De nieuwe regels op het gebied van privacy.
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG stelt regels voor de bescherming van persoonsgegevens in de gehele Europese Unie. Dit heeft gevolgen voor elk bedrijf dat projecten en resources plant en daarbij persoonsgegevens gebruikt. In deze blog bekijken we eerst het effect van deze wetgeving op het plannen van je medewerkers. Daarnaast bespreken we wat je als bedrijf moet gaan regelen.
Wat doet de AVG?
De wereld wordt steeds digitaler. Hierdoor staat iedereen wel ergens met zijn persoonlijke gegevens in een online systeem, bijvoorbeeld bij Google, Facebook of een systeem van een werkgever. Dit kan bijvoorbeeld met een e-mailadres, een telefoonnummer of woonadres zijn. Maar de nieuwe regels van de AVG gelden voor elk ander gegeven waarmee jij als persoon te identificeren bent.
Iedereen krijgt macht over zijn eigen persoonsgegevens
Persoonsgegevens kan je op verschillende manieren gebruiken, bijvoorbeeld met een commercieel doel. Maar de gegevens kan je ook voor de dagelijkse activiteiten van je bedrijf inzetten, zoals het plannen van medewerkers. De AVG geeft iedereen macht over zijn eigen opgeslagen persoonsgegevens. Het geeft hem of haar recht op inzage, het laten aanpassen en het laten verwijderen van die persoonsgegevens. Elk stukje informatie die je kan gebruiken om een persoon te identificeren, is eigendom van die persoon.
De AVG beschrijft drie partijen: de betrokkene, de gegevensbeheerder en de gegevensverwerker. De betrokkene is bijvoorbeeld een medewerker (werknemer of ZZP-er) en de werkgever is de gegevensbeheerder. Werkt men met een online planningsprogramma, zoals Timewax, dan is de leverancier van dit systeem de gegevensverwerker.
Wat betekent het voor de planning?
Voor het plannen van projecten gebruiken bedrijven vaak de persoonsgegevens van medewerkers. Werkgevers vermelden bijvoorbeeld namen van medewerkers bij de projecten. Of ze gebruiken adresgegevens om het woon-werk verkeer te optimaliseren. Daarnaast kan een werkgever e-mailadressen van medewerkers inzetten om de planning te communiceren. Tussen een werkgever en een medewerker is sprake van een arbeidsrelatie. Vanwege deze relatie mag een werkgever de persoonsgegevens zonder toestemming gewoon gebruiken.
In de situatie van ex-medewerkers verandert er meer. Een bedrijf mag persoonsgegevens in de planning niet langer gebruiken en bewaren dan dat nodig is. Bovendien hebben ex-medewerkers het recht om hun gegevens te bekijken, aan te laten passen of om ze te laten verwijderen. Vooral bij het verwijderen van gegevens kan dit vervelende gevolgen hebben voor het planningssysteem. Het heeft bijvoorbeeld gevolgen voor de historische analyse van de bezetting en het projectresultaat.
Je mag gegevens ook anonimiseren
Gelukkig houden de regels in de AVG hier rekening mee. Het laten vergeten van ex-medewerkers hoeft niet verplicht te gebeuren door gegevens echt te verwijderen. De ex-medewerker mag je ook anonimiseren. Dit doe je bijvoorbeeld door de naam van hem of haar zo te veranderen, zodat de oud-collega niet meer te identificeren is. Dit doe je met alle persoonsgegevens van de ex-medewerker. Op deze manier blijf je toch over historische gegevens beschikken.
Wat je als dienstverlener moet regelen
Voor het bedrijf is het belangrijk dat er een proces is ingericht, zodat je verzoeken van betrokkenen kan afhandelen. Je bent namelijk verplicht om binnen dertig dagen aan het verzoek gehoor te geven. Verder moet je bepalen hoe je omgaat met de opslag van persoonsgegevens en hoe lang je deze gegevens bewaart. De AVG stelt dat bedrijven actief persoonsgegevens moeten verwijderen wanneer ze die niet meer nodig hebben.
Het is handig om een register met verzoeken bij te houden.
De Autoriteit Persoonsgegevens gaat in Nederland controleren of iedereen zich aan de nieuwe regels houdt. Als een bedrijf weigert gegevens van een ex-medewerker aan te passen, dan kan de ex-medewerker zich melden bij de Autoriteit Persoonsgegevens. De Autoriteit kan dan besluiten het bedrijf door te lichten. Zij kijken dan of het bedrijf zich aan de wet houdt. Het is dan als bedrijf handig als je praktische zaken kan laten zien, zoals een register met verzoeken.
Bij overtreding van de regels kan de Autoriteit Persoonsgegevens een boete uitdelen. De hoogte van de boete is afhankelijk van een aantal factoren. Ze kijken naar de aard, de omvang, de duur en de impact van de overtreding. Daarnaast laten ze meewegen of de overtreder met opzet heeft gehandeld of slordig is geweest.
Conclusie
De nieuwe regels van de AVG raakt elk bedrijf die projecten en resources plant. Voor het plannen gebruik je namelijk persoonsgegevens. Je bent hierdoor verplicht anders met deze persoonsgegevens om te gaan. Hiervoor moet je dus beleid opstellen. Als een ex-medewerker zich met een verzoek bij je meldt, ga dan zorgvuldig om met het verzoek. Reageer ten eerste binnen dertig dagen en houd daarnaast een register van deze verzoeken bij.
