of 72
Privacy op de werkvloer 15 januari 2018 Zijn uw HR processen privacy proof op 25 mei 2018? Eliette Vaal Pascal van Schaik Martin Hemmer Eva van den Krommenacker
Agenda 1. De Algemene Verordening Gegevensbescherming (AVG) - Inleiding - Enkele onderwerpen uitgediept - Zet Privacy op de agenda 2. Praktische invulling - Register - Pre Employment Screening
1. De Algemene Verordening Gegevensbescherming - Inleiding
Privacy raakt iedereen 4
AVG - Kernpunten privacyrecht ongewijzigd Handvest grondrechten EU Artikel 7 De eerbiediging van het privé-leven en van het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Artikel 8 De bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd. 5
Belangrijkste nieuwe punten • Enkele nieuwe begrippen  • Verantwoordingsplicht • Gewijzigde grondslagen? • Register van verwerkingen • PIA’s / Privacy by design • Uitgebreidere informatieverplichtingen / rechten betrokkene • Nieuwe rol verwerker / verwerker-overeenkomsten • Meldplicht datalekken • Boeterisico’s • Territoriale scope uitgebreid • Deadline: 25 mei 2018 6
Nog veel onduidelijkheden • Verordening werkt rechtstreeks • Laat toch enige ruimte voor nationale wetgeving • Voor bijzondere gegevens • Voor verwerking in de arbeidsverhouding (art. 88 AVG) • Uitvoeringswet AVG  beleidsneutrale implementatie • Status: • Consultatieronde is afgerond • Advies AP en Raad van State is uitgebracht • 13 december 2017 verscheen voorstel van Wet + MvT 7
Enkele onderwerpen uitgediept
Hoge boetes Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet! • Boetes “doeltreffend, evenredig en afschrikwekkend” (art. 83 lid 1) • Bij boeteoplegging wordt rekening gehouden met tal van factoren: • opzettelijke / nalatige aard • schadebeperkingsmaatregelen • accountability gezien beveiligingsmaatregelen (art. 83 AVG)  illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol 9
Boetes in de praktijk AP blijkt sinds 1 januari 2016 niet ‘triggerhappy’ Boetes zonder waarschuwen? • De bindende aanwijzing is geen onderdeel AVG en ook niet van de Uitvoeringswet • Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State) • Als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet wordt verwacht, zal het rauwelijks opleggen van een (hoge) bestuurlijke boete de rechterlijke toets niet kunnen doorstaan." (Minister, Nader Rapport) Boete voor bestuurder?  opdracht / feitelijke leiding / maatregelen achterwege laten 10
Toepassingsbereik AVG • Verwerking • Van persoonsgegevens • Geautomatiseerd of in een bestand 11 “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”
Persoonsgegeven: scope Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. 12
Verwerker vs veranwtoordelijke 13 Verwerkeringsverantwoordelijke Verwerker Werkgever Cloud provider Uitzendbureau Loonstrookverwerker voor personeel Overheidsinstantie die gegevens opvraagt Aanbieder analysetool salarissen
Verwerker Conclusie AG inzake AP Schleswig-Holstein vs. Wirtschaftsakademie (=beheerder fanpagina Facebook) 14
Territoriale scope is uitgebreid Vestiging in de Unie •de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. •Vestiging = ieder duurzaam centrum van economische activiteit Vestiging buiten de Unie •de verwerking van persoonsgegevens door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met: •a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of •b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt. 15
Register verwerkingen Essentie van de AVG voor veel organisaties ! • Meldplicht AP voor (niet risicovolle) verwerkingen verdwijnt  AP handhaaft niet tot inwerkingtreding AVG • Nieuwe verplichting bijhouden register verwerkingen • Verplichting geldt voor verwerkingsveranwtoordelijke en verwerker • Uitzondering voor organisaties < 250 werknemers, tenzij: • verwerking met risico voor de rechten en vrijheden van de betrokkenen; • de verwerking niet incidenteel is? • de verwerking bijzondere categorieën van gegevens betreft. 16
Register verwerkingen Welke informatie moet erin? • Verwerkingsdoeleinden • Categorieën betrokkenen • Categorieën persoonsgegevens • Categorieën van ontvangers • Doorgiftes buiten de EU • Bewaartermijnen • Beschrijving beveiliging Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de hand van ICT applicaties / aan de hand van bedrijfsonderdelen aan de hand van questionnaires naar de managers) 17
Register verwerkingen 18
Rechtvaardige grondslag vereist voor alle verwerkingen Noodzakelijkheid • Doelbinding  Voor overeenkomst, wettelijke plicht, gerechtvaardigd belang etc. • Proportionaliteit, subsidiariteit Toestemming • Strengere eisen • Geen vrije toestemming bij afhankelijkheid! Let op: in arbeidsrelatie is toestemming in beginsel geen geldige grondslag 19
Verwerking gevoelige gegevens Verwerking verboden, tenzij door bepaalde verwerkersverantwoordelijken en voor bepaalde doeleinden of met uitdrukkelijke toestemming (enz.  zie artikel 9 lid 2 AVG) 20 • levensovertuiging of godsdienst • politieke gezindheid, • lidmaatschap vakbond • ras, etniciteit • seksuele leven • gezondheid • biometrische ID-gegevens met het oog op de unieke identificatie van een persoon • genetische gegevens • strafrechtelijke gegevens • BSN
Pasfoto altijd bijzonder gegeven? 21
Pasfoto altijd bijzonder gegeven? Nee • mits doel niet is gericht op maken onderscheid, dit ook niet voorzienbaar is en de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking; • mits niet worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. 22
Gegevens betreffende de gezondheid Dit is (inmiddels) een zeer breed begrip! Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data about a person's intellectual and emotional capacity (such as IQ), information about smoking and drinking habits, membership of an individual in a patient support group (e.g. cancer support group), Weight Watchers” Gevolgen voor: • Assessments • Uitgebreide personeelsdossiers • Coaching-sessies • Uitgebreide (Big-data) analyses van werknemersgedrag 23
Uitzonderingen voor werkgevers onder AVG • Uitdrukkelijke toestemming (9 lid 2 sub a AVG) • Noodzakelijk voor vitaal belang (9 lid 2 sub c AVG) • Verwerking stichting, vereniging etc. zonder winstoogmerk (9 lid 2 sub d AVG) • Door betrokkene duidelijk openbaar gemaakt (9 lid 2 sub e AVG) • Instelling, uitoefening onderbouwing van een recht in rechte (9 lid 2 sub f AVG)  zie artikel 22 UAVG 24
Uitzonderingen voor werkgevers onder AVG Rechtstatelijke rechtsbasis noodzakelijk • Rechten en plichten het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (9 lid 2 sub b AVG) • Zwaarwegend algemeen belang (9 lid 2 sub g AVG) • Preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten (9 lid 2 sub h AVG) • Volksgezondheid (9 lid 2 sub i AVG) • Archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (9 lid 2 sub j AVG) 25
