Wat betekent de AVG voor het plannen?

De nieuwe regels op het gebied van privacy
Wat betekent de AVG voor het plannen?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG stelt regels voor de bescherming van persoonsgegevens in de gehele Europese Unie. Dit heeft gevolgen voor elke dienstverlener die projecten en resources plant en die daarmee op welke manier dan ook persoonsgegevens gebruikt. In deze blog gaan we kijken wat voor effect deze wetgeving heeft op het plannen van je medewerkers en wat je als dienstverlener ook moet regelen.


Wat doet de AVG?

Door de steeds verder digitaliserende wereld staat ondertussen iedereen wel met zijn persoonsgegevens in een online systeem geregistreerd. Bijvoorbeeld bij Google, Facebook, of in een salarissysteem van een werkgever. Dit kan zijn met een e-mailadres, een mobiel telefoonnummer, een woonadres of elk ander gegeven waarmee de identiteit van een persoon herleid kan worden.

Iedereen krijgt macht over zijn eigen persoonsgegevens

Deze gegevens worden op verschillende manieren gebruikt. Dit kan voor commerciële doeleinden zijn, maar ook voor de dagelijkse activiteiten van een bedrijf, zoals het plannen van medewerkers op projecten. De AVG geeft elke persoon macht over zijn eigen opgeslagen persoonsgegevens. Het geeft hem of haar recht op inzage, het laten aanpassen en het laten verwijderen van die persoonsgegevens. Elk stukje gegeven dat gebruikt kan worden om iemand te identificeren, wordt beschouwd als eigendom van die persoon.

De AVG beschrijft drie partijen: de betrokkene, de gegevensbeheerder en de gegevensverwerker. De betrokkene is bijvoorbeeld een medewerker (werknemer of ZZP-er) en de werkgever is de gegevensbeheerder. Werkt men met een online planningsprogramma zoals Timewax, dan is de leverancier van dit systeem de gegevensverwerker.

Betrokkene, gegevensbeheerder en gegevensverwerker
Figuur 1: Betrokkene, gegevensbeheerder en gegevensverwerker

Wat betekent het voor de planning?

Voor het plannen van projecten gebruiken dienstverleners de persoonsgegevens van medewerkers. Ze vermelden hun namen bij de projecten, gebruiken hun adresgegevens om het woon-werk verkeer te optimaliseren en versturen berichten naar hun e-mailadressen om over de planning te communiceren. Omdat er tussen de werkgever en de medewerker sprake is van een hiërarchische relatie is, mogen deze gegevens gewoon zonder expliciete toestemming gebruikt worden.

In de situatie van ex-medewerkers verandert er meer. De dienstverlener mag hun persoonsgegevens in de planning niet langer gebruiken en bewaren dan de intentie waarvoor zij deze gegevens verkregen heeft. Bovendien hebben ex-medewerkers het recht om hun gegevens in te zien, te laten corrigeren of om ze te laten verwijderen. Met name bij het verwijderen van gegevens uit het planningsysteem kan dit vervelende gevolgen hebben, voor bijvoorbeeld een historische analyse van de bezetting en het projectresultaat.

Je mag gegevens ook anonimiseren

Gelukkig houden de regels in de AVG hier rekening mee. Het doen vergeten van de ex-medewerker hoeft niet verplicht door verwijdering van de gegevens geregeld te worden. De ex-medewerker mag in het systeem ook geanonimiseerd worden. Dit betekent dat je bijvoorbeeld de naam van de ex-medewerker verandert op zo'n manier dat je achteraf niet meer kunt herleiden welke medewerker het betreft. Dit doe je met alle persoonsgegevens van de betreffende persoon. Op deze manier kun je toch over historische gegevens blijven beschikken.


Wat je als dienstverlener moet regelen

Voor de organisatie is het belangrijk dat er een proces is ingericht voor het behandelen van verzoeken door betrokkenen. Als bedrijf ben je namelijk verplicht om binnen dertig dagen gehoor aan het verzoek te geven. Verder dien je ook beleid te ontwikkelen over hoe je omgaat met de opslag van persoonsgegevens en hoe lang je deze gegevens bewaart. De AVG stelt dat bedrijven proactief persoonsgegevens moeten verwijderen die ze niet langer nodig hebben.

Het is handig om een register met verzoeken bij te houden.

De Autoriteit Persoonsgegevens gaat in Nederland controleren of iedereen zich aan de nieuwe regels houdt. Als een betrokkene zich met een klacht bij de Autoriteit Persoonsgegevens meldt, omdat bijvoorbeeld een gegevensbeheerder weigert gegevens aan te passen, dan kan de Autoriteit besluiten dat bedrijf te auditen. Ze zullen vaststellen of je organisatorische en technische maatregelen hebt genomen die door de wet worden gesteld. Het is dan handig als je praktische zaken kunt overleggen, zoals het register met verzoeken dat je hebt bijgehouden.

Bij overtreding van de regels kan de Autoriteit Persoonsgegevens een boete uitdelen. De hoogte van de boete is afhankelijk van een aantal factoren. Zo wordt er gekeken naar de aard, de omvang, de duur en de impact van de overtreding op de betrokkenen. Ze zullen ook laten meewegen of de overtreder met opzet heeft gehandeld of nalatigheid te verwijten is.


Conclusie

Elke dienstverlener die projecten en resources plant wordt door de nieuwe regels van de AVG geraakt, omdat je hierbij persoonsgegevens gebruikt. Je bent hierdoor verplicht anders met deze persoonsgegevens om te gaan. Hierover dien je beleid te formuleren. Als een ex-medewerker zich bij je meldt met een verzoek, dan dien je hier secuur mee om te gaan en binnen dertig dagen te reageren. Van deze aanvragen is het handig om een register bij te houden.

Vragen of opmerkingen naar aanleiding van dit artikel? Neem contact op met Timewax.


Founder
Mark de Jong
Mark is directeur Sales & Marketing bij Timewax. Hij heeft een achtergrond als project- en resourcemanager bij o.a. PricewaterhouseCoopers Management Consultants met expertise op het gebied van Professional Service Automation (PSA).