Een privacy statement of een privacy- en cookieverklaring hebben we allemaal weleens op een website gezien. Daarin lees je wat de organisatie doet met jouw persoonsgegevens als websitebezoeker of als klant. Maar de interne privacyverklaring wordt vaak vergeten. En dat terwijl organisaties wettelijk verplicht zijn om ook medewerkers te informeren over de omgang met hun persoonsgegevens. Wat zet je in een interne privacyverklaring? Hoe kun je als werkgever aan je informatieplicht richting werknemers voldoen? Dat lees je hieronder.

Informatieplicht voor werkgevers onder de AVG

De AVG is duidelijk. Als je persoonsgegevens verzamelt van een persoon, dien je diegene te informeren over het hoe en wat van de gegevensverwerking. Deze informatie dient eenvoudig toegankelijk en begrijpelijk te zijn. Geen ingewikkeld juridisch jargon, maar heldere taal.

Een werkgever verwerkt altijd persoonsgegevens van werknemers. Bijvoorbeeld om een personeelsdossier aan te leggen, de salarissen uit te betalen, verzuim te registreren en het pand te beveiligen. Een werkgever zal zijn werknemers daarom actief moeten informeren over de verwerkingen die (gaan) plaatsvinden op het moment dat hij de gegevens van zijn werknemers verzamelt.

Wil je als werkgever in lijn handelen met de informatieplicht uit de AVG? Overleg een interne privacyverklaring bij aanvang van het dienstverband, of plaats deze bijvoorbeeld in het personeelshandboek. Zorg er daarnaast voor dat de interne privacyverklaring te vinden is via het intranet of een andere plek waar alle medewerkers bij kunnen.

Hoe ziet een interne privacyverklaring eruit?

De interne privacyverklaring ziet er in grote lijnen hetzelfde uit als de privacyverklaring op de website. De wettelijke vereisten zijn immers hetzelfde. De interne privacyverklaring bevat in ieder geval de volgende informatie:

• Identiteit en contactgegevens van de werkgever
• Soorten persoonsgegevens die worden verwerkt (bijv. NAW-gegevens en salarisgegevens)
• Verwerkingsdoeleinden (bijv. uitbetaling van salaris)
• Grondslag van de verwerking (bijv. uitvoering van de arbeidsovereenkomst, wettelijke plicht of zelfs het gerechtvaardigd belang)
• Categorieën ontvangers van de persoonsgegevens (bijv. de arbodienst, een salarisadministratiekantoor of pensioendienstverlener)
• Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte en welke passende waarborgen zijn getroffen
• Bewaartermijn (bijv. het personeelsdossier maximaal 2 jaar na uitdiensttreding)
• De getroffen beveiligingsmaatregelen (bijv. tweefactorauthenticatie)
• De rechten van de werknemers (zoals het recht op inzage, rectificatie en verwijdering)

Via Privacy Verified kunnen organisaties zelf een interne privacyverklaring opstellen. Hulp nodig? Of de huidige interne privacyverklaring laten controleren? Wij helpen je uiteraard graag!