Uitzonderingen voor werkgevers onder AVG 26
Uitzonderingen voor werkgevers UAVG (voorbeeld) Artikel 30 UAVG. Uitzonderingen inzake gegevens over gezondheid 1. Gelet op artikel 9, tweede lid, onderdeel b, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing, indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk is voor: a. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of b. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. 27
Vraag: Zijn assessments nog toegestaan? 28
Braincompass-rapport: 21 november 2017 29
Vraag: Zijn alcohol- en drugs controles nog toegestaan? 30
Uniper-rapport: 22 februari 2017 31 • Uniper had beleid vastgesteld om alcohol- en drugstesten in te zetten om onveilige situaties te voorkomen. Onder meer ad random alcohol- en drugstesten bij vermoeden van gebruik (uitkomsten van adem- en wangslijmtesten) • Uniper beriep zich voor testen op het feit dat sprake was van een zwaarwegend belang • veiligheid / arbeidsomstandighedenwet. • en op artikel 7:611 (goedwerknemerschap) en 660 (instructiebevoegdheid werkgever) BW AP vond dit onvoldoende, omdat een specifieke wettelijke bepaling vereist is voor een beroep op een zwaarwegend belang: Hoe nu verder?  Art. 23 en 30 lid 2 UAVG?
Beveiliging • Technisch én organisatorisch • Passend gezien stand techniek en aard verwerkingen • Pseudonimisering / versleuteling • Vermogen om op permanente basis de integriteit van verwerkingssystemen en diensten te garanderen • Tot herstel bij incident • Een procedure om de maatregelen regelmatig te testen en te beoordelen (PLAN DO CHECK ACT- cyclus) • Gedragscodes? Baseline Informatiebeveiliging Corporaties 32
Een datalek zit in een klein hoekje… 33
Huidige beleidsregels 34
Aantallen meldingen 35
Aanscherping Informatieplicht Beknopt, eenvoudig toegankelijk en begrijpelijk • Bewaartermijn • Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en portabiliteit) • Klachtrecht bij AP • Uitleg doeleinden en rechtsgronden verwerking • Profilering, reden daarvan en mogelijke gevolgen Belangrijkste uitzonderingen • Verwerking voorgeschreven bij wet • Onmogelijk / onevenredig • Of informeren maakt doeleinde onmogelijk 36
Verplichte FG in specifieke gevallen 37 Verplicht voor • Overheden • Niet overheden die als kerntaak hebben: • Het uitvoeren van verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of • Het uitvoeren van grootschalige verwerkingen van bijzondere categorieën van gegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten. Eisen • Kan personeelslid zijn of op grond van dienstenovereenkomst • Onafhankelijkheid  geen belangenverstrengeling • Ook op vrijwillige basis  zie beleidsregels AP
Verplichte FG in specifieke gevallen 38
Zet privacy op de agenda
To do • Startpunt = register van gegevensverwerkingen • Kijk kritisch naar doel en noodzaak van verwerkingen. • Kan een doel ook met minder data bereikt worden? • Check bewaartermijnen • Is een PIA vereist? • Check aanwezigheid en inhoud (bewerkings)overeenkomsten: • Check informatieplichten / procedures voor uitoefening rechten • Vergeet niet de organisatorische beveiliging / awareness over privacyrecht • Meld meldingsplichtige inbreuken (implementeer meldingsprotocol) 40
Hulpmiddel: AKD Privacycheck AKD Privacycheck: is uw organisatie al privacy-proof? Vul de AKD privacychecklist in als startpunt voor compliance. https://www.akd.nl/d/Paginas/Subpagina%27s%20Intellectual%20Property%20and% 20Technology/AKD-Privacycheck-.aspx 41
2. Praktische invulling - Register
2. Register verwerkingen Achtergrond • AVG is metaregulering Verantwoordingsplicht • Bewijslast ligt bij werkgever Registerplicht als startpunt • Daarom: breng alle HR- verwerkingen in kaart 43
2. Register verwerkingen Welke informatie moet erin? • Verwerkingsdoeleinden • Categorieën betrokkenen • Categorieën persoonsgegevens • Categorieën van ontvangers • Doorgiftes buiten de EU • Bewaartermijnen • Beschrijving beveiliging 44
2. Register verwerkingen Stap 1: Breng verwerkingen in kaart Stap 2: Pas de volgende beginselen toe op iedere verwerking • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integriteit & vertrouwelijkheid 45
3. Pre Employment Screening
3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Rechtmatigheid toetsen Stap 1: gaat het om gewone (ja, mits) of bijzondere persoonsgegevens (nee, tenzij)? Stap 2: beoordeel aan de hand van 6 AVG of 9 lid 2 of verwerking mogelijk is. 47
3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Meest relevant bij gewone persoonsgegevens: • Instemming • Wettelijke plicht • Noodzakelijk voor de uitvoering van de arbeidsovereenkomst • Gerechtvaardigde belangen (rechtvaardigt de functie de screening) 48
3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Transparant • Weet de sollicitant van de screening af? Doelbinding • Worden de gegevens ook voor andere doeleinden gebruikt? 49
3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Minimale gegevensverwerking • Welke social media worden gescreend? • Het feit dat een profiel publiek is, betekent niet automatisch dat het gescreend mag worden • Wordt er ook geklikt op niet-relevante aspecten (vakantiefoto’s)? Juistheid • Worden de resultaten met de sollicitant getoetst (met bronvermelding)? 50
3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Hoe lang worden de gegevens bewaard? • Wanneer niet meer noodzakelijk, verwijderen. • vier weken na sollicitatieprocedure? Integriteit en vertrouwelijkheid • Wie kunnen de gegevens inzien? 51
3. Case II Assessment Ingezoomd: assessments • Betonpalenfabriek De Betonpaal wil een selectie assessment afnemen • De sollicitant wordt in de wervingsadvertentie op de hoogte gebracht van het feit dat een assessment onderdeel is van de selectieprocedure • De sollicitant gaat akkoord met het selectieassessment. • Mag dit? 52
3. Case II Assessment Vraag 1 Wat voor soort persoonsgegevens worden er verwerkt (gewone of bijzondere persoonsgegevens)? 53 Overweging 35 AVG: ‘Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst.’ Artikel 4 AVG: ‘Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.’
3. Case II Assessment Vraag 2 Uitgaande van bijzondere persoonsgegevens: is de uitdrukkelijke toestemming van de sollicitant een grondslag voor verwerking? 54 Overweging 42 AVG: ‘Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.’
3. Case II Assessment Vraag 3 Is er dan een andere grondslag die gebruikt kan worden? 55 Is de verwerking noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht? Is de verwerking noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht?
