Contact Info
198 West 21th Street, Suite 721
New York, NY 10010
youremail@yourdomain.com
+88 (0) 101 0000 000
Follow Us
Een illustratie van een computer die een planbord toont waar ook een groot zwaar slot omheen hangt

Wat betekent de AVG voor het plannen?

De nieuwe regels op het gebied van privacy.

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG stelt regels voor de bescherming van persoonsgegevens in de gehele Europese Unie. Dit heeft gevolgen voor elk bedrijf die projecten en resources plant en daarbij persoonsgegevens gebruikt. In deze blog bekijken we eerst het effect van deze wetgeving op het plannen van je medewerkers. Daarnaast bespreken we wat je als bedrijf moet gaan regelen.

 

Wat doet de AVG?

De wereld wordt steeds digitaler. Hierdoor staat iedereen wel ergens met zijn persoonlijke gegevens in een online systeem, bijvoorbeeld bij Google, Facebook of een werkgever. Dit kan bijvoorbeeld met een e-mailadres, een telefoonnummer of woonadres zijn. Maar de nieuwe regels van de AVG gelden voor elk ander gegeven die naar jou kunnen terug leiden.

Iedereen krijgt macht over zijn eigen persoonsgegevens

Deze gegevens kan je op verschillende manieren gebruiken, bijvoorbeeld met een commerciƫel doel. Maar de gegevens kan je ook voor de dagelijkse activiteiten van je bedrijf inzetten, zoals het plannen van medewerkers. De AVG geeft iedereen macht over zijn eigen opgeslagen persoonsgegevens. Het geeft hem of haar recht op inzage, het laten aanpassen en het laten verwijderen van die persoonsgegevens. Elk stukje informatie die je kan gebruiken om een persoon te identificeren, is eigendom van die persoon.

De AVG beschrijft drie partijen: de betrokkene, de gegevensbeheerder en de gegevensverwerker. De betrokkene is bijvoorbeeld een medewerker (werknemer of ZZP-er) en de werkgever is de gegevensbeheerder. Werkt men met een online planningsprogramma, zoals Timewax, dan is de aanbieder van dit systeem de gegevensverwerker.

Driehoeksverhouding tussen de betrokkene, gegevensbeheerder en gegevensverwerker
Figuur 1: Betrokkene, gegevensbeheerder en gegevensverwerker

Wat betekent het voor de planning?

Voor het plannen van projecten gebruiken bedrijven vaak de persoonsgegevens van medewerkers. Werkgevers vermelden bijvoorbeeld namen bij de projecten. Of ze gebruiken adresgegevens om het woon-werk verkeer te optimaliseren. Daarnaast kan een werkgever e-mailadressen van medewerkers inzetten om de planning te communiceren. Tussen een werkgever en een medewerker is sprake van een relatie. Vanwege deze relatie mag een werkgever persoonsgegevens zonder toestemming gewoon gebruiken.

In de situatie van ex-medewerkers verandert er meer. Een bedrijf mag persoonsgegevens in de planning niet langer gebruiken en bewaren dan dat nodig is. Bovendien hebben ex-medewerkers het recht om hun gegevens te bekijken, aan te laten passen of om ze te laten verwijderen. Vooral bij het verwijderen van gegevens kan dit vervelende gevolgen hebben voor het planningsysteem. Het heeft bijvoorbeeld gevolgen voor de historische analyse van de bezetting en het projectresultaat.

Je mag gegevens ook anonimiseren

Gelukkig houden de regels in de AVG hier rekening mee. Het laten vergeten van ex-medewerkers hoeft niet verplicht te gebeuren door gegevens echt te verwijderen. De ex-medewerker mag je ook anonimiseren. Dit doe je bijvoorbeeld door de naam van hem of haar zo te veranderen, zodat deze niet meer terug leidt naar de oud-collega. Dit doe je met alle persoonsgegevens van de ex-medewerker. Op deze manier blijf je toch over historische gegevens beschikken.

 

Wat je als dienstverlener moet regelen

Voor het bedrijf is het belangrijk dat er een proces is ingericht, zodat je verzoeken kan afhandelen. Je bent namelijk verplicht om binnen dertig dagen aan het verzoek gehoor te geven. Verder moet je bepalen hoe je omgaat met de opslag van persoonsgegevens en hoe lang je deze gegevens bewaart. De AVG stelt dat bedrijven actief persoonsgegevens moeten verwijderen die ze niet meer nodig hebben.

Het is handig om een register met verzoeken bij te houden.

De Autoriteit Persoonsgegevens gaat in Nederland controleren of iedereen zich aan de nieuwe regels houdt. Als een bedrijf weigert gegevens van een ex-medewerker aan te passen, dan kan de ex-medewerker zich melden bij de Autoriteit Persoonsgegevens. De Autoriteit kan dan besluiten het bedrijf door te lichten. Zij kijken dan of het bedrijf zich aan de wet houdt. Het is dan als bedrijf handig als je praktische zaken kan laten zien, zoals een register met verzoeken.

Bij overtreding van de regels kan de Autoriteit Persoonsgegevens een boete uitdelen. De hoogte van de boete is afhankelijk van een aantal factoren. Ze kijken naar de aard, de omvang, de duur en de impact van de overtreding. Daarnaast laten ze meewegen of de overtreder met opzet heeft gehandeld of slordig is geweest.

 

Conclusie

De nieuwe regels van de AVG raakt elk bedrijf die projecten en resources plant. Voor het plannen gebruik je namelijk persoonsgegevens. Je bent hierdoor verplicht anders met deze persoonsgegevens om te gaan. Hierover moet je dus beleid opstellen. Als een ex-medewerker zich met een verzoek bij je meldt, ga dan zorgvuldig om met het verzoek. Reageer ten eerste binnen dertig dagen en hou daarnaast een register van deze aanvragen bij.

Vragen of opmerkingen naar aanleiding van dit artikel? Neem contact op met Timewax.

Mark de Jong

Mark is directeur bij Timewax. Hij heeft een achtergrond als project- en resourcemanager bij o.a. PricewaterhouseCoopers Management Consultants met expertise op het gebied van Professional Service Automation (PSA).