Werkgevers zijn volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om hun werknemers te informeren over de omgang met hun persoonsgegevens. Maar hoe voldoe je aan deze informatieplicht? Dit kan met behulp van een interne privacyverklaring. In deze blog leg ik uit wat een interne privacyverklaring is en wat daarin hoort te staan.
Informatieplicht voor werkgevers onder de AVG
De AVG is duidelijk. Als je persoonsgegevens verzamelt van een persoon, dien je diegene gelijktijdig te informeren over het hoe en wat van de gegevensverwerking. Deze informatie dient eenvoudig toegankelijk en begrijpelijk te zijn. Dit betekent geen ingewikkeld juridisch jargon, maar heldere taal. Het is gebruikelijk en gemakkelijk om alle vereiste informatie op één plek aan te bieden: een zogeheten privacyverklaring, ook wel privacy statement genoemd.
Een werkgever verwerkt altijd persoonsgegevens van werknemers. Bijvoorbeeld om een personeelsdossier aan te leggen, de salarissen uit te betalen, verzuim te registeren en het pand te beveiligen. Een werkgever zal zijn werknemers daarom actief moeten informeren over de verwerkingen die (gaan) plaatsvinden op het moment dat hij de gegevens van zijn werknemers verzamelt.
Regelmatig hebben organisaties een privacyverklaring voor klanten en websitebezoekers op de website staan, en denken ze dat daarmee volledig aan de informatieplicht van de AVG is voldaan. Aan het informeren van werknemers wordt simpelweg niet gedacht. Net als klanten en websitebezoekers dienen werknemers te worden geïnformeerd. Wil je als werkgever in lijn handelen met de informatieplicht uit de AVG? Overleg dan een interne privacyverklaring bij aanvang van het dienstverband en zorg dat de privacyverklaring op je website informatie bevat over hoe je omgaat met de gegevens van sollicitanten.
Hoe ziet een interne privacyverklaring eruit?
De informatie dient beknopt, transparant en in duidelijk en eenvoudige taal verstrekt te worden. De interne privacyverklaring ziet er in grote lijnen hetzelfde uit als de privacyverklaring op de website. De wettelijke vereisten zijn immers hetzelfde. Verder dient de interne privacyverklaring in ieder geval de volgende informatie te bevatten:
- De identiteit en contactgegevens van de werkgever.
- De soorten persoonsgegevens die worden verwerkt (bijvoorbeeld NAW-gegevens en salarisgegevens).
- De doelen van de verwerking van persoonsgegevens (bijvoorbeeld uitbetaling van salaris).
- De grondslag van de verwerking (bijvoorbeeld om de arbeidsovereenkomst uit te voeren, te voldoen aan een wettelijke plicht of wegens een gerechtvaardigd belang).
- In voorkomend geval een motivering van het gerechtvaardigd belang van de werkgever (bijvoorbeeld voor het monitoren van medewerkers bij een vermoeden van misbruik van bedrijfsgegevens).
- Wie de (categorieën) ontvangers zijn van de persoonsgegevens (bijvoorbeeld een salarisadministratiekantoor of IT-dienstverlener).
- Of er gegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (bijvoorbeeld als er gebruik wordt gemaakt van een hostingprovider gevestigd in Amerika) en welke passende waarborgen zijn getroffen (zoals een Privacy Shield certificatie).
- Hoe lang de werkgever de persoonsgegevens bewaard (bijvoorbeeld het personeelsdossier maximaal 2 jaar na uitdiensttreding en de salarisadministratie 7 jaar na uitdiensttreding wegens de fiscale bewaarplicht).
- De getroffen beveiligingsmaatregelen (bijvoorbeeld encryptie en tweefactorauthenticatie).
- De rechten van de werknemers (zoals het recht op inzage, -rectificatie en -verwijdering).
Waar je een interne privacyverklaring vandaan haalt? Met de generator op JuriDox maak je gemakkelijk zelf jouw eigen interne privacyverklaring.