3. Case II Assessment Vraag 4 Zijn assessments dan verboden? 56 Artikel 88 AVG: ‘Bij wet of bij collectieve overeenkomst kunnen de lidstaten nadere regels vaststellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, in het bijzonder met het oog op aanwerving, de uitvoering van de arbeidsovereenkomst, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de organisatie van de arbeid, gelijkheid en diversiteit op het werk, gezondheid en veiligheid op het werk, bescherming van de eigendom van de werkgever of de klant dan wel met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding.’
4. Employment Screening
4. Employment Screening Heeft een werknemer eigenlijk recht op privacy op het werk? Ja….. • Recht op privacy strekt zich ook uit tot de werkplek • Beperkte privé contact tijdens werktijd moet de werkgever toestaan, indien geen concreet aanwijsbare nadelige invloed op het werk • Beperkingen op basis van instructierecht > gedragscode 58
4. Employment Screening …maar controle is mogelijk maar AVG beperkt ook hier. • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integratie & vertrouwelijkheid ...en bij regelingen doorgaans instemming ondernemingsraad nodig. 59
4. Case III Cameratoezicht …maar controle is mogelijk. • Transportbedrijf De Rooy brengt camera’s aan in cabine van de vrachtwagen. Doel is om chauffeurs aan te spreken op het rijgedrag. De beelden worden vastgesteld en bewaard bij plotselinge abrupte bewegingen. Pilot is succesvol (minder ongelukken), • Mag dit? 60
4. Case III Cameratoezicht …maar controle is mogelijk. • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integriteit & vertrouwelijkheid 61
4. Case III Cameratoezicht …maar controle is mogelijk. 62 AP: nee, cameragebruik meest privacy- schendend, alternatieven voorhanden die minder vergaand zijn.
5. Personeelsdossier
5. Personeelsdossier & opslagbeperking Minimale gegevensverwerking • De werkgever mag niet meer persoonsgegevens verzamelen, gebruiken, opslaan en bewaren dan absoluut noodzakelijk voor het doel van de verwerking. Het minimum is ook meteen het maximum • De AVG, Wbp of de Uitvoeringswet (wetvoorstel) kent (nog) geen concrete bewaartermijnen • De richtlijn voor de bewaartermijn betreft twee jaar na einde dienstverband, tenzij een andere wettelijke bewaartermijn geldt • Zie Vrijstellingsbesluit Wbp 64
5. Personeelsdossier & verzuim Wat zijn gezondheidsgegevens? Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheid wordt gegeven. Waarom was dit onderscheid ook alweer relevant? Bijzonder persoonsgegeven: verwerking in principe verboden tenzij bijzondere grond (in de praktijk uitvoering veelvoorkomende gronden: wettelijke voorschriften / samenhang met aanspraken die afhankelijk zijn van de gezondheid / re-integratie / beoordeling arbeidsgeschiktheid). 65
5. Personeelsdossier & verzuim Wat zijn gezondheidsgegevens? Is een gezondheidsgegeven…. 1. …..de melding aan mijn werkgever dat ik als werknemer naar de plastisch chirurg ben geweest? 2. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben? 3. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben vanwege stress? Mag je als werkgever bij een ziekmelding van de werknemer vragen…. 1. ….wanneer hij verwacht weer te kunnen hervatten? 2. ….wat hij denkt wel aan taken te kunnen verrichten? 66
5. Case IV (AKD) En is dit een gezondheidsgegeven? ‘De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.’ 67
5. Het Personeelsdossier – verzuim 68 Doeleinde Maximumpersoonsgegevens dat mag worden verwerkt (volgens AP) Niet toegestaan Bewaartermijn De ziekmelding  Het telefoonnummer en (verpleeg)adres  De vermoedelijke duur van het verzuim  De lopende afspraken en werkzaamheden  Of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt)  Of de ziekte verband houdt met een arbeidsongeval  Of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid) Overig zoals  de mogelijkheden en beperkingen van de werknemer  de aard en/of oorzaak van het verzuim, ook bij zwangerschaps- gerelateerde klachten  Andere gegevens dan opgenomen in het linker kolom, ook niet met toestemming  Tenzij vrijwillig verstrekt én verband houdend met een ziekte waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte) Kortdurend verzuim Zolang noodzakelijk, doch uiterlijk 2 jaar na einde dienstverband Langdurig verzuim Zolang noodzakelijk, doch uiterlijk 2 jaar na de laatste dossier handeling tenzij blijvende afspraken zijn gemaakt. ERD ZW en WGA Ziektewet: Verzuimgegevens (niet medische) 5 jaar WGA: Verzuimgegevens (incl. medische keuring) voor de duur van het WGA- traject (10 jaar)
5. Het Personeelsdossier – verzuim 69 Ziekteverzuim- begeleiding/ re-integratie Maximum persoonsgegevens dat mag worden verwerkt (volgens AP) Niet toegestaan Bewaartermijn Gegevens die de bedrijfsarts/arbodienst heeft verstrekt over:  de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);  de verwachte duur van het verzuim;  de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);  eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen Alle overige gezondheidsgegevens zoals  de aard en oorzaak van de ziekte, zoals diagnoses, benamingen van ziektes, specifieke klachten of pijnaandoening  subjectieve waarnemingen over de gezondheidstoestand  gegevens over therapieën en afspraken met artsen, therapeuten en/of psychologen  overige situationele problemen (zoals relatieproblemen, stress etc.)  Uitzondering: als werknemer expliciet vraagt werkgever te laten weten dat hij epilepsie heeft en wat de werkgever moet doen in noodsituaties Re-integratiedossier Zolang noodzakelijk, doch uiterlijk 2 jaar de laatste dossier handeling tenzij blijvende afspraken zijn gemaakt ERD ZW en WGA Ziektewet: Verzuimgegevens (niet medische) 5 jaar WGA: Verzuimgegevens (incl. medische keuring) voor de duur van het WGA- traject (10 jaar)
5. Het Personeelsdossier – verzuim Let op: Dat betekent dus ook dat de ongevraagd medegedeelde ziekteoorzaak (maar ook verschijnselen, klachten, etc.) verboden is te verwerken. Toestemming werknemer “telt” niet). 70
Dus wat nu doen? Checklist 1. breng verwerking van persoonsgegevens personeel (werknemers maar ook ingeleenden, tijdelijk, ZZP’ers etc.) in kaart middels een overzicht. 2. Pas per verwerking de verwerkingsbeginselen beginselen toe. 3. Alles wat niet in lijn is met stap 2: verwijder en/of pas aan 4. Stel privacy reglement op. 5. Betrek de OR wanneer een nieuw of gewijzigd privacyreglement ingevoerd wordt (instemmingsrecht). 71
Wij houden liever geen afstand Borrel?

