Checklists
Laatst gewijzigd op: 14 mei 2018

HR en de AVG

De Algemene Verordening Gegevensbescherming, beter bekend als de AVG, regelt hoe om te gaan met persoonsgegevens van derden. Organisaties zin verplicht om deze strenge regelgeving na te leven. Doen ze dat niet, dan zijn de boetes fors. Zorg ervoor dat u op de hoogte bent van de regels van de AVG en wat er van u verwacht wordt als HR-professional. Gebruik daarvoor deze checklist.

Team en collega’s

De nieuwe wetgeving zorgt er niet alleen voor dat HR zelf een hoop moet regelen op het gebied van gegevensbescherming en gegevensverwerking. Vooral medewerkers die met persoonsgegevens te maken hebben, moeten goed op de hoogte zijn van de privacywetgeving, denk aan bijvoorbeeld beleidsmedewerkers en salarisverwerkers. Beter is het om alle medewerkers goed te informeren over de AVG-regels.

Inventariseren

Breng goed in kaart welke gegevens uw organisatie allemaal verwerkt en met welk doel. Inventariseer waar deze gegevens vandaan komen en met wie u ze deelt. U heeft een verantwoordingsplicht. Dat betekent dat u moet kunnen aantonen dat u zich houdt aan de regels van de AVG. Gebruik hiervoor een verwerkingsregister. Het verwerkingsregister bevat informatie over de persoonsgegevens die u verwerkt. Zo’n register moet elke organisatie hebben. Dat geldt ook voor zzp’ers en mkb-bedrijven met minder dan 250 werknemers.

Om zeker te zijn dat u voldoet aan de wetgeving, kunt u er het best voor kiezen sowieso een verwerkingsregister bij te houden. Dit register moet u kunnen overhandigen aan de Autoriteit persoonsgegevens (AP) als zij hier om vragen.

Oude en nieuwe rechten

Onder de Wet bescherming persoonsgegevens (Wbp) hadden mensen al het recht om hun gegevens in te zien, te corrigeren en te verwijderen. Onder de AVG komt hier het recht op dataportabiliteit bij. Dat betekent dat betrokkenen hun gegevens kunnen opvragen en eenvoudig kunnen doorgeven aan een andere organisatie als ze dat willen. Zorg ervoor dat de verwerking van gegevens op zo’n manier is ingericht, dat u hier eenvoudig aan kunt voldoen.

Als betrokkenen gegevens willen opvragen of inzien, heeft u het hierboven genoemde verwerkingsregister nodig. Eventuele wijzigingen dient u immers weer door te geven aan de organisaties waarmee u de gegevens gedeeld heeft.

Privacy by design

Twee belangrijke uitgangspunten van de AVG zijn Privacy by design en Privacy by default. Privacy by design betekent dat u bij alle processen, producten en diensten van uw organisatie ervoor moet zorgen dat persoonsgegevens goed zijn beschermd. Een eenvoudige stelregel: verzamel niet meer gegevens dan noodzakelijk voor het doel hiervan en bewaar gegevens niet langer dan noodzakelijk.

Privacy by default

Privacy by design wil zeggen dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u slechts die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Heeft u bijvoorbeeld een online aanmeldformulier voor geïnteresseerden in een vacature? Vraag middels dit formulier dan geen gegevens die u niet nodig heeft voor het sollicitatieproces.

DPIA

Een data protection impact assessment (DPIA) is een instrument dat de privacyrisico’s van gegevensverwerking in kaart brengt. Een DPIA is alleen verplicht als het verwerken van de gegevens een hoog privacyrisico oplevert voor de betrokkenen. Dit is het geval als u op grote schaal bijzondere persoonsgegevens verwerkt, systematisch mensen volgt of bijvoorbeeld aan profiling doet.

Meldplicht datalekken

Alle datalekken binnen uw eigen organisatie moet u registeren. Aan de hand hiervan kan de Autoriteit Persoonsgegevens (AP) controleren of u aan de meldplicht heeft voldaan. Met een goede DPIA stelt u problemen al in een vroeg stadium vast, zodat u problemen inzake gegevensbescherming snel kunt oplossen.

Verwerkersovereenkomst

Als u met andere partijen samenwerkt en zij verwerken persoonsgegevens voor u, dan dient u een verwerkersovereenkomst te hebben. Denk aan de arbodienst. Daarmee zult u ook een verwerkersovereenkomst moeten afsluiten. In de verwerkersovereenkomst moet in ieder geval het onderwerp en de duur van de gegevensverwerking staan, de aard en het doel ervan, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Meer weten over hoe een verwerkersovereenkomst eruitziet? Bekijk dit model.