AVG audit checklists voor HR-afdelingen

AVG audit checklists voor HR-afdelingen

De Autoriteit Persoonsgegevens deelde in 2023 boetes uit tot wel € 830.000 aan organisaties die de privacy van werknemers onvoldoende beschermden. Voor HR-afdelingen is dit geen abstract risico meer, maar een concrete dreiging die om structurele aandacht vraagt.

Tegelijkertijd verwerken HR-teams dagelijks gevoelige informatie: van medische gegevens en BSN-nummers tot salarisadministratie en functioneringsgesprekken. Juist deze combinatie van hoog risico en intensieve dataverwerking maakt een grondige AVG-audit onmisbaar.

Waarom HR-afdelingen extra kwetsbaar zijn

HR-afdelingen zitten in een unieke positie. Ze beheren niet alleen grote volumes persoonsgegevens, maar ook bijzondere persoonsgegevens die onder striktere bescherming vallen. Denk aan gezondheidsgegevens bij ziekteverzuim, strafrechtelijke gegevens bij screening van nieuwe medewerkers, of vakbondslidmaatschap.

Daarnaast werken veel HR-teams met externe partijen zoals salarisadministrateurs, recruitmentbureaus en arboartsen. Elke externe partij die toegang heeft tot personeelsgegevens vormt een potentieel risico als de afspraken niet goed vastliggen.

De praktijk wijst uit dat veel datalekken ontstaan door menselijke fouten: een verkeerd verzonden e-mail met salarisgegevens, een onbeveiligde USB-stick met personeelsdossiers, of een oud personeelssysteem zonder adequate toegangsbeveiliging.

De zeven principes van de AVG voor HR

De AVG kent zeven kernprincipes die de basis vormen van elke audit. Voor HR-afdelingen vertalen deze principes zich naar concrete eisen die dagelijks van toepassing zijn.

Het eerste principe is rechtmatigheid. HR mag alleen persoonsgegevens verwerken met een geldige grondslag: een wettelijke verplichting, uitvoering van de arbeidsovereenkomst, of in specifieke gevallen toestemming van de werknemer. Een BSN mag je bijvoorbeeld alleen vragen als dit wettelijk verplicht is voor loonadministratie.

Doelbinding houdt in dat je gegevens alleen mag gebruiken voor het doel waarvoor je ze verzameld hebt. Gegevens uit een sollicitatieprocedure mag je niet zomaar bewaren voor toekomstige vacatures, tenzij de sollicitant daar expliciet toestemming voor gaf.

Dataminimalisatie vraagt om terughoudendheid: verzamel alleen wat strikt noodzakelijk is. Vraag je standaard om een kopie van het rijbewijs bij elke nieuwe medewerker, terwijl dit alleen relevant is voor functies met rijtaken? Dan schend je dit principe.

Het vierde principe is juistheid. Personeelsdossiers moeten actueel en correct zijn. Verouderde adresgegevens of niet-bijgewerkte functieomschrijvingen kunnen leiden tot problemen.

Opslagbeperking betekent dat je gegevens niet langer bewaart dan noodzakelijk. Voor sollicitanten die je niet aanneemt geldt meestal een bewaartermijn van vier weken. Voor personeelsdossiers van ex-medewerkers hanteren veel organisaties zeven jaar vanwege fiscale verplichtingen, maar medische gegevens moeten vaak eerder vernietigd worden.

Integriteit en vertrouwelijkheid vragen om technische en organisatorische maatregelen: toegangsbeveiliging, versleuteling, en duidelijke afspraken over wie welke gegevens mag inzien. Het laatste principe is verantwoording. Je moet kunnen aantonen dat je aan alle eisen voldoet. Documentatie is daarbij essentieel.

Het verwerkingsregister als fundament

Elke AVG-audit begint bij het verwerkingsregister. Dit overzicht moet alle verwerkingsactiviteiten bevatten die HR uitvoert: van werving en selectie tot exit-gesprekken. Voor elke verwerkingsactiviteit leg je vast welke gegevens je verzamelt, waarom je dat doet, wie toegang heeft, hoe lang je de gegevens bewaart, en met welke externe partijen je de gegevens deelt.

