Privacy in bedrijf

De AVG vereist dat een organisatie een accuraat en actueel overzicht moet hebben van alle gegevensverwerkingen. De datastromen moeten in beeld zijn!

Een goed werkend privacysysteem binnen bedrijven en instellingen bestaat uit een aantal componenten die in samenhang met elkaar waarborgen dat op adequate wijze invulling wordt gegeven aan de eisen die de Algemene Verordening Gegevensbescherming, de Wet op de Ondernemingsraden en het goed werkgeverschap aan u stellen. Het opzetten van een goed werkend privacysysteem voor werknemers binnen bedrijven en instellingen is geen sinecure. Het NISeR kan u helpen bij het opzetten van een dergelijk systeem binnen uw organisatie.

De bouwstenen die in samenhang met elkaar de basis vormen voor het privacysysteem zijn:

  1.  Het verwerkingsregister ex. art. 30 AVG;
  2.  Een Algemeen Privacyreglement Personeelsadministratie
  3. Een Reglement beheersvoorzieningen
  4. Een Procedure Onderzoek en Besluitvorming bij Misstanden
  5. Een privacy-zelfevaluatie instrument
  6. Een privacystatement op de website
  7. Een schematisch overzicht waarin de samenhang van de componenten wordt weergegeven

Neem vrijblijvend contact op met NISeR om de mogelijkheden voor het opzetten van een goed werkend privacysysteem voor uw bedrijf of instelling te bespreken. Indien gewenst kan het NISeR ook optreden als externe privacyfunctionaris (functionaris voor de gegevensverwerking).

Hieronder kunt u een PDF download om zo inzicht te krijgen in de werking van het systeem aan de hand van een casus.

Download de PDF

Een verdere beschrijving van de inhoud van de documenten treft u hieronder aan.

Verwerkingsregister

Organisaties  moeten een accuraat overzicht  hebben van alle persoonsgegevens die zij “verwerken” (art. 30 AVG). Basisvragen zijn: Bij welke activiteiten van de onderneming en met welke applicaties worden persoonsgegevens verzameld?

Vervolgens moet worden beantwoord:

  • wat de doeleinden zijn waarvoor persoonsgegevens worden  verzameld (art. 30 lid 1 onder b jo. art. 5 lid 1 onder a AVG);
  • van welke categorieën van betrokkenen persoonsgegevens worden verwerkt (art. 30 lid 1 onder c AVG);
  • wat de categorieën van persoonsgegevens zijn die worden verwerkt (art. 20 lid 1 onder c AVG);
  • wat de categorieën van ontvangers zijn aan wie de persoonsgegevens zijn of zullen worden verstrekt (art. 30 lid 1 onder d AVG) en
  • indien mogelijk hoe lang de persoonsgegevens worden bewaard (art. 30 lid 1 onder f AVG) en hoe deze beveiligd worden.

De vergaarde gegevens worden overzichtelijk gepresenteerd in een exceloverzicht.

Voor dit “AVG-register” moeten de datastromen in kaart worden gebracht.

Basisvragen zijn: Bij welke activiteiten van de onderneming en met welke applicaties worden persoonsgegevens verzameld?

  • Vervolgens moet worden beantwoord:
  • wat de doeleinden zijn waarvoor persoonsgegevens worden  verzameld (art. 30 lid 1 onder b jo. art. 5 lid 1 onder a AVG);
  • van welke categorieën van betrokkenen persoonsgegevens worden verwerkt (art. 30 lid 1 onder c AVG);
  • wat de de categorieën van persoonsgegevens zijn die worden verwerkt (art. 20 lid 1 onder c AVG);
  • wat de categorieën van ontvangers zijn aan wie de persoonsgegevens zijn of zullen worden verstrekt (art. 30 lid 1 onder d AVG) en
  • indien mogelijk hoe lang de persoonsgegevens worden bewaard (art. 30 lid 1 onder f AVG).

Deze vragen zijn van belang voor het kunnen beantwoorden van vragen van “betrokkenen”, degenen wiens persoonsgegevens worden verwerkt.

 

Algemeen Privacyreglement Personeelsadministratie

In het Algemeen Privacyreglement zijn de algemene uitgangspunten van de AVG vastgelegd en uitgewerkt voor toepassing binnen uw bedrijf of instelling.

