Add to collection(s) Add to saved
  1. Sociale wetenschap
  2. Recht
  3. Arbeidsrecht

Controlevragen privacy werknemer

advertisement 
Controlevragen privacy werknemer
Checklist | Versie 1.1
Het is belangrijk dat een werkgever op een correcte manier omgaat met de privacy en persoonsgegevens van
de werknemers. Hij kan het privacybeleid het beste onderzoeken door het te toetsen. Hiervoor heeft de
Autoriteit Persoonsgegevens (het voormalige College Bescherming Persoonsgegevens (CBP)) 25
toetsingsvragen opgesteld. Door middel van deze vragen kan hij onderzoeken of de privacy van
persoonsgegevens in de organisatie goed geregeld is. In deze tool worden de controlevragen behandeld en
kunt u aantekeningen maken ten aanzien van het beleid in de onderneming.
Let er op dat gegevens van werknemers op een correcte manier worden verwerkt volgens de Wet bescherming
persoonsgegevens (WBP).
Controlevragen privacy werknemer
De toetsingsvragen zijn onderverdeeld in drie categorieën, te weten: algemene vragen, vragen over verwerking
persoonsgegevens en controlevragen met betrekking tot personeelsvolgsystemen. Door middel van de eerste
checklist kunt u bijvoorbeeld onderzoeken of u te maken heeft met persoonsgegevens.

Algemene vragen
Opmerkingen
Is er sprake van een persoonsgegeven?
Onder het wettelijke kader van persoonsgegevens vallen volgens de Wet
bescherming persoonsgegevens (WBP) ‘elk gegeven betreffende een
geïdentificeerde of identificeerbare natuurlijke persoon’. Bijvoorbeeld
gezondheidsgegevens van een werknemer vallen hieronder. Zodra
eigenschappen van een betrokkene, diens opvattingen of gedragen te
herkennen zijn en gegevens individualiseerbaar worden, is er al snel
sprake van persoonsgegevens.
Is er sprake van verwerking van persoonsgegevens?
In overeenstemming met de wet moet u persoonsgegevens op behoorlijke
en zorgvuldige wijze laten verwerken. Onder het begrip ‘verwerking’ valt, op
grond van de WBP, ‘elke handeling of elk geheel van handelingen met
betrekking tot het verzamelen, vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het afschermen,
uitwissen of vernietigen van gegevens.’ Niet alle gevallen van verwerking
van persoonsgegevens is toegestaan. In veel gevallen is verwerking van
gezondheidsgegevens van werknemers verboden, tenzij het onder één van
de uitzonderingen van artikel 1 WBP valt. Zie ook alle vragen in de aparte
checklist met betrekking tot verwerking persoonsgegevens verderop in
deze tool.
Wie is de verantwoordelijke?
Wie is er algemeen verantwoordelijk voor de persoonsgegevens in de
onderneming? Welke persoon neemt de beslissingen over de verwerking
van gegevens en bijvoorbeeld met welk doel en op welke wijze? Een
verantwoordelijke is te toetsen door middel van twee criteria:
 degene die formeel-juridische zeggenschap heeft;
 degene aan wie de verwerking naar de maatstaven die in het
maatschappelijke verkeer gelden, moet worden toegerekend.
Een verantwoordelijke voldoet in ieder geval aan het eerste criterium.
Maakt dat de beoordeling nog niet geheel duidelijk, dan kan er met het
tweede criterium getoetst worden of het om de verantwoordelijke gaat.
Kan de ondernemingsraad gebruikmaken van het instemmingsrecht?
Een ondernemer moet voor het nemen van een besluit tot vaststelling,
wijziging of intrekking van een regeling ten aanzien van de verwerking van
persoonsgegevens of een personeelsvolgsysteem de ondernemingsraad
(OR) betrekken. De OR heeft de plicht om zijn instemmingsrecht uit te
oefenen.
Met deze tweede vragenlijst kunt u onderzoeken hoe verwerking van persoonsgegevens plaatsvindt. Bovendien
toetsen de vragen of er rekening wordt gehouden met de privacy en andere voorwaarden die de Autoriteit
Persoonsgegevens stelt ten aanzien van de WBP. Onthoud bij ieder van de vragen dat het gaat om de
persoonsgegevens in uw onderneming en de werkwijze daarmee van uw onderneming.
1

Vragen over verwerking persoonsgegevens
Opmerkingen
Worden de persoonsgegevens in overeenstemming met de wet en op
een behoorlijke en zorgvuldige wijze verwerkt?
Beoordeel deze vraag ten aanzien van de persoonsgegevens en de
verwerking in uw onderneming.
Voor welk doel worden de persoonsgegevens verwerkt?
Wanneer mogen persoonsgegevens in uw onderneming worden
verwerkt?
Er zijn een aantal gronden op basis waarvan persoonsgegevens mogen
worden verwerkt:
 ondubbelzinnige toestemming;
 noodzakelijk voor de uitvoering van een overeenkomst;
 noodzakelijk voor de nakoming van een wettelijke verplichting;
 noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene;
 noodzakelijk voor een goede vervulling van een publiekrechtelijke taak;
 noodzakelijk voor de behartiging van een gerechtvaardigd belang van
de onderneming, terwijl de persoonlijke levenssfeer van de
betrokkenen niet prevaleert.
Blijft het gebruik van de persoonsgegevens beperkt tot de doelen
waarvoor de gegevens worden verzameld?
Mocht het gebruik niet direct dit doel hebben, dan moet het ten minste
verenigbaar met het doel zijn. Om dit te testen zijn er een aantal criteria:
 de verwantschap tussen het doel van de door de ondernemer
gewenste verwerking van de persoonsgegevens en het doel waarvoor
deze zijn verkregen;
 de aard van de gegevens;
 de gevolgen van de verwerking voor de betrokken werknemer;
 de wijze waarop de gegevens zijn verkregen;
 de waarborgen waarmee het verdergaande gebruik wordt omgeven.
Wordt volstaan met zo min mogelijk persoonsgegevens?
Zo min mogelijk betekent dat voor het doel bepaalde gegevens nodig zijn
en de onderneming niet meer dan deze benodigde gegevens verzamelt.
Zijn voldoende maatregelen genomen om te waarborgen dat de
persoonsgegevens juist en nauwkeurig zijn?
Foute persoonsgegevens kunnen ernstige gevolgen hebben voor een
werknemer zonder dat hij hier enige hand in heeft gehad.
Worden persoonsgegevens zo veel mogelijk verzameld bij de
werknemer zelf?
Over het algemeen worden persoonlijke gegevens in eerste instantie bij de
werknemer zelf gevraagd. Als een ander gegevens over de werknemer
doorgeeft, moet de werknemer hiervan wel op de hoogte worden gesteld.
Hebben slechts die personen toegang tot de persoonsgegevens die
de gegevens nodig hebben voor de vervulling van hun taak?
Denk bijvoorbeeld aan werknemers op de afdeling personeelszaken of de
bedrijfsarts. De kring van personen die toegang tot de gegevens heeft,
moet natuurlijk zo beperkt blijven.
2
Worden gegevens ook aan personen buiten de organisatie verstrekt?
Bij verstrekking van gegevens aan derden moet een afweging gemaakt
worden tussen het bedrijfsbelang en de privacybelangen van de
werknemer. Bij extern gebruik van persoonsgegevens zullen waarborgen
ten aanzien van privacy zwaarder wegen. De kans op inbreuk op de
persoonlijke levenssfeer van de werknemer is groter en moet (zo veel
mogelijk) voorkomen worden.
Vindt gegevensverkeer naar het buitenland plaats?
Maak hierbij onderscheid tussen verkeer binnen de Europese Unie (EU) en
daarbuiten. Binnen de EU heeft u te maken met vrij verkeer
persoonsgegevens en een Europese privacyrichtlijn.
Worden de persoonsgegevens niet langer bewaard dan nodig?
Blijft het verwerken van bijzondere persoonsgegevens zo veel
mogelijk achterwege?
Gegevens die in het maatschappelijk verkeer als gevoelig worden
bestempeld, zijn in principe verboden om te verwerken. Hierbij gaat het
bijvoorbeeld om medische gegevens, informatie over politieke opvattingen
of ras. De WBP maakt enkele uitzonderingen en als u gegevens met deze
kenmerken van een werknemer wilt verwerken, kunt u het beste de wet
onderzoeken met betrekking tot uitzonderingen en mogelijkheden. In alle
andere gevallen is verwerking van deze gegevens verboden.
Blijven medische gegevens onder beheer van een arts of van andere
personen die gebonden zijn aan het medisch beroepsgeheim?
Worden de werknemers voldoende geïnformeerd over de verwerking
van hun gegevens?
Zijn de werknemers op de hoogte van hun rechten en weten zij hoe zij
deze kunnen uitoefenen?
Werknemers mogen verzoeken om:
 inzage;
 verbetering, aanvulling, verwijdering of afscherming van hun
gegevens;
 niet meer relevante gegevens te verwijderen;
 het vastleggen van een eigen visie in reactie op een situatie
(bijvoorbeeld een klacht van een klant); en
 een werknemer mag zich verzetten tegen bepaalde verwerkingen.
Zijn er voldoende maatregelen genomen om de persoonsgegevens te
beveiligen?
De maatregelen en beveiliging die noodzakelijk zijn, worden onder andere
bepaald door de aard van de gegevens en de kring van gebruikers.
Personeelsvolgsystemen
Een personeelsvolgsyteem is een voorziening die uw organisatie kan gebruiken voor waarneming en controle van het
personeel. U kunt hierbij dus denken aan een internetfilter, prikklok, beveiligingscamera’s, et cetera. Een
beveiligingscamera kan ook (gevoelige) gedragingen van de werknemer vastleggen. Dat is haast onvermijdelijk. De
gegevens die hieruit voortvloeien, mag de werkgever niet zomaar voor andere doeleinden gebruiken. Hier zijn strikte
regels aan verbonden. Bovendien moet uw werkgever de werknemers bijtijds informeren dat er
personeelsvolgsystemen in de organisatie aanwezig zijn.
De volgende toetsingsvragen kunt u stellen om te bepalen dat uw organisatie ook op dit gebied de privacy van het
personeel respecteert.
3

