Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

AVG: welke werkgever heeft zijn interne privacyverklaring al op orde?

De Algemene Verordening Gegevensbescherming, in juridische vakterminologie ook wel de “verordening-waar-we-allemaal-enigszins-van-doordraaien” genoemd, ziet op de bescherming van persoonsgegevens. Even ter opfrissing: persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een naam is uiteraard een persoonsgegeven. Iets minder voor de hand liggende gegevens, zoals locatiegegevens, zijn ook persoonsgegevens.

Wanneer er gegevens worden verwerkt, dient de persoon van wie deze gegevens zijn, hiervan op de hoogte te worden gesteld. Je verwerkt ‘al’ gegevens, wanneer je op jouw website een contactformulier aanbiedt. Een geïnteresseerde websitebezoeker zal namelijk bij het invullen van dit contactformulier (enkele) gegevens moeten achterlaten, waardoor jij verwerker van deze gegevens wordt. Verwerk je gegevens? Dan dien je de betrokkene hierover te informeren. Het is vanwege deze informatieplicht, dat zo veel privacyverklaringen als paddenstoelen uit de grond zijn geschoten. Een privacyverklaring is namelijk een manier om iemand te informeren over de verwerking van zijn of haar gegevens.



De privacyverklaring die op de website staat

Veel organisaties denken dat ze er wel ‘zijn’ wanneer een privacyverklaring op de website wordt geplaatst, met daarin informatie over de verwerking van gegevens van websitebezoekers en klanten. Ze vergeten daarbij, dat er ook gegevens worden verwerkt van mensen die in dienst treden bij de desbetreffende organisatie, en van al bestaande werknemers. Het is natuurlijk niet meer dan logisch dat een werkgever gegevens nodig heeft van zijn medewerkers of sollicitanten. Anders zou het bijvoorbeeld wel heel lastig worden om de salarissen te kunnen uitkeren of een sollicitant te kunnen uitnodigen voor een gesprek. Op welk moment dient een organisatie sollicitanten en werknemers te informeren over de verwerking van hun gegevens?

In overweging 61 van de AVG lezen we het volgende:

De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval(…).

Op het moment dat er aan de werknemer of sollicitant om zijn of haar gegevens wordt gevraagd, dien je dus in principe al informatie te geven over deze gegevensverwerking. Dit doe je niet in juridische taal, maar in duidelijke en eenvoudige taal, zodat een werknemer of sollicitant geen advocaat in de hand hoeft te nemen om te begrijpen wat erin staat. Met een interne privacyverklaring kan je aan deze informatieplicht voldoen. Je zou deze privacyverklaring t.o.v. sollicitanten kunnen toevoegen bij de vacature (op de website). Voor werknemers lijkt het logisch om zo’n interne privacyverklaring op te nemen in het personeelshandboek, of als addendum in de arbeidsovereenkomst. Nog een tip: in de meeste gevallen is het niet verstandig om de sollicitant of werknemer een privacyverklaring te laten ondertekenen.

“Maar dan heb ik toch toestemming gekregen van de betrokkene om de gegevens te verwerken, en dat is een rechtvaardigingsgrond onder de AVG, niet?”


De toestemming van een betrokkene is inderdaad een grond om gegevens te mogen verwerken, maar de AVG eist dat de toestemming vrijelijk gegeven is door de betrokkene. In de relatie werknemer-werkgever is er zelden sprake van een toestemming die in alle vrijheid is gegeven, omdat de werknemer zich in een (financiële) afhankelijkheidspositie bevindt t.o.v. de werkgever.



Wat moet er in een interne privacyverklaring voor werknemers staan?

In een interne privacyverklaring benoem je onder meer de volgende zaken:

✓ Wie de persoonsgegevens verzamelt (de contactgegevens van de organisatie en eventueel van de FG)

✓ Welke persoonsgegevens er worden verzameld (NAW-gegevens, maar bijvoorbeeld ook een bankrekeningnummer voor de salarisadministratie)

✓ Waarom de gegevens van de werknemer worden verzameld (bijvoorbeeld ten behoeve van het personeelsdossier, de salarisadministratie, etc.)

✓ Wat de grondslag is voor de gegevensverwerking (bijvoorbeeld om de arbeidsovereenkomst uit te kunnen voeren)

✓ De bewaartermijnen van de verwerkte gegevens (gegevens uit de salarisadministratie moeten tot 7 jaar na einde van het dienstverband worden bewaard, loonbelastingverklaringen en een kopie van het identiteitsbewijs moet door de werkgever 5 jaar na het einde van het dienstverband worden bewaard. Andere gegevens uit het personeelsdossier mogen maximaal 2 jaar na het einde van het dienstverband worden bewaard).

✓ Of er gegevens aan derden worden doorgegeven (denk aan het salarisadministratiekantoor, waarmee dikwijls ook een verwerkersovereenkomst moet worden gesloten).

✓ Of er gegevens naar landen buiten de EER worden doorgegeven

✓ De genomen technische en organisatorische beveiligingsmaatregelen (bijvoorbeeld meerfactorauthenticatie)

✓ De rechten van de werknemers (recht op inzage, rectificatie en verwijdering)

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).