In mei is de Algemene Verordening Gegevensbescherming (AVG) twee jaar van kracht. De meeste schoonmaakbedrijven weten inmiddels dat zij rekening moeten houden met de privacy van bijvoorbeeld (potentiële) klanten en hun eigen werknemers. Hoe er binnen het bedrijf concreet met de AVG moet worden omgegaan is echter vaak onduidelijk. Onjuiste omgang met persoonsgegevens leveren een risico op voor uw bedrijf. Er komen namelijk steeds meer klachten binnen bij de Autoriteit Persoonsgegevens. Daarnaast bestaat het risico dat u slachtoffer wordt van internetcriminelen die persoonsgegevens buitmaken, zoals recentelijk gebeurde bij de Universiteit Maastricht. In beide gevallen kunt u claims verwachten van bijvoorbeeld (voormalige) werknemers. Om dat te voorkomen is het belangrijk dat u aan de AVG voldoet en ook uw beveiliging goed op orde hebt.
Door mr. Hella Vercammen – directeur The Legal Privacy Company
Welke gegevens worden door de AVG beschermd?
De AVG draait kort gezegd om het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een bepaald persoon. Het gaat hier bijvoorbeeld om namen en telefoonnummers van klanten die staan opgeslagen in uw administratie. Daarnaast verwerkt u ook natuurlijk ook gegevens van uw eigen medewerkers en mensen die bij u komen solliciteren, zoals adres, bankrekeningnummer of een CV. Uw bedrijf verwerkt waarschijnlijk ook bijzondere persoonsgegevens. Daarbij kunt u denken aan het BSN nummer of foto’s van uw medewerkers. Dit soort gevoelige gegevens worden door de AVG extra goed beschermd.
Het personeelsdossier
De schoonmaakbranche is natuurlijk een arbeidsintensieve sector en kent een groot verloop van personeel. Veel ondernemers komen tijd tekort om het personeelsdossier, met daarin de gegevens van de werknemers en sollicitanten, goed bij te houden. Daardoor kan het gebeuren dat er nog oude gegevens van ex-werknemers in het dossier zitten. De (voormalige) werknemer heeft het recht om deze gegevens in te zien en hij mag ook verzoeken om deze gegevens na einde van het dienstverband te laten verwijderen. Soms blijken er ook gegevens in het personeelsdossier te zitten die hier helemaal niet thuishoren: denk aan informatie over gezondheidsklachten van de werknemer, medicijngebruik of persoonlijke problemen. Als u dat soort gegevens in het personeelsdossier heeft, raden wij u aan om dit zo snel mogelijk te verwijderen, ook als uw werknemer die informatie zelf heeft verstrekt. Na het einde van het dienstverband mag u veel gegevens van werknemers slechts twee jaar bewaren. Gegevens van sollicitanten moet u in principe binnen vier weken na de sollicitatieprocedure wissen.
Wat zijn de gevolgen van een schending van de AVG?
Als u niet voldoet aan de regels van de AVG dan is dat een risico voor uw bedrijf. (Voormalige) werknemers kunnen een klacht indienen bij de Autoriteit Persoonsgegevens en dan riskeert u een boete. Mensen zijn inmiddels goed op de hoogte van hun rechten en klagen gebeurt dan ook steeds vaker. Als u niet voldoet aan de AVG dan kunnen (voormalige) medewerkers ook naar de rechter stappen en schadevergoeding eisen. Indien u de controle verliest over persoonsgegevens dan kan de rechter al snel een schadevergoeding toewijzen van enkele honderden euro’s, zo blijkt uit twee uitspraken uit eind 2019.
Onlangs werd de Universiteit Maastricht bijvoorbeeld slachtoffer van ransomware waarbij de gegevens van vele duizenden mensen gestolen kunnen zijn. Onderzoek moet nog uitwijzen of dat ook daadwerkelijk is gebeurd. Als blijkt dat de beveiliging niet op orde was dan kan de Universiteit Maastricht hoge boetes en schadeclaims verwachten. Niet alleen grote organisaties, maar ook het MKB wordt steeds vaker slachtoffer van cyberaanvallen en ransomware. Wanneer dit bij uw bedrijf gebeurt moeten er vaak hoge bedragen aan losgeld worden betaald om uw computersysteem weer vrij te geven. Als er daarnaast ook nog persoonsgegevens zijn buitgemaakt dan kunnen (voormalige) medewerkers naar de rechter stappen. U bent dan dubbel slachtoffer: naast het betalen van losgeld kunt u dan ook nog rekenen op een schadevergoeding van enkele honderden euro’s per persoon.
Hoe kunt u claims voorkomen en voldoen aan de AVG?
Een belangrijk punt is dat de beveiliging van uw bedrijfssystemen goed op orde moet zijn. Zo geeft u internetcriminelen geen kans. Wanneer er toch persoonsgegevens lekken of gestolen worden, dan moet u dat ook registeren en vastleggen welke actie u onderneemt. In ernstige gevallen heet dit een datalek en dat moet binnen 72 uur gemeld worden aan de Autoriteit. In het kader van de AVG moet u ook een verwerkingsregister opstellen waarin u bijhoudt welke gegevens u verwerkt. Als dat eenmaal duidelijk is moet u de betrokken personen daarover informeren via het privacy beleid en de privacy verklaring. Daarin moet u de betrokken personen ook wijzen op hun rechten, zoals inzage in de informatie en het indienen van een klacht over de verwerking door uw bedrijf.
Masterclass AVG Management voor het MKB
Bent u nog steeds niet begonnen of klaar met de AVG implementatie? Dan is uw perfecte voornemen voor 2020: het volgen van de Masterclass AVG management aankomende 6 feburari. De hoofdvraag die beantwoord wordt tijdens onze masterclass is hoe organisaties zo pragmatisch en werkbaar mogelijk de AVG kunnen naleven.
Een goed begin is het halve werk. Vandaar dat de experts van The Legal (Privacy) Company u zullen leren hoe uw organisatie de privacyregelgeving aantoonbaar kan naleven. Welke volgorde qua management kunt u het beste doorlopen om uw organisatie stap voor stap privacy AVG proof te krijgen en om vervolgens ook privacy AVG proof te blijven. Wat zijn verplichtingen vanuit de AVG en welke zaken raden zij aan om tevens op orde te hebben? U zult het ˋnutˊ gaan inzien van al die wettelijke administratieve middelen en een beter begrip krijgen van de inhoud. Dat het geen papieren tijgers zijn maar echte hulpmiddelen. Middelen die datalekken en boetes voorkomen, die kunnen helpen om schade te beperken en welke ervoor zorgen dat er geen belemmeringen meer zijn voor uw klanten en business partners om met u in zee te gaan.
Tijdens deze masterclass doorloopt The Legal (Privacy) Company met u daarom de verplichte AVG-administratie en hoe deze documentatie doorwerkt in uw onderneming. Voor meer informatie en inschrijven klik hier.