De Privacywet (AVG) , Alles wat werkgevers moeten weten

De Privacywet (AVG) , Alles wat werkgevers moeten weten

MindFitPro – Psychologische zorg, mediation & bedrijfsrecherche op de werkvloer

Sinds de invoering van de privacywet (AVG) in 2018 is privacybescherming niet langer een keuze, maar een wettelijke plicht.

Voor bedrijven, werkgevers en organisaties betekent dit: zorgvuldiger omgaan met persoonsgegevens, heldere procedures vastleggen en privacyrisico’s actief voorkomen.

Op deze pagina leggen we uit wat de privacywet inhoudt, wanneer die van kracht is, op wie ze van toepassing is, wat wel en niet mag, en hoe u als werkgever aan de regels voldoet.

Wat is de privacywet (AVG)?

De Algemene verordening gegevensbescherming (AVG) – in het Engels: General Data Protection Regulation (GDPR) – is een Europese wet die bepaalt hoe organisaties met persoonsgegevens moeten omgaan.

In Nederland geldt deze wet sinds 25 mei 2018, en de naleving ervan wordt gecontroleerd door de Autoriteit Persoonsgegevens (AP).

De wet verving de oude Wet bescherming persoonsgegevens (Wbp) en geldt voor alle organisaties, van eenmanszaken tot multinationals, zodra zij gegevens van personen verwerken.

Wanneer is de AVG van kracht?

De privacywet is continu van kracht: elke dag dat u persoonsgegevens verwerkt, bent u eraan gebonden.

Of u nu:

  • een personeelsadministratie bijhoudt,
  • klantgegevens opslaat,
  • camerabeelden opneemt, of
  • personeelsmail controleert,

de AVG is altijd van toepassing zodra informatie naar een persoon te herleiden is.

Op wie is de privacywet van toepassing?

De AVG geldt voor iedere organisatie die persoonsgegevens verwerkt, waaronder:

  • Bedrijven (mkb en grootbedrijf)
  • Stichtingen, verenigingen en zorginstellingen
  • Overheidsorganisaties
  • Freelancers en zelfstandigen

Ook buitenlandse bedrijven die diensten aanbieden aan Nederlandse burgers vallen onder de AVG.

Wat zijn persoonsgegevens?

Volgens de wet zijn persoonsgegevens alle gegevens die iets zeggen over een identificeerbare persoon.

Dat is breder dan de meeste mensen denken.

Voorbeelden:

  • Naam, adres, telefoonnummer
  • E-mailadres of personeelsnummer
  • Foto’s of camerabeelden
  • IP-adressen of login-gegevens
  • Salaris, verzuim, beoordelingen
  • Gezondheidsgegevens, BSN, locatiegegevens

Bijzondere persoonsgegevens (zoals medische gegevens of religie) mogen alleen in zeer beperkte gevallen worden verwerkt.

Wat mag een werkgever wel en niet volgens de privacywet?

Wat mag wél:

  • Persoonsgegevens verwerken die noodzakelijk zijn voor uitvoering van het arbeidscontract.
  • Gegevens bewaren die wettelijk verplicht zijn (bijv. loonadministratie, Arbowet).
  • Gegevens gebruiken waarvoor de werknemer expliciet toestemming heeft gegeven (bijv. foto’s op intranet).
  • Beperkte controle op werkmail of IT-gebruik bij concreet vermoeden van misbruik, mits beleid aanwezig is.

Wat mag niet:

  • Privé-e-mails of telefoons doorzoeken zonder toestemming.
  • Medische gegevens opslaan zonder wettelijke reden.
  • Cameratoezicht gebruiken zonder vooraf te informeren.
  • Persoonsgegevens delen met derden zonder grondslag.
  • Meer gegevens bewaren dan nodig of te lang bewaren.

Wat moet u als werkgever doen om te voldoen aan de privacywet?