Personeelsvolgsystemen
Opmerkingen
Is er sprake van een personeelsvolgsysteem?
Wordt hiervan gebruikgemaakt binnen de onderneming?
Is het nodig om gebruik te maken van een personeelsvolgsysteem?
Wat is de noodzaak en het gerechtvaardigde belang voor het gebruiken
van een personeelsvolgsysteem?
Worden de werknemers van tevoren op de hoogte gesteld van de
observatie?
Hebben zij kennis over de personeelsvolgsystemen? Weten zij ook
voldoende over de doelen en inzet van de systemen? Waar zij in ieder
geval van op de hoogte moeten zijn, zijn bijvoorbeeld:
 het doel van de observatie;
 de redenen voor observatie en tijdschema;
 het gebruik van de verzamelde gegevens;
 bewaartermijnen;
 et cetera.
Wordt de personeelsbeoordeling niet uitsluitend gebaseerd op
gegevens die met een personeelsvolgsysteem zijn verzameld?
Een dergelijk beoordeling mag niet plaatsvinden. Er moeten ook andere
informatiebronnen voor een personeelsbeoordeling worden gebruikt.
Bovendien moet een werknemer kort na het bekend worden van de
resultaten van het personeelsvolgsysteem de mogelijkheid hebben om te
reageren en zijn visie hierop te geven.
Is het noodzakelijk heimelijk gebruik te maken van een
personeelsvolgsysteem?
Heimelijk en verborgen gebruikmaken van de systemen is een ingrijpende
maatregel. Hiervoor moet dan ook een verdenking zijn ten aanzien van één
of meerdere werknemers. Bovendien moet een zwaarwegend belang van
de onderneming in het geding zijn. Heimelijk inzetten van de
personeelsvolgsystemen mag in principe alleen in uitzonderlijke situaties.
4
Related documents
Verzoek tot inzage gegevens
Verzoek tot inzage gegevens
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Information Ethics
Information Ethics
Privacy policy - Van der Valk Cadeaucard
Privacy policy - Van der Valk Cadeaucard
Aanvraag - Brouwer de Koning Advies
Aanvraag - Brouwer de Koning Advies
Privacy- en cookiebeleid Witte
Privacy- en cookiebeleid Witte
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Jouw privacy en persoonlijke gegevens Wij delen
Jouw privacy en persoonlijke gegevens Wij delen
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Wie beschermt onze privacy?
Wie beschermt onze privacy?
Download
advertisement