Daarbij kan gedacht worden aan:

  • Begripsbepalingen en definities;
  • Wie verwerkingsverantwoordelijke is in de zin van de AVG en wat diens taken   zijn;
  • Categorieën betrokkenen van wie persoonsgegevens worden verwerkt;
  • Uitwerking van de algemene beginselen voor de gegevensverwerking uit de AVG, zoals de beveiligingsplicht;
  • De algemene regels voor de verwerking van persoonsgegevens, zoals de   verwerkingsgrondslagen, het vaststellen van bewaarduur van gegevens.
  • Rechten van medewerkers, waaronder de rechten tot verbetering, aanvulling, verwijdering of afscherming van vastgelegde persoonsgegevens,   klachten en bezwaar.

Het Algemeen Privacyreglement is de basis voor de primaire werkgevers-administraties, zoals de personeelsadministratie, salarisadministratie en andere administraties die door de werkgever worden gevoerd.

Het Algemeen Privacyreglement kent een aantal bijlagen, waaronder:

  • definiëring van uw bedrijf of instelling
  • een overzicht van de verwerkte persoonsgegevens
  • een overzicht met – wettelijke – bewaartermijnen.
  • Uitgangspunten voor doorgifte van gegevens met instanties buiten en binnen   het bedrijf of instelling

Reglement beheersvoorzieningen

In het Reglement Beheersvoorzieningen worden – met inachtneming van de algemene uitgangspunten van het Algemeen Privacyreglement Personeelsadministratie, waarnaar wordt verwezen,  uitgangspunten vastgelegd voor onder meer cameratoezicht, aanwezigheidsregistratie, en communicatiesystemen (waaronder email en telefonie’.

Het reglement Beheersvoorzieningen kent een aantal bijlagen waarin per beheersvoorziening doelstelling, ontvangers, bewaarduur en andere bepalingen worden uitgewerkt.

In dit reglement wordt tevens de basis gelegd voor het beschikbaar stellen van persoonsgegevens uit de beheersvoorzieningen voor het doen van heimelijk onderzoek naar vermeende misdragingen door medewerkers.

Procedure Onderzoek en Besluitvorming bij Misstanden

In deze procedure onderzoek en besluitvorming van misstanden wordt vastgelegd:

  • Dat vermeende misstanden, lees overtredingen van de gedragscodes, moeten   worden gemeld bij de leidinggevende of een andere door het   bedrijf/instelling aangegeven meldpunt (waarin ook een link wordt gelegd   met klokkenluiderregeling die vanaf 1 juli 2016 verplicht is voor iedere   organisatie met 50 of meer werknemers).
  • Wat wordt aangemerkt als een misstand
  • Wie opdracht kan geven om een vermeende misstand te onderzoeken
  • Wie de bevoegdheid heeft vermeende misstanden te onderzoeken en   hiervoor gegevens kan opvragen uit de beheersvoorzieningen
  • Wie besluit over de bevindingen van het onderzoek naar de misstanden welke   afwegingen worden gemaakt.
  • De procedure bewerkstelligt een uniforme benadering in termen van rechtseenheid en rechtsgelijkheid binnen de verschillende werkgevers van het bedrijf/instelling.

Privacy-zelfevaluatie instrument

De bepalingen van de privacyreglementen dienen natuurlijk wel te worden nageleefd door het management en de beheerders.

De zelfevaluatie bestaat uit een set aan vaststellingen, waarvan het van belang is dat iedere vaststelling door het management respectievelijk de beheerders jaarlijks worden “afgefinkt” als blijk van bevestiging dat daadwerkelijk is waargenomen dat wordt voldaan aan de eisen die uit de AVG en uit de privacyreglementen voortvloeien. Het is een relatief laagdrempelig instrument waarmee aan de toezichthouder (Autoriteit Persoonsgegevens) en aan de ondernemingsraad kan worden aangetoond dat serieus met privacy binnen de onderneming wordt omgegaan.

Privacystatement op de website 

Indien via de website gegevens worden vergaard van natuurlijke personen (waaronder sollicitanten of klanten) dienen bepaalde gegevens te worden gecommuniceerd (art. 13 AVG). Dit kan middels een privacystatement.

HomePrivacy in bedrijf