Samenwerken binnen een organisatie en de AVG

Blog
16 Mar 2018
gdpr blog 4 350x250

Binnen de organisatie wordt informatie gemaild, gedeeld en wordt samengewerkt met behulp van meerdere applicaties. Bij het in kaart brengen van de persoonsgegevens binnen de organisatie moet bepaald worden op basis van welke grondslagen de persoonsgegevens in deze applicaties verwerkt mogen worden.

We bekijken de verschillende applicaties die hier onderdeel van uitmaken en houden deze tegen de verschillende grondslagen van de AVG aan.

 

 

 

Adresboek
Ondanks de tendens van het afgelopen decennium om minder te gaan mailen en meer te gaan delen is e-mail nog steeds niet weg te denken uit een organisatie. Om met je collega’s te kunnen mailen staan de gegevens in het centrale adresboek van de organisatie. Aangezien deze gegevens nodig zijn om je werk te kunnen doen worden deze onder de grondslag ‘uitvoering van een overeenkomst’ geplaatst. Let er hierbij wel op dat dit alleen de strikt noodzakelijke gegevens zijn; zoals naam, emailadres en eventueel afdeling, locatie en functie.

Intranet
Op het Intranet vinden we vaak het (uitgebreidere) adresboek of de "who is who" van een organisatie. Naast de gegevens die we gebruiken om elkaar te vinden en te mailen, zoals die ook in het adresboek staan uit het mailsysteem, worden deze gegevens vaak aangevuld met andere persoonsgegevens. Deze persoonsgegevens vallen niet altijd onder de grondslag ‘uitvoering van een overeenkomst’ omdat ze niet strikt noodzakelijk zijn om te delen. De grondslag die hiervoor om de hoek komt kijken is ‘toestemming’. Het gaat hier bijvoorbeeld om:

  • Geboortedatum
  • Profielfoto
  • Privé telefoonnummers en/of adres

Een profielfoto geldt zelfs als een bijzonder persoonsgegeven, aangezien van een profielfoto zaken als etniciteit of andere bijzondere kenmerken afgelezen kunnen worden. Om ervoor te zorgen dat de toestemming aan alle voorwaarden voldoet is de eenvoudigste optie dat een gebruiker deze gegevens zelf binnen de applicatie plaatst en deelt. Daarmee is het voor de gebruiker vrij om de informatie toe te voegen en is het een actieve handeling. Bij het toevoegen van de gevraagde informatie dient de gebruiker daarnaast goed geïnformeerd te worden dat het geen verplichting is en dat de gegevens altijd aangepast en verwijderd kunnen worden door de gebruiker. Geef tevens aan waar de persoonsgegevens nog meer gebruikt gaan worden, bijvoorbeeld het doorzetten van de profielfoto naar de website van de organisatie.

Als een organisatie deze persoonsgegevens centraal geregistreerd heeft staan in bijvoorbeeld een HR-applicatie en deze gegevens wil doorzetten naar de "who is who" binnen het Intranet, dan dient ook aan de voorwaarden ‘vrij, actieve handeling en geïnformeerd’ voldaan te worden. Het is daarmee niet toegestaan om dit een onderdeel te maken van het arbeidscontract, omdat de toestemming dan niet vrij wordt gegeven.

Samenwerken
Binnen veel organisaties wordt online samengewerkt binnen samenwerkingsplatformen (bijvoorbeeld IBM Connections, Jive en SharePoint) en verschuift dat samenwerken steeds meer naar chat en videoconferencing (bijvoorbeeld Cisco Spark, Salesforce Chatter en Skype for Business). Ook binnen deze omgevingen geldt dat basisinformatie over de contactpersonen noodzakelijk geacht kan worden volgens de grondslag ‘uitvoeren van een overeenkomst’. Net als bij het Intranet verdient het ook hier aanbeveling om de overige data door de gebruikers zelf ‘vrij, actief en geïnformeerd’ aan de applicatie te laten toevoegen. Voor deze persoonsgegevens geldt dan wederom de grondslag ‘toestemming’.

Contactgegevens delen buiten de organisatie
Om de dagelijkse werkzaamheden uit te kunnen voeren is het noodzakelijk om een minimale set aan persoonsgegevens te delen buiten de organisatie. Als deze persoonsgegevens zich beperken tot het strikt noodzakelijke dan vallen ook deze onder de grondslag ‘uitvoering van een overeenkomst’. Denk hierbij bijvoorbeeld aan de persoonsgegevens op een visitekaartje en de profielgegevens in de samenwerkingsomgevingen die getoond worden aan externen. De gebruiker dient geïnformeerd te zijn dat de additionele persoonsgegevens die vrij en actief binnen de samenwerkingsapplicaties zijn opgevoerd hiervoor gebruikt worden. Indien dat het geval is vallen deze onder de grondslag ‘toestemming’.

Controleren en aanpassen
We kunnen op basis van bovenstaande de conclusie trekken dat er niet veel veranderd ten opzichte van de huidige wetgeving (wet bescherming persoonsgegevens), maar dat voor de AVG even de puntjes op de i worden gezet. In veel gevallen zullen organisaties aan deze regels reeds voldoen. Het belangrijkste is om een controle uit te voeren op basis van welke grondslag de persoonsgegevens verwerkt worden en of ze strikt noodzakelijk zijn voor de uitvoering van een overeenkomst. Indien dat niet het geval is, dient gecontroleerd te worden of de gebruikers de gegevens zelf hebben aangevuld op basis van toestemming. Persoonsgegevens die onder geen van deze grondslagen geplaatst kunnen worden dienen nader bekeken te worden. Zijn deze persoonsgegevens mogelijk onder één van de overige grondslagen te plaatsen of dienen ze verwijderd te worden om aan de nieuwe regelgeving te voldoen?

-- Dit blog is geschreven door Max Verbong --