AVG training voor HR-teams: wat moet erin?

AVG training voor HR-teams: wat moet erin?

De Algemene Verordening Gegevensbescherming is voor HR-teams niet zomaar een compliance-verplichting die je afvinkt. Het raakt de kern van jullie werk: van de eerste sollicitatie tot het laatste exitgesprek verwerken HR-professionals dagelijks gevoelige persoonsgegevens.

Een datalek, een verkeerd bewaarde verzuimregistratie of een onzorgvuldige omgang met referentiechecks kan niet alleen leiden tot boetes tot 20 miljoen euro, maar ook tot reputatieschade en verlies van vertrouwen bij medewerkers.

Toch blijkt in de praktijk dat veel HR-teams vooral theoretische kennis hebben van de AVG, zonder scherp te hebben wat het concreet betekent voor hun dagelijkse werkzaamheden. Een effectieve AVG-training voor HR gaat daarom verder dan juridische principes. Het vertaalt wetgeving naar herkenbare HR-situaties en geeft concrete handvatten voor veilige gegevensverwerking.

Waarom standaard avg-trainingen te kort schieten voor HR

De meeste algemene privacytrainingen behandelen de AVG vanuit een breed organisatieperspectief. Dat is logisch, maar voor HR-professionals weinig praktisch. Jullie werken niet met klantenbestanden of marketingdata, maar met arbeidsovereenkomsten, functioneringsgesprekken, verzuimregistraties en salarisgegevens. Elk met eigen bewaarplichten, verwerkingsgrondslagen en risico’s.

Een HR-medewerker die weet wat de zes grondslagen van de AVG zijn, maar niet begrijpt wanneer je wel of niet toestemming nodig hebt van een sollicitant, heeft weinig aan die kennis. De vertaalslag van theorie naar de HR-praktijk ontbreekt vaak. Daarom is een gespecialiseerde AVG-training voor HR-teams essentieel, niet optioneel.

De basis: persoonsgegevens in HR-context

Een goede AVG-training voor HR begint met herkenning. Wat zijn eigenlijk persoonsgegevens in jullie werkveld? Het gaat verder dan voor de hand liggende zaken als NAW-gegevens en BSN-nummers. Ook beoordelingen, notities van functioneringsgesprekken, arbeidsvoorwaarden, opleidingshistorie en zelfs de informatie dat iemand solliciteert vallen hieronder.

Bijzondere persoonsgegevens verdienen extra aandacht in de training. Denk aan medische informatie bij verzuim, vakbondslidmaatschap, strafrechtelijke gegevens bij screening van bepaalde functies, of religieuze overtuiging bij verlofaanvragen. Deze gegevens mogen alleen onder strikte voorwaarden verwerkt worden en vereisen extra beveiligingsmaatregelen.

De training moet HR-medewerkers leren deze gegevens te herkennen in hun dagelijkse werkzaamheden. Een verzuimgesprek documenteren, een referentiecheck uitvoeren of een personeelsdossier aanleggen: het zijn allemaal momenten waarop je bewust moet zijn van wat je vastlegt en waarom.

De zes grondslagen: wanneer mag HR gegevens verwerken?

De AVG kent zes rechtmatige grondslagen voor gegevensverwerking. Voor HR zijn vooral drie grondslagen relevant en die moeten helder uitgelegd worden in de training.

De uitvoering van de arbeidsovereenkomst is de belangrijkste grondslag. Hierdoor mag je gegevens verwerken die noodzakelijk zijn voor het personeelsdossier, salarisadministratie en verlofregistratie. Maar let op: niet alles valt hieronder. Een vraag naar hobby’s of toekomstplannen tijdens een functioneringsgesprek is niet noodzakelijk voor de arbeidsovereenkomst.

Wettelijke verplichtingen vormen de tweede belangrijke grondslag. Denk aan de verplichting om loonheffing af te dragen, arbeidstijden te registreren of een verzuimregistratie bij te houden. Deze grondslag geeft duidelijkheid, maar ook hier geldt: alleen wat echt wettelijk verplicht is.