Recommended

Bab 7 analisis investasi bagian 1
Bab 7 analisis investasi bagian 1Bab 7 analisis investasi bagian 1
Bab 7 analisis investasi bagian 1
Dodi Suryadi
 
Manajemen kredit
Manajemen kreditManajemen kredit
Manajemen kredit
yy rahmat
 
Manajemen Risiko 19 manajemen resiko perbankan
Manajemen Risiko 19 manajemen resiko perbankanManajemen Risiko 19 manajemen resiko perbankan
Manajemen Risiko 19 manajemen resiko perbankan
Judianto Nugroho
 
Pertemuan 1 pengenalan investasi dan portfolio
Pertemuan 1 pengenalan investasi dan portfolioPertemuan 1 pengenalan investasi dan portfolio
Pertemuan 1 pengenalan investasi dan portfolio
Center For Economic Policy Institute (CEPAT)
 
Hutang dan saham preferen
Hutang dan saham preferenHutang dan saham preferen
Hutang dan saham preferen
Kartika Lukitasari
 
Business sustainability
Business sustainabilityBusiness sustainability
Business sustainability
MariaHastiKartika
 
Manajemen Risiko Operasional dan Risiko Perubahan Kurs
Manajemen Risiko Operasional dan Risiko Perubahan KursManajemen Risiko Operasional dan Risiko Perubahan Kurs
Manajemen Risiko Operasional dan Risiko Perubahan Kurs
Linda Grace Loupatty, FEB Universitas Pattimura
 
Presentasi bisnis
Presentasi bisnisPresentasi bisnis
Presentasi bisnis
Muhamad Fierza Hazmi
 

Recommended

Bab 7 analisis investasi bagian 1
Bab 7 analisis investasi bagian 1Bab 7 analisis investasi bagian 1
Bab 7 analisis investasi bagian 1
Dodi Suryadi
 
Manajemen kredit
Manajemen kreditManajemen kredit
Manajemen kredit
yy rahmat
 
Manajemen Risiko 19 manajemen resiko perbankan
Manajemen Risiko 19 manajemen resiko perbankanManajemen Risiko 19 manajemen resiko perbankan
Manajemen Risiko 19 manajemen resiko perbankan
Judianto Nugroho
 
Pertemuan 1 pengenalan investasi dan portfolio
Pertemuan 1 pengenalan investasi dan portfolioPertemuan 1 pengenalan investasi dan portfolio
Pertemuan 1 pengenalan investasi dan portfolio
Center For Economic Policy Institute (CEPAT)
 
Hutang dan saham preferen
Hutang dan saham preferenHutang dan saham preferen
Hutang dan saham preferen
Kartika Lukitasari
 
Business sustainability
Business sustainabilityBusiness sustainability
Business sustainability
MariaHastiKartika
 
Manajemen Risiko Operasional dan Risiko Perubahan Kurs
Manajemen Risiko Operasional dan Risiko Perubahan KursManajemen Risiko Operasional dan Risiko Perubahan Kurs
Manajemen Risiko Operasional dan Risiko Perubahan Kurs
Linda Grace Loupatty, FEB Universitas Pattimura
 
Presentasi bisnis
Presentasi bisnisPresentasi bisnis
Presentasi bisnis
Muhamad Fierza Hazmi
 
Manajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasionalManajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasional
Judianto Nugroho
 
Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)
nuelsitohang
 
MATERI REAL OPTION
MATERI REAL OPTIONMATERI REAL OPTION
MATERI REAL OPTION
rerenanggunw
 
etika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumenetika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumen
Syafril Djaelani,SE, MM
 
Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi
eddy sanusi silitonga
 
WAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAANWAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAAN
IrmaLaurasiregar
 
PASAR UANG
PASAR UANG PASAR UANG
PASAR UANG
Syafril Djaelani,SE, MM
 
Bank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - ReksadanaBank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - Reksadana
hasril ariel
 
Etika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab SosialEtika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab Sosial
Linda Grace Loupatty, FEB Universitas Pattimura
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Dwi Wahyu
 
Laporan Keuangan 2021.pdf
Laporan Keuangan 2021.pdfLaporan Keuangan 2021.pdf
Laporan Keuangan 2021.pdf
BALAI PENGKAJIAN TEKNOLOGI DAN PENGEMBANGAN PERTANIAN SUMATERA SELATAN
 
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
Kartika Febriyanti
 
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & LiabilitiesManajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Judianto Nugroho
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Dwi Wahyu
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plint
PlatformSecurityManagement
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Flevum
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 

More Related Content

What's hot

Manajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasionalManajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasional
Judianto Nugroho
 
Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)
nuelsitohang
 
MATERI REAL OPTION
MATERI REAL OPTIONMATERI REAL OPTION
MATERI REAL OPTION
rerenanggunw
 
etika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumenetika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumen
Syafril Djaelani,SE, MM
 
Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi
eddy sanusi silitonga
 
WAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAANWAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAAN
IrmaLaurasiregar
 
PASAR UANG
PASAR UANG PASAR UANG
PASAR UANG
Syafril Djaelani,SE, MM
 
Bank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - ReksadanaBank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - Reksadana
hasril ariel
 
Etika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab SosialEtika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab Sosial
Linda Grace Loupatty, FEB Universitas Pattimura
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Dwi Wahyu
 
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
Kartika Febriyanti
 
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & LiabilitiesManajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Judianto Nugroho
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Dwi Wahyu
 

What's hot (14)

Manajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasionalManajemen Risiko 11 Risiko operasional
Manajemen Risiko 11 Risiko operasional
 
Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)Tugas pp world bank( Bank Dunia)
Tugas pp world bank( Bank Dunia)
 
MATERI REAL OPTION
MATERI REAL OPTIONMATERI REAL OPTION
MATERI REAL OPTION
 
etika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumenetika produksi dan pemasaran konsumen
etika produksi dan pemasaran konsumen
 
Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi Tugas Resume Seni Negosiasi
Tugas Resume Seni Negosiasi
 
WAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAANWAJIB DAFTAR PERUSAHAAN
WAJIB DAFTAR PERUSAHAAN
 
PASAR UANG
PASAR UANG PASAR UANG
PASAR UANG
 
Bank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - ReksadanaBank dan lembaga keuangan - Reksadana
Bank dan lembaga keuangan - Reksadana
 
Etika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab SosialEtika Bisnis Dan Tanggung Jawab Sosial
Etika Bisnis Dan Tanggung Jawab Sosial
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 15
 
Laporan Keuangan 2021.pdf
Laporan Keuangan 2021.pdfLaporan Keuangan 2021.pdf
Laporan Keuangan 2021.pdf
 
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
kasus PHK penggelapan uang & kecurangan (studi kasus tokopedia)
 
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & LiabilitiesManajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
Manajemen Risiko 05 Risiko Kerusakan Properti & Liabilities
 
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
Akuntansi Manajemen Edisi 8 oleh Hansen & Mowen Bab 17
 

Similar to Presentatie seminar privacy op de werkvloer

AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plint
PlatformSecurityManagement
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Flevum
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
Ar seminar 2018_juni_wab_avg_gdpr_me_too
Ar seminar 2018_juni_wab_avg_gdpr_me_tooAr seminar 2018_juni_wab_avg_gdpr_me_too
Ar seminar 2018_juni_wab_avg_gdpr_me_too
AKD
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
PlatformSecurityManagement
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten
Bart Van Den Brande
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
B.A.
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
VNG Realisatie
 
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Deborah Ongena
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
JUSTthIS_Molen
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
stonefield
 
Ict recht Big Data Expo
Ict recht Big Data ExpoIct recht Big Data Expo
Ict recht Big Data Expo
BigDataExpo
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
AlmereDataCapital
 

Similar to Presentatie seminar privacy op de werkvloer (20)

AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plint
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Ar seminar 2018_juni_wab_avg_gdpr_me_too
Ar seminar 2018_juni_wab_avg_gdpr_me_tooAr seminar 2018_juni_wab_avg_gdpr_me_too
Ar seminar 2018_juni_wab_avg_gdpr_me_too
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
 
Ict recht Big Data Expo
Ict recht Big Data ExpoIct recht Big Data Expo
Ict recht Big Data Expo
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
 

More from AKD

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdracht
AKD
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht?
AKD
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie
AKD
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house model
AKD
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie Aanbestedingswebinar
AKD
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pas
AKD
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar
AKD
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschap
AKD
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur
AKD
 
Inleiding
Inleiding Inleiding
Inleiding
AKD
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductie
AKD
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2
AKD
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4
AKD
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
AKD
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
AKD
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductie
AKD
 

More from AKD (20)

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdracht
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht?
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house model
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie Aanbestedingswebinar
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pas
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschap
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur
 
Inleiding
Inleiding Inleiding
Inleiding
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductie
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductie
 