  1. Inventariseer uw gegevensstromen
    Breng in kaart welke persoonsgegevens u verwerkt, waarom, en hoe lang.
  2. Stel een privacybeleid op
    Leg vast hoe u omgaat met data, beveiliging, rechten van werknemers en datalekken.
  3. Zorg voor passende beveiliging
    Gebruik sterke wachtwoorden, tweestapsverificatie (MFA), versleuteling en beperkte toegang.
  4. Informeer medewerkers en klanten
    Wees transparant over wat u vastlegt en waarom. Vermeld dit in een privacyverklaring.
  5. Sluit verwerkersovereenkomsten af
    Met partijen die namens u gegevens verwerken (zoals salarisadministratie, cloudopslag).
  6. Meld datalekken binnen 72 uur
    Bij een inbreuk op de beveiliging van persoonsgegevens moet dit binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.
  7. Voer periodieke controles uit
    Herzie uw beleid jaarlijks of bij veranderingen in processen of wetgeving.

Wat zijn de gevolgen als u de privacywet overtreedt?

De sancties zijn fors:

  • Boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (de hoogste van de twee geldt).
  • Aansprakelijkstelling door betrokken personen (werknemers of klanten).
  • Reputatieschade en vertrouwensverlies.
  • Onderzoek of waarschuwing van de Autoriteit Persoonsgegevens.

Daarnaast kunnen onrechtmatige onderzoeken of controles leiden tot strafrechtelijke vervolging (bijv. bij afluisteren, hacken of onrechtmatig cameragebruik).

Hoe voorkomt u schending van de privacywet?

  • Stel duidelijke interne richtlijnen op voor gebruik van e-mail, telefoon en camera.
  • Train uw medewerkers in privacybewustzijn en veilig omgaan met data.
  • Gebruik vertrouwenspersonen om meldingen veilig te kunnen doen.
  • Laat periodiek een privacy-audit of integriteitsonderzoek uitvoeren.
  • Beperk toegang tot gevoelige informatie: alleen wie het echt nodig heeft.
  • Schakel tijdig een AVG-specialist of bedrijfsrecherche in bij vermoedens van misbruik.

MindFitPro biedt begeleiding bij interne onderzoeken, integriteitsbeleid, vertrouwenspersonen en preventieve trainingen over privacy en sociale veiligheid.

Wanneer is een schending van de privacywet strafbaar?

In de meeste gevallen is overtreding bestuursrechtelijk (boete of waarschuwing).

Maar het wordt strafbaar als er sprake is van:

  • Opzettelijk verspreiden van vertrouwelijke gegevens,
  • Inbreken op computers of systemen (computervredebreuk),
  • Het heimelijk opnemen of volgen van personen zonder toestemming.

Deze vormen vallen onder het Wetboek van Strafrecht (art. 138ab en 273d).

Veelgestelde vragen over de privacywet (AVG)

Mag ik cameratoezicht gebruiken op de werkvloer?

Ja, maar alleen bij een concreet belang (zoals veiligheid of diefstalpreventie) en met duidelijke kennisgeving aan werknemers.

Mag ik de e-mails van mijn werknemer controleren?

Alleen bij een gegrond vermoeden van misbruik én als dat in het privacybeleid is vastgelegd.

Moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

Ja, als u structureel grote hoeveelheden persoonsgegevens verwerkt (zoals in zorg of onderwijs).

Hoelang mag ik persoonsgegevens bewaren?

Niet langer dan noodzakelijk. Bijvoorbeeld: sollicitatiegegevens maximaal 4 weken, loonadministratie 7 jaar.

MindFitPro helpt organisaties privacy-proof werken

Bij MindFitPro begrijpen we dat privacywetgeving geen papieren verplichting is, maar een essentieel onderdeel van een gezonde en integere organisatie.

Wij helpen bedrijven met:

  • Vertrouwenspersonen en mediation bij conflicten over privacy
  • Onderzoek en bewijs bij overtredingen of datalekken

Conclusie

De privacywet (AVG) raakt elke werkgever en werknemer.

Wie zich aan de regels houdt, beschermt niet alleen gegevens, maar ook vertrouwen, reputatie en rust binnen het bedrijf.

MindFitPro ondersteunt organisaties om aan alle privacyverplichtingen te voldoen — professioneel, discreet en juridisch correct.

📞 085 – 0046579

info@mindfitpro.nl

MindFitPro – Psychologische zorg, mediation & bedrijfsrecherche op de werkvloer.

Integriteit begint bij vertrouwen — en vertrouwen begint bij privacy.