Toestemming is de derde grondslag, maar hier gaat het vaak mis in HR. Toestemming moet vrijelijk gegeven zijn, maar bij een ongelijke machtsverhouding tussen werkgever en werknemer is dat lastig. Een medewerker die gevraagd wordt om toestemming voor een bedrijfsfoto voelt zich niet altijd vrij om nee te zeggen. De training moet HR-professionals leren wanneer toestemming wel en niet geschikt is als grondslag.

Privacyrechten van medewerkers in de praktijk

Medewerkers hebben verschillende rechten onder de AVG, en HR-teams moeten weten hoe ze daar in de praktijk mee omgaan.

Het recht op inzage betekent dat een medewerker kan vragen welke gegevens jullie van hem verwerken. Klinkt simpel, maar in de praktijk roept dit vragen op. Moeten notities van een informeel gesprek ook gedeeld worden? Hoe zit het met referenties van een eerdere werkgever?

Het recht op correctie en verwijdering vereist heldere procedures. Wat doe je als een medewerker vraagt om een negatieve beoordeling te verwijderen? Of als een oud-medewerker wil dat alle gegevens gewist worden, terwijl je een wettelijke bewaarplicht hebt voor salarisgegevens?

De training moet concrete scenario’s behandelen en duidelijke antwoorden geven. Niet alleen theoretisch, maar met voorbeelden uit de HR-praktijk. Welke formulieren gebruik je? Binnen welke termijn moet je reageren? En hoe communiceer je dit naar de medewerker?

Bewaartermijnen: wat moet weg en wat moet blijven?

Een van de meest praktische onderdelen van een AVG-training voor HR gaat over bewaartermijnen. De AVG schrijft voor dat je persoonsgegevens niet langer bewaart dan noodzakelijk, maar wat betekent dat concreet?

Voor sollicitatiegegevens van afgewezen kandidaten geldt meestal vier weken, tenzij de kandidaat toestemming geeft voor een talentpool. Personeelsdossiers van vertrokken medewerkers moeten minimaal twee jaar bewaard worden vanwege mogelijke juridische claims, maar sommige onderdelen langer vanwege fiscale verplichtingen. Verzuimgegevens hebben weer andere termijnen.

De training moet HR-teams een praktisch overzicht geven van relevante bewaartermijnen en uitleggen hoe je een systematiek opzet om dit te borgen. Welke herinneringen zet je in je systeem? Hoe archiveer je op een manier dat je na de bewaarperiode makkelijk kunt opschonen? Dit zijn de vragen die in de dagelijkse praktijk spelen.

Datalekken herkennen en melden

Niet elk incident is een datalek in AVG-termen, maar HR-medewerkers moeten wel weten wat de signalen zijn. Een cv dat per ongeluk naar de verkeerde ontvanger gaat, een onbeveiligde USB-stick met salarisgegevens die kwijtraakt, of een e-mail met verzuimgegevens die in cc in plaats van bcc verstuurd wordt: het zijn allemaal potentiële datalekken.

De training moet duidelijk maken wanneer iets gemeld moet worden aan de functionaris gegevensbescherming of direct aan de Autoriteit Persoonsgegevens. Binnen 72 uur moet een datalek gemeld zijn als er een risico is voor de betrokkenen. Dat klinkt als veel tijd, maar in de praktijk gaat het snel.

Belangrijker nog is preventie. Welke situaties zijn risicovol? Hoe beveilig je gegevens bij thuiswerken? Wat doe je met papieren dossiers? En hoe ga je veilig om met gegevens in videogesprekken of bij gebruik van nieuwe HR-tools? Deze praktische voorbeelden moeten uitgebreid aan bod komen.

Nieuwe medewerkers, uitdiensttreding en alles ertussenin

Een goede AVG-training voor HR volgt de employee journey en laat bij elke fase zien waar de privacyrisico’s zitten.

