Waarom u uw AVG compliance op orde moeten hebben

In mei is de Algemene Verordening Gegevensbescherming (AVG) twee jaar van kracht. De meeste bedrijven weten inmiddels dat zij rekening moeten houden met de privacy van bijvoorbeeld (potentiële) klanten en hun eigen werknemers. Hoe er binnen het bedrijf concreet met de AVG moet worden omgegaan is echter vaak onduidelijk. Onjuiste omgang met persoonsgegevens leveren een risico op voor uw bedrijf. Er komen namelijk steeds meer klachten binnen bij de Autoriteit Persoonsgegevens. Daarnaast bestaat het risico dat u slachtoffer wordt van internetcriminelen die persoonsgegevens buitmaken, zoals recentelijk gebeurde bij de Universiteit Maastricht. In beide gevallen kunt u claims verwachten van bijvoorbeeld (voormalige) werknemers. Om dat te voorkomen is het belangrijk dat u aan de AVG voldoet en ook uw beveiliging goed op orde hebt.

Welke gegevens worden door de AVG beschermd?

De AVG draait kort gezegd om het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een bepaald persoon. Het gaat hier bijvoorbeeld om namen en telefoonnummers van klanten die staan opgeslagen in uw administratie. Daarnaast verwerkt u ook natuurlijk ook gegevens van uw eigen medewerkers en mensen die bij u komen solliciteren, zoals adres, bankrekeningnummer of een CV. Uw bedrijf verwerkt waarschijnlijk ook bijzondere persoonsgegevens. Daarbij kunt u denken aan het BSN nummer of foto’s van uw medewerkers. Dit soort gevoelige gegevens worden door de AVG extra goed beschermd.

Het personeelsdossier

Veel ondernemers komen tijd tekort om het personeelsdossier, met daarin de gegevens van de werknemers en sollicitanten, goed bij te houden. Daardoor kan het gebeuren dat er nog oude gegevens van ex-werknemers in het dossier zitten. De (voormalige) werknemer heeft het recht om deze gegevens in te zien en hij mag ook verzoeken om deze gegevens na einde van het dienstverband te laten verwijderen. Soms blijken er ook gegevens in het personeelsdossier te zitten die hier helemaal niet thuishoren: denk aan informatie over gezondheidsklachten van de werknemer, medicijngebruik of persoonlijke problemen. Als u dat soort gegevens in het personeelsdossier heeft, raden wij u aan om dit zo snel mogelijk te verwijderen, ook als uw werknemer die informatie zelf heeft verstrekt. Na het einde van het dienstverband mag u veel gegevens van werknemers slechts 2 jaar bewaren. Gegevens van sollicitanten moet u in principe binnen 4 weken na de sollicitatieprocedure wissen.  

Wat zijn de gevolgen van een schending van de AVG?

Als u niet voldoet aan de regels van de AVG dan is dat een risico voor uw bedrijf. (Voormalige) werknemers kunnen een klacht indienen bij de Autoriteit Persoonsgegevens en dan riskeert u een boete. Mensen zijn inmiddels goed op de hoogte van hun rechten en klagen gebeurt dan ook steeds vaker. Als u niet voldoet aan de AVG dan kunnen (voormalige) medewerkers ook naar de rechter stappen en schadevergoeding eisen. Indien u de controle verliest over persoonsgegevens dan kan de rechter al snel een schadevergoeding toewijzen van enkele honderden euro’s, zo blijkt uit twee uitspraken uit eind 2019.

Onlangs werd de Universiteit Maastricht bijvoorbeeld slachtoffer van ransomware waarbij de gegevens van vele duizenden mensen gestolen kunnen zijn. Onderzoek moet nog uitwijzen of dat ook daadwerkelijk is gebeurd. Als blijkt dat de beveiliging niet op orde was dan kan de Universiteit Maastricht hoge boetes en schadeclaims verwachten. Niet alleen grote organisaties, maar ook het MKB wordt steeds vaker slachtoffer van cyberaanvallen en ransomware. Wanneer dit bij uw bedrijf gebeurt moeten er vaak hoge bedragen aan losgeld worden betaald om uw computersysteem weer vrij te geven. Als er daarnaast ook nog persoonsgegevens zijn buitgemaakt dan kunnen (voormalige) medewerkers naar de rechter stappen. U bent dan dubbel slachtoffer: naast het betalen van losgeld kunt u dan ook nog rekenen op een schadevergoeding van enkele honderden euro’s per persoon.

Hoe kunt u claims voorkomen en voldoen aan de AVG?

Een belangrijk punt is dat de beveiliging van uw bedrijfssystemen goed op orde moet zijn. Zo geeft u internetcriminelen geen kans. Wanneer er toch persoonsgegevens lekken of gestolen worden, dan moet u dat ook registeren en vastleggen welke actie u onderneemt. In ernstige gevallen heet dit een datalek en dat moet binnen 72 uur gemeld worden aan de Autoriteit. In het kader van de AVG moet u ook een verwerkingsregister opstellen waarin u bijhoudt welke gegevens u verwerkt. Als dat eenmaal duidelijk is moet u de betrokken personen daarover informeren via het privacy beleid en de privacy verklaring. Daarin moet u de betrokken personen ook wijzen op hun rechten, zoals inzage in de informatie en het indienen van een klacht over de verwerking door uw bedrijf.

Masterclasses Privacy voor het MKB

Bent u nog steeds niet begonnen of klaar met de AVG implementatie? Of wilt u meer weten over Privacy ten opzichte van uw werknemers? Kom dan naar onze Masterclass AVG management aankomende 6 februari of onze Masterclass Privacy en werknemers aankomende 9 april 2020.

Masterclass AVG management 6 februari 2020:
Meer informatie en aanmelden.

Masterclass Privacy en werknemers 9 april 2020
Meer informatie en aanmelden.