Presentatie seminar privacy op de werkvloer

  • 1. Privacy op de werkvloer 15 januari 2018 Zijn uw HR processen privacy proof op 25 mei 2018? Eliette Vaal Pascal van Schaik Martin Hemmer Eva van den Krommenacker
  • 2. Agenda 1. De Algemene Verordening Gegevensbescherming (AVG) - Inleiding - Enkele onderwerpen uitgediept - Zet Privacy op de agenda 2. Praktische invulling - Register - Pre Employment Screening
  • 3. 1. De Algemene Verordening Gegevensbescherming - Inleiding
  • 5. AVG - Kernpunten privacyrecht ongewijzigd Handvest grondrechten EU Artikel 7 De eerbiediging van het privé-leven en van het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Artikel 8 De bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd. 5
  • 6. Belangrijkste nieuwe punten • Enkele nieuwe begrippen  • Verantwoordingsplicht • Gewijzigde grondslagen? • Register van verwerkingen • PIA’s / Privacy by design • Uitgebreidere informatieverplichtingen / rechten betrokkene • Nieuwe rol verwerker / verwerker-overeenkomsten • Meldplicht datalekken • Boeterisico’s • Territoriale scope uitgebreid • Deadline: 25 mei 2018 6
  • 7. Nog veel onduidelijkheden • Verordening werkt rechtstreeks • Laat toch enige ruimte voor nationale wetgeving • Voor bijzondere gegevens • Voor verwerking in de arbeidsverhouding (art. 88 AVG) • Uitvoeringswet AVG  beleidsneutrale implementatie • Status: • Consultatieronde is afgerond • Advies AP en Raad van State is uitgebracht • 13 december 2017 verscheen voorstel van Wet + MvT 7
  • 9. Hoge boetes Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet! • Boetes “doeltreffend, evenredig en afschrikwekkend” (art. 83 lid 1) • Bij boeteoplegging wordt rekening gehouden met tal van factoren: • opzettelijke / nalatige aard • schadebeperkingsmaatregelen • accountability gezien beveiligingsmaatregelen (art. 83 AVG)  illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol 9
  • 10. Boetes in de praktijk AP blijkt sinds 1 januari 2016 niet ‘triggerhappy’ Boetes zonder waarschuwen? • De bindende aanwijzing is geen onderdeel AVG en ook niet van de Uitvoeringswet • Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State) • Als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet wordt verwacht, zal het rauwelijks opleggen van een (hoge) bestuurlijke boete de rechterlijke toets niet kunnen doorstaan." (Minister, Nader Rapport) Boete voor bestuurder?  opdracht / feitelijke leiding / maatregelen achterwege laten 10
  • 11. Toepassingsbereik AVG • Verwerking • Van persoonsgegevens • Geautomatiseerd of in een bestand 11 “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”
  • 12. Persoonsgegeven: scope Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. 12
  • 13. Verwerker vs veranwtoordelijke 13 Verwerkeringsverantwoordelijke Verwerker Werkgever Cloud provider Uitzendbureau Loonstrookverwerker voor personeel Overheidsinstantie die gegevens opvraagt Aanbieder analysetool salarissen
  • 14. Verwerker Conclusie AG inzake AP Schleswig-Holstein vs. Wirtschaftsakademie (=beheerder fanpagina Facebook) 14
  • 15. Territoriale scope is uitgebreid Vestiging in de Unie •de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. •Vestiging = ieder duurzaam centrum van economische activiteit Vestiging buiten de Unie •de verwerking van persoonsgegevens door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met: •a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of •b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt. 15
  • 16. Register verwerkingen Essentie van de AVG voor veel organisaties ! • Meldplicht AP voor (niet risicovolle) verwerkingen verdwijnt  AP handhaaft niet tot inwerkingtreding AVG • Nieuwe verplichting bijhouden register verwerkingen • Verplichting geldt voor verwerkingsveranwtoordelijke en verwerker • Uitzondering voor organisaties < 250 werknemers, tenzij: • verwerking met risico voor de rechten en vrijheden van de betrokkenen; • de verwerking niet incidenteel is? • de verwerking bijzondere categorieën van gegevens betreft. 16
  • 17. Register verwerkingen Welke informatie moet erin? • Verwerkingsdoeleinden • Categorieën betrokkenen • Categorieën persoonsgegevens • Categorieën van ontvangers • Doorgiftes buiten de EU • Bewaartermijnen • Beschrijving beveiliging Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de hand van ICT applicaties / aan de hand van bedrijfsonderdelen aan de hand van questionnaires naar de managers) 17
  • 19. Rechtvaardige grondslag vereist voor alle verwerkingen Noodzakelijkheid • Doelbinding  Voor overeenkomst, wettelijke plicht, gerechtvaardigd belang etc. • Proportionaliteit, subsidiariteit Toestemming • Strengere eisen • Geen vrije toestemming bij afhankelijkheid! Let op: in arbeidsrelatie is toestemming in beginsel geen geldige grondslag 19
  • 20. Verwerking gevoelige gegevens Verwerking verboden, tenzij door bepaalde verwerkersverantwoordelijken en voor bepaalde doeleinden of met uitdrukkelijke toestemming (enz.  zie artikel 9 lid 2 AVG) 20 • levensovertuiging of godsdienst • politieke gezindheid, • lidmaatschap vakbond • ras, etniciteit • seksuele leven • gezondheid • biometrische ID-gegevens met het oog op de unieke identificatie van een persoon • genetische gegevens • strafrechtelijke gegevens • BSN
  • 22. Pasfoto altijd bijzonder gegeven? Nee • mits doel niet is gericht op maken onderscheid, dit ook niet voorzienbaar is en de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking; • mits niet worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. 22
  • 23. Gegevens betreffende de gezondheid Dit is (inmiddels) een zeer breed begrip! Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data about a person's intellectual and emotional capacity (such as IQ), information about smoking and drinking habits, membership of an individual in a patient support group (e.g. cancer support group), Weight Watchers” Gevolgen voor: • Assessments • Uitgebreide personeelsdossiers • Coaching-sessies • Uitgebreide (Big-data) analyses van werknemersgedrag 23
  • 24. Uitzonderingen voor werkgevers onder AVG • Uitdrukkelijke toestemming (9 lid 2 sub a AVG) • Noodzakelijk voor vitaal belang (9 lid 2 sub c AVG) • Verwerking stichting, vereniging etc. zonder winstoogmerk (9 lid 2 sub d AVG) • Door betrokkene duidelijk openbaar gemaakt (9 lid 2 sub e AVG) • Instelling, uitoefening onderbouwing van een recht in rechte (9 lid 2 sub f AVG)  zie artikel 22 UAVG 24
  • 25. Uitzonderingen voor werkgevers onder AVG Rechtstatelijke rechtsbasis noodzakelijk • Rechten en plichten het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (9 lid 2 sub b AVG) • Zwaarwegend algemeen belang (9 lid 2 sub g AVG) • Preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten (9 lid 2 sub h AVG) • Volksgezondheid (9 lid 2 sub i AVG) • Archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (9 lid 2 sub j AVG) 25