Bij werving en selectie gaat het om het beperken van gevraagde gegevens, veilige opslag van sollicitaties en correcte afhandeling van afwijzingen.

Tijdens het dienstverband komen andere vraagstukken. Hoe ga je om met monitoring en controle? Mag je e-mailverkeer inzien bij een vermoeden van misbruik? Hoe documenteer je een verbetertraject zonder privacy te schenden? En wat zijn de regels bij reorganisaties waarbij gegevens gedeeld worden met sociale partners of een nieuwe werkgever bij overgang van onderneming?

Bij uitdiensttreding speelt de vraag wat je bewaart en wat je verwijdert. Ook de overdracht van gegevens bij een nieuwe werkgever vereist zorgvuldigheid. Welke informatie mag je delen in een referentie? En hoe ga je om met een vertrekkende medewerker die al zijn gegevens gewist wil hebben?

Veilig werken met HR-systemen en tools

De digitalisering van HR brengt efficiëntie, maar ook privacyrisico’s. Een AVG-training moet aandacht besteden aan veilig gebruik van HR-systemen, wervingssystemen, beoordelingssoftware en andere tools.

Belangrijke vragen die aan bod moeten komen: waar worden de gegevens opgeslagen? Heeft de leverancier een verwerkersovereenkomst getekend? Wie heeft toegang tot welke gegevens? En hoe voorkom je dat medewerkers meer zien dan nodig is voor hun functie?

Ook praktische zaken als wachtwoordbeleid, tweefactorauthenticatie, het vergrendelen van je scherm en veilig printen horen thuis in de training. Het klinkt basaal, maar in de praktijk gaat het hier regelmatig mis. Een onvergrendeld scherm met openstaande personeelsdossiers, uitgeprinte salarisoverzichten die op de printer blijven liggen, of een gedeelde inlog voor het HR-systeem zijn risico’s die makkelijk te voorkomen zijn.

Van theorie naar gedragsverandering

Een effectieve AVG-training voor HR stopt niet bij kennisoverdracht. Het doel is gedragsverandering. Daarom werken de beste trainingen met concrete casussen, rollenspellen en praktijkoefeningen die herkenbaar zijn voor de deelnemers.

Laat deelnemers oefenen met het beantwoorden van een inzageverzoek, het beoordelen of een nieuwe HR-tool AVG-proof is, of het opstellen van een verwerkersovereenkomst. Bespreek dilemma’s die in jullie organisatie spelen. Hoe meer de training aansluit bij de dagelijkse realiteit, hoe beter de kennis beklijft.

Ook een duidelijk vervolgtraject is belangrijk. Wie kunnen medewerkers benaderen met vragen? Waar vinden ze sjablonen en checklists? En hoe blijven ze op de hoogte van ontwikkelingen? Privacy is geen eenmalig project, maar een continu proces.

De investering die zich terugbetaalt

Een gedegen AVG-training voor HR-teams kost tijd en geld, maar de investering verdient zich snel terug. Niet alleen voorkom je potentiële boetes en juridische claims, maar je bouwt ook aan een cultuur van zorgvuldigheid en vertrouwen.

Medewerkers die weten dat hun werkgever zorgvuldig omgaat met hun persoonlijke gegevens, hebben meer vertrouwen in de organisatie. En HR-professionals die precies weten wat wel en niet mag, werken efficiënter en met meer zelfvertrouwen.

Start met een grondige inventarisatie van de huidige kennis en praktijk binnen jullie HR-team. Welke onderdelen van de AVG zijn helder, en waar zitten de grootste kennislacunes? Op basis daarvan kun je een training samenstellen of inkopen die echt aansluit bij jullie behoeften.

Zorg dat de training praktisch, interactief en specifiek voor HR is. Algemene privacytrainingen volstaan simpelweg niet voor de complexe gegevensverwerking waar HR dagelijks mee te maken heeft.