Dit klinkt administratief zwaar, maar in de praktijk voorkom je hiermee onduidelijkheid en risico’s. Een goed verwerkingsregister helpt ook bij het beantwoorden van verzoeken van medewerkers. Wanneer iemand vraagt welke gegevens je van hem verwerkt, kun je snel een compleet overzicht geven.

Veel HR-afdelingen onderschatten hoeveel verschillende verwerkingen ze uitvoeren. Naast de voor de hand liggende administratie rondom contracten en salarissen, denk ook aan cameratoezicht, toegangsbeveiliging met badges, monitoring van e-mail of internet, en het gebruik van HR-software waarin gedragsgegevens worden vastgelegd.

Geheimhoudingsplicht en toegangsbeheer

HR heeft weliswaar geen absolute geheimhoudingsplicht zoals artsen of advocaten, maar wel een vergaande zorgplicht voor vertrouwelijke informatie. De AVG verplicht organisaties om passende technische en organisatorische maatregelen te treffen.

In de praktijk betekent dit dat je strikt moet bepalen wie toegang heeft tot welke gegevens. Heeft de recruiter toegang nodig tot salarisgegevens van zittende medewerkers? Kan de HR-adviseur die zich bezighoudt met leren en ontwikkelen inzien wie er langdurig ziek is? Vaak niet.

Implementeer daarom rolgebaseerde toegang in je HR-systemen. Zorg dat medewerkers alleen toegang hebben tot de gegevens die ze nodig hebben voor hun werk. Log wie wanneer welke gegevens inziet, zodat je bij een incident kunt achterhalen wat er gebeurd is.

Vergeet ook de fysieke beveiliging niet. Liggen er personeelsdossiers open op bureaus? Kunnen medewerkers HR-ruimtes binnenlopen waar gevoelige informatie zichtbaar is? Worden vertrouwelijke documenten veilig vernietigd of verdwijnen ze in de gewone papierbak?

Externe partijen en verwerkersovereenkomsten

De meeste organisaties werken met externe HR-dienstverleners. Elke partij die in opdracht van jouw organisatie persoonsgegevens verwerkt, is een verwerker in AVG-termen. Met elke verwerker moet je een verwerkersovereenkomst sluiten.

Deze overeenkomst regelt wat de verwerker wel en niet mag doen met de gegevens, welke beveiligingsmaatregelen gelden, hoe lang gegevens bewaard worden, en wat er gebeurt bij beëindiging van de samenwerking. Veel HR-afdelingen hebben wel verwerkersovereenkomsten, maar vaak zijn deze niet actueel of onvolledig.

Check regelmatig of je externe partijen zich aan de afspraken houden. Vraag naar hun beveiligingsmaatregelen, certificeringen, en hoe ze omgaan met datalekken. Een salarisadministrateur die je gegevens opslaat op onbeveiligde servers vormt een direct risico voor jouw organisatie.

Let ook op bij internationale dienstverleners. Gegevensoverdracht buiten de EU vraagt om extra waarborgen. De standaard contractclausules van de Europese Commissie bieden hiervoor een oplossing, maar moeten wel correct geïmplementeerd worden.

Rechten van werknemers in de praktijk

Medewerkers hebben diverse rechten onder de AVG: inzage, rectificatie, verwijdering, beperking van verwerking, en dataportabiliteit. HR-afdelingen moeten deze verzoeken binnen een maand afhandelen.

Inzageverzoeken komen regelmatig voor, vaak in conflictsituaties of bij ontslag. Zorg dat je proces hiervoor op orde is. Welke gegevens lever je aan, in welk formaat, en hoe verifieer je de identiteit van de aanvrager?

Het recht op verwijdering is complex in een arbeidsrelatie. Medewerkers kunnen niet zomaar eisen dat alle gegevens gewist worden, omdat je wettelijke bewaarplichten hebt. Maar na afloop van de arbeidsrelatie en de wettelijke bewaartermijn moet je wel degelijk gegevens verwijderen.