  • 27. Uitzonderingen voor werkgevers UAVG (voorbeeld) Artikel 30 UAVG. Uitzonderingen inzake gegevens over gezondheid 1. Gelet op artikel 9, tweede lid, onderdeel b, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing, indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk is voor: a. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of b. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. 27
  • 28. Vraag: Zijn assessments nog toegestaan? 28
  • 30. Vraag: Zijn alcohol- en drugs controles nog toegestaan? 30
  • 31. Uniper-rapport: 22 februari 2017 31 • Uniper had beleid vastgesteld om alcohol- en drugstesten in te zetten om onveilige situaties te voorkomen. Onder meer ad random alcohol- en drugstesten bij vermoeden van gebruik (uitkomsten van adem- en wangslijmtesten) • Uniper beriep zich voor testen op het feit dat sprake was van een zwaarwegend belang • veiligheid / arbeidsomstandighedenwet. • en op artikel 7:611 (goedwerknemerschap) en 660 (instructiebevoegdheid werkgever) BW AP vond dit onvoldoende, omdat een specifieke wettelijke bepaling vereist is voor een beroep op een zwaarwegend belang: Hoe nu verder?  Art. 23 en 30 lid 2 UAVG?
  • 32. Beveiliging • Technisch én organisatorisch • Passend gezien stand techniek en aard verwerkingen • Pseudonimisering / versleuteling • Vermogen om op permanente basis de integriteit van verwerkingssystemen en diensten te garanderen • Tot herstel bij incident • Een procedure om de maatregelen regelmatig te testen en te beoordelen (PLAN DO CHECK ACT- cyclus) • Gedragscodes? Baseline Informatiebeveiliging Corporaties 32
  • 33. Een datalek zit in een klein hoekje… 33
  • 36. Aanscherping Informatieplicht Beknopt, eenvoudig toegankelijk en begrijpelijk • Bewaartermijn • Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en portabiliteit) • Klachtrecht bij AP • Uitleg doeleinden en rechtsgronden verwerking • Profilering, reden daarvan en mogelijke gevolgen Belangrijkste uitzonderingen • Verwerking voorgeschreven bij wet • Onmogelijk / onevenredig • Of informeren maakt doeleinde onmogelijk 36
  • 37. Verplichte FG in specifieke gevallen 37 Verplicht voor • Overheden • Niet overheden die als kerntaak hebben: • Het uitvoeren van verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of • Het uitvoeren van grootschalige verwerkingen van bijzondere categorieën van gegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten. Eisen • Kan personeelslid zijn of op grond van dienstenovereenkomst • Onafhankelijkheid  geen belangenverstrengeling • Ook op vrijwillige basis  zie beleidsregels AP
  • 38. Verplichte FG in specifieke gevallen 38
  • 39. Zet privacy op de agenda
  • 40. To do • Startpunt = register van gegevensverwerkingen • Kijk kritisch naar doel en noodzaak van verwerkingen. • Kan een doel ook met minder data bereikt worden? • Check bewaartermijnen • Is een PIA vereist? • Check aanwezigheid en inhoud (bewerkings)overeenkomsten: • Check informatieplichten / procedures voor uitoefening rechten • Vergeet niet de organisatorische beveiliging / awareness over privacyrecht • Meld meldingsplichtige inbreuken (implementeer meldingsprotocol) 40
  • 41. Hulpmiddel: AKD Privacycheck AKD Privacycheck: is uw organisatie al privacy-proof? Vul de AKD privacychecklist in als startpunt voor compliance. https://www.akd.nl/d/Paginas/Subpagina%27s%20Intellectual%20Property%20and% 20Technology/AKD-Privacycheck-.aspx 41
  • 43. 2. Register verwerkingen Achtergrond • AVG is metaregulering Verantwoordingsplicht • Bewijslast ligt bij werkgever Registerplicht als startpunt • Daarom: breng alle HR- verwerkingen in kaart 43
  • 44. 2. Register verwerkingen Welke informatie moet erin? • Verwerkingsdoeleinden • Categorieën betrokkenen • Categorieën persoonsgegevens • Categorieën van ontvangers • Doorgiftes buiten de EU • Bewaartermijnen • Beschrijving beveiliging 44
  • 45. 2. Register verwerkingen Stap 1: Breng verwerkingen in kaart Stap 2: Pas de volgende beginselen toe op iedere verwerking • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integriteit & vertrouwelijkheid 45
  • 46. 3. Pre Employment Screening
  • 47. 3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Rechtmatigheid toetsen Stap 1: gaat het om gewone (ja, mits) of bijzondere persoonsgegevens (nee, tenzij)? Stap 2: beoordeel aan de hand van 6 AVG of 9 lid 2 of verwerking mogelijk is. 47
  • 48. 3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Meest relevant bij gewone persoonsgegevens: • Instemming • Wettelijke plicht • Noodzakelijk voor de uitvoering van de arbeidsovereenkomst • Gerechtvaardigde belangen (rechtvaardigt de functie de screening) 48
  • 49. 3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Transparant • Weet de sollicitant van de screening af? Doelbinding • Worden de gegevens ook voor andere doeleinden gebruikt? 49
  • 50. 3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Minimale gegevensverwerking • Welke social media worden gescreend? • Het feit dat een profiel publiek is, betekent niet automatisch dat het gescreend mag worden • Wordt er ook geklikt op niet-relevante aspecten (vakantiefoto’s)? Juistheid • Worden de resultaten met de sollicitant getoetst (met bronvermelding)? 50
  • 51. 3. Case I Pre Employment Screening Ingezoomd: neuzen op social media Hoe lang worden de gegevens bewaard? • Wanneer niet meer noodzakelijk, verwijderen. • vier weken na sollicitatieprocedure? Integriteit en vertrouwelijkheid • Wie kunnen de gegevens inzien? 51
  • 52. 3. Case II Assessment Ingezoomd: assessments • Betonpalenfabriek De Betonpaal wil een selectie assessment afnemen • De sollicitant wordt in de wervingsadvertentie op de hoogte gebracht van het feit dat een assessment onderdeel is van de selectieprocedure • De sollicitant gaat akkoord met het selectieassessment. • Mag dit? 52
  • 53. 3. Case II Assessment Vraag 1 Wat voor soort persoonsgegevens worden er verwerkt (gewone of bijzondere persoonsgegevens)? 53 Overweging 35 AVG: ‘Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst.’ Artikel 4 AVG: ‘Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.’
  • 54. 3. Case II Assessment Vraag 2 Uitgaande van bijzondere persoonsgegevens: is de uitdrukkelijke toestemming van de sollicitant een grondslag voor verwerking? 54 Overweging 42 AVG: ‘Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.’
  • 55. 3. Case II Assessment Vraag 3 Is er dan een andere grondslag die gebruikt kan worden? 55 Is de verwerking noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht? Is de verwerking noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht?
