Deze ingezonden mededeling afkomstig van Twenty Four Webvertising B.V.
Privacy en wet- en regelgeving
De AVG heeft grote impact op tijdregistratie, aangezien hierbij persoonsgegevens worden verwerkt. Advocatenkantoren moeten zorgen voor een rechtmatige verwerkingsgrond en transparante informatievoorziening aan medewerkers. Bijzondere aandacht verdienen biometrische gegevens bij toegangscontrole en tijdregistratie – deze vallen onder de bijzondere categorieën persoonsgegevens met striktere eisen.
Voor tijdregistratiegegevens gelden verschillende bewaartermijnen: zeven jaar voor fiscale administratie, twee jaar na dienstverband voor arbeidsgegevens, en minimaal vijf jaar voor declaratiegegevens in dossiers. Advocatenkantoren moeten zorgen dat hun systemen deze gedifferentieerde termijnen kunnen hanteren.
Arbeidsrechtelijke dimensie
Het Europese Hof van Justitie heeft in 2019 geoordeeld dat werkgevers verplicht zijn een betrouwbaar systeem voor arbeidstijdregistratie te implementeren. Dit betekent dat advocatenkantoren niet alleen voor declaratiedoeleinden, maar ook vanuit arbeidsrechtelijk perspectief nauwkeurige tijdregistratie moeten faciliteren.
De balans tussen controle en vertrouwen is een uitdaging. Enerzijds hebben kantoren legitieme redenen om tijdbesteding te monitoren, anderzijds past micromanagement niet bij de professionele autonomie van advocaten. Transparant beleid met duidelijke verwachtingen biedt hier uitkomst.
Biometrische identificatie voor tijdregistratie is juridisch riskant. De Autoriteit Persoonsgegevens stelt dat dit alleen is toegestaan als er een gerechtvaardigd belang is dat niet op minder ingrijpende wijze kan worden bereikt, er een privacy impact assessment is uitgevoerd, en betrokkenen goed zijn geïnformeerd.
Bezoