Privacyverklaring werknemers: verplicht of niet? (met gratis voorbeeld)
Voor de implementatie van de Algemene Verordening Gegevensbescherming (AVG) heb je waarschijnlijk al een privacyverklaring opgesteld voor je klanten of gebruikers. Maar is deze ook verplicht voor je eigen werknemers, inhuur- en uitzendkrachten? In deze bijdrage leggen we uit wat een interne privacyverklaring is en wat daarin hoort te staan.
Informatieplicht voor werkgevers onder de AVG
Net als bij klanten of gebruikers geldt dat je mensen (betrokkenen) moet informeren als je hun persoonsgegevens verzamelt. De informatie dient eenvoudig toegankelijk en begrijpelijk te zijn. Zeker bij een grote organisatie is het verstandig om aan deze informatieplicht te voldoen met een privacyverklaring.
Moet een kleine werkgever ook een privacyverklaring voor werknemers hebben?
Als kantoor (let op: geen wetgeving of officiële richtlijn) vinden wij dat organisaties met meer dan 25 mensen er verstandig aan doen een privacyverklaring voor medewerkers op te stellen. De ervaring leert dat kleinere organisaties korte lijnen hebben, zodat een medewerker die vragen heeft deze gewoon kan stellen aan de directie of medewerker HR. Als deze naar beste kunnen worden beantwoord wordt naar ons idee ook in voldoende mate aan de informatieplicht voldaan. Het gaat immers om het doel: heldere informatie en niet het middel: een extra stukje papierwerk.
Let wel: als er bijzonderheden zijn bij je verwerking, bijvoorbeeld omdat je vaak vluchten en hotels boekt buiten de Europese Unie voor je medewerkers, dan is een privacyverklaring wel zeer aan te bevelen.
Wat staat er in de privacyverklaring voor medewerkers?
Als je als organisatie een interne privacyverklaring opstelt is het raadzaam om alle partijen mee te nemen. Denk dus niet alleen aan medewerkers, maar ook aan uitzendkrachten en payrollmedewerkers.
De punten die in de privacyverklaring staan worden hieronder opgesomd. De normale verwerkingen die een werkgever uitvoert zijn het aanleggen van een personeelsdossier met overeenkomsten, een beoordelingsverklaring, een salarisadministratie (met kopie-ID) en een verzuimadministratie. Vaak zien we dat ook veel onderdelen worden vergeten. Denk daarbij aan doorgifte van de gegevens van de medewerker voor een opleiding, faciliteiten (telefoon, auto) en deelname aan het pensioenfonds.
Hoe ziet een interne privacyverklaring eruit?
De informatie moet vooral duidelijk zijn. Verder dient de interne privacyverklaring in ieder geval de volgende informatie te bevatten:
- De identiteit en contactgegevens van de werkgever.
- De soorten persoonsgegevens die worden verwerkt (bijvoorbeeld NAW-gegevens, en salarisgegevens, verzuimgegevens, contactgegevens in geval van nood).
- De doelen van de verwerking van persoonsgegevens (bijvoorbeeld uitbetaling van salaris of faciliteren van werkzaamheden).
- De grondslag van de verwerking (bijvoorbeeld om de arbeidsovereenkomst uit te voeren, te voldoen aan een wettelijke plicht of wegens een gerechtvaardigd belang).
- In voorkomend geval een motivering van het gerechtvaardigd belang van de werkgever (bijvoorbeeld voor het monitoren ICT faciliteiten voor de beveiliging van het netwerk).
- Wie de (categorieën) ontvangers zijn van de persoonsgegevens (bijvoorbeeld een pensioenfonds, leasemaatschappij of uitzendbureau).
- Of er gegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (bijvoorbeeld bij het boeken van een buitenlands hotel.
- Hoe lang de werkgever de persoonsgegevens bewaart (bijvoorbeeld het personeelsdossier maximaal 2 jaar na uitdiensttreding en de salarisadministratie 7 jaar na uitdiensttreding wegens de fiscale bewaarplicht).
- De getroffen beveiligingsmaatregelen (bijvoorbeeld tweefactorauthenticatie voor de HR applicatie).
- De contactgegevens van de FG (als je die hebt).
- De rechten van de werknemers (zoals het recht op inzage, -rectificatie en -verwijdering).
- De mogelijkheid tot het indienen van een klacht bij de autoriteit persoonsgegevens.
Liever een voorbeeld?
Download hier ons model “privacyverklaring voor medewerkers”. Dit model (gewoon in .Docx zodat je hem kan gebruiken) mag kosteloos worden gebruikt. Zorg er wel voor dat je de privacyverklaring zo aanpast dat hij ook daadwerkelijk past bij jouw organisatie.
Toetsen of hulp
Wil je jou interne privacyverklaring laten toetsen, of wil je een audit laten uitvoeren of jouw organisatie op alle punten voldoet aan de AVG? Download dan hier onze brochure of bel: 030 – 78 52 791 voor meer informatie.
mr. C.M. (Maarten) de Man
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Gemeente Heemskerk, Gemeente Nederweert, Rekenkamer Den Haag, Payroll Select en ArGon Arbodienstverlening.
E-mail: deman@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.