  • 56. 3. Case II Assessment Vraag 4 Zijn assessments dan verboden? 56 Artikel 88 AVG: ‘Bij wet of bij collectieve overeenkomst kunnen de lidstaten nadere regels vaststellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, in het bijzonder met het oog op aanwerving, de uitvoering van de arbeidsovereenkomst, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de organisatie van de arbeid, gelijkheid en diversiteit op het werk, gezondheid en veiligheid op het werk, bescherming van de eigendom van de werkgever of de klant dan wel met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding.’
  • 58. 4. Employment Screening Heeft een werknemer eigenlijk recht op privacy op het werk? Ja….. • Recht op privacy strekt zich ook uit tot de werkplek • Beperkte privé contact tijdens werktijd moet de werkgever toestaan, indien geen concreet aanwijsbare nadelige invloed op het werk • Beperkingen op basis van instructierecht > gedragscode 58
  • 59. 4. Employment Screening …maar controle is mogelijk maar AVG beperkt ook hier. • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integratie & vertrouwelijkheid ...en bij regelingen doorgaans instemming ondernemingsraad nodig. 59
  • 60. 4. Case III Cameratoezicht …maar controle is mogelijk. • Transportbedrijf De Rooy brengt camera’s aan in cabine van de vrachtwagen. Doel is om chauffeurs aan te spreken op het rijgedrag. De beelden worden vastgesteld en bewaard bij plotselinge abrupte bewegingen. Pilot is succesvol (minder ongelukken), • Mag dit? 60
  • 61. 4. Case III Cameratoezicht …maar controle is mogelijk. • Rechtmatigheid, behoorlijkheid en transparantie • Doelbinding • Minimale gegevensverwerking • Juistheid • Opslagbeperking • Integriteit & vertrouwelijkheid 61
  • 62. 4. Case III Cameratoezicht …maar controle is mogelijk. 62 AP: nee, cameragebruik meest privacy- schendend, alternatieven voorhanden die minder vergaand zijn.
  • 64. 5. Personeelsdossier & opslagbeperking Minimale gegevensverwerking • De werkgever mag niet meer persoonsgegevens verzamelen, gebruiken, opslaan en bewaren dan absoluut noodzakelijk voor het doel van de verwerking. Het minimum is ook meteen het maximum • De AVG, Wbp of de Uitvoeringswet (wetvoorstel) kent (nog) geen concrete bewaartermijnen • De richtlijn voor de bewaartermijn betreft twee jaar na einde dienstverband, tenzij een andere wettelijke bewaartermijn geldt • Zie Vrijstellingsbesluit Wbp 64
  • 65. 5. Personeelsdossier & verzuim Wat zijn gezondheidsgegevens? Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheid wordt gegeven. Waarom was dit onderscheid ook alweer relevant? Bijzonder persoonsgegeven: verwerking in principe verboden tenzij bijzondere grond (in de praktijk uitvoering veelvoorkomende gronden: wettelijke voorschriften / samenhang met aanspraken die afhankelijk zijn van de gezondheid / re-integratie / beoordeling arbeidsgeschiktheid). 65
  • 66. 5. Personeelsdossier & verzuim Wat zijn gezondheidsgegevens? Is een gezondheidsgegeven…. 1. …..de melding aan mijn werkgever dat ik als werknemer naar de plastisch chirurg ben geweest? 2. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben? 3. …..de melding aan mijn werkgever dat ik als werknemer “ziek” ben vanwege stress? Mag je als werkgever bij een ziekmelding van de werknemer vragen…. 1. ….wanneer hij verwacht weer te kunnen hervatten? 2. ….wat hij denkt wel aan taken te kunnen verrichten? 66
  • 67. 5. Case IV (AKD) En is dit een gezondheidsgegeven? ‘De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.’ 67
  • 68. 5. Het Personeelsdossier – verzuim 68 Doeleinde Maximumpersoonsgegevens dat mag worden verwerkt (volgens AP) Niet toegestaan Bewaartermijn De ziekmelding  Het telefoonnummer en (verpleeg)adres  De vermoedelijke duur van het verzuim  De lopende afspraken en werkzaamheden  Of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt)  Of de ziekte verband houdt met een arbeidsongeval  Of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid) Overig zoals  de mogelijkheden en beperkingen van de werknemer  de aard en/of oorzaak van het verzuim, ook bij zwangerschaps- gerelateerde klachten  Andere gegevens dan opgenomen in het linker kolom, ook niet met toestemming  Tenzij vrijwillig verstrekt én verband houdend met een ziekte waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte) Kortdurend verzuim Zolang noodzakelijk, doch uiterlijk 2 jaar na einde dienstverband Langdurig verzuim Zolang noodzakelijk, doch uiterlijk 2 jaar na de laatste dossier handeling tenzij blijvende afspraken zijn gemaakt. ERD ZW en WGA Ziektewet: Verzuimgegevens (niet medische) 5 jaar WGA: Verzuimgegevens (incl. medische keuring) voor de duur van het WGA- traject (10 jaar)
  • 69. 5. Het Personeelsdossier – verzuim 69 Ziekteverzuim- begeleiding/ re-integratie Maximum persoonsgegevens dat mag worden verwerkt (volgens AP) Niet toegestaan Bewaartermijn Gegevens die de bedrijfsarts/arbodienst heeft verstrekt over:  de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);  de verwachte duur van het verzuim;  de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);  eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen Alle overige gezondheidsgegevens zoals  de aard en oorzaak van de ziekte, zoals diagnoses, benamingen van ziektes, specifieke klachten of pijnaandoening  subjectieve waarnemingen over de gezondheidstoestand  gegevens over therapieën en afspraken met artsen, therapeuten en/of psychologen  overige situationele problemen (zoals relatieproblemen, stress etc.)  Uitzondering: als werknemer expliciet vraagt werkgever te laten weten dat hij epilepsie heeft en wat de werkgever moet doen in noodsituaties Re-integratiedossier Zolang noodzakelijk, doch uiterlijk 2 jaar de laatste dossier handeling tenzij blijvende afspraken zijn gemaakt ERD ZW en WGA Ziektewet: Verzuimgegevens (niet medische) 5 jaar WGA: Verzuimgegevens (incl. medische keuring) voor de duur van het WGA- traject (10 jaar)
  • 70. 5. Het Personeelsdossier – verzuim Let op: Dat betekent dus ook dat de ongevraagd medegedeelde ziekteoorzaak (maar ook verschijnselen, klachten, etc.) verboden is te verwerken. Toestemming werknemer “telt” niet). 70
  • 71. Dus wat nu doen? Checklist 1. breng verwerking van persoonsgegevens personeel (werknemers maar ook ingeleenden, tijdelijk, ZZP’ers etc.) in kaart middels een overzicht. 2. Pas per verwerking de verwerkingsbeginselen beginselen toe. 3. Alles wat niet in lijn is met stap 2: verwijder en/of pas aan 4. Stel privacy reglement op. 5. Betrek de OR wanneer een nieuw of gewijzigd privacyreglement ingevoerd wordt (instemmingsrecht). 71
  • 72. Wij houden liever geen afstand Borrel?