Dataportabiliteit speelt vooral bij werving en selectie. Sollicitanten kunnen vragen om hun gegevens in een gestructureerd, gangbaar formaat te ontvangen zodat ze deze kunnen hergebruiken.

Oefen deze processen regelmatig. Simuleer een inzageverzoek en check of je binnen de gestelde termijn een compleet overzicht kunt leveren. Dit voorkomt stress en fouten als er een echt verzoek binnenkomt.

Datalekken voorkomen en melden

Een datalek is elke situatie waarbij persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden, verloren gaan, of worden gewijzigd. Een e-mail met salarisgegevens naar de verkeerde ontvanger is een datalek. Een gestolen laptop met personeelsdossiers ook.

Preventie begint bij bewustwording. Train je HR-team regelmatig over veilig omgaan met persoonsgegevens. Gebruik versleuteling voor gevoelige bestanden. Verstuur vertrouwelijke informatie niet via onbeveiligde e-mail, maar gebruik beveiligde deeloplossingen.

Toch kunnen datalekken gebeuren. Cruciaal is dat je een helder proces hebt om te reageren. Wie moet geïnformeerd worden? Wanneer moet je de Autoriteit Persoonsgegevens melden? Welke getroffen personen moet je waarschuwen?

Bij datalekken met waarschijnlijke hoge risico’s voor de privacy van betrokkenen moet je binnen 72 uur melden bij de AP. Denk aan gelekte medische gegevens of BSN-nummers. Documenteer elk datalek, ook als je niet hoeft te melden. Dit toont aan dat je de situatie serieus neemt en helpt bij het voorkomen van herhaling.

De AVG-audit in de praktijk uitvoeren

Een grondige AVG-audit voor HR vraagt om een systematische aanpak. Begin met het actualiseren van je verwerkingsregister. Loop alle HR-processen na: van werving tot uitdiensttreding, van verzuimbegeleiding tot performance management.

Check vervolgens je technische maatregelen. Zijn alle HR-systemen adequaat beveiligd? Worden back-ups gemaakt? Is er een noodherstelplan? Wie heeft welke toegangsrechten en zijn deze nog actueel?

Beoordeel je organisatorische maatregelen. Zijn medewerkers getraind? Zijn er duidelijke procedures voor het omgaan met privacygevoelige situaties? Weten medewerkers wat ze moeten doen bij een datalek?

Controleer alle verwerkersovereenkomsten. Zijn ze compleet en actueel? Voldoen je externe partijen aan de afgesproken beveiligingseisen?

Test je processen voor het afhandelen van verzoeken van betrokkenen. Kun je binnen een maand een compleet inzageverzoek afhandelen? Is duidelijk wie verantwoordelijk is voor welke stappen?

Documenteer alle bevindingen en stel een verbeterplan op met concrete acties, verantwoordelijken en deadlines. Een audit is geen eenmalige exercitie, maar onderdeel van continue verbetering.

Van compliance naar strategisch HR-beleid

AVG-compliance is meer dan het afvinken van een checklist. Het gaat om een cultuur waarin privacy en zorgvuldig omgaan met gegevens vanzelfsprekend zijn. Organisaties die dit goed regelen, merken dat het vertrouwen van medewerkers toeneemt.

Moderne HR-platforms zoals Deepler helpen bij het waarborgen van privacy door ontwerp. Gegevens worden alleen verzameld als dat nodig is, toegang is strikt geregeld, en rapportages zijn zo ingericht dat individuele medewerkers niet herleidbaar zijn tenzij dat noodzakelijk is.

Door privacy en databescherming te integreren in je HR-processen, voorkom je niet alleen boetes. Je creëert ook een veilige omgeving waarin medewerkers zich comfortabel voelen om eerlijke feedback te geven en gevoelige informatie te delen.

Start vandaag met een grondige inventarisatie van je huidige situatie. Gebruik de principes en checkpoints uit dit artikel om je verwerkingsregister bij te werken, je beveiligingsmaatregelen te toetsen, en je team te trainen. De investering in goede AVG-compliance betaalt zich terug in vermeden risico’s en toegenomen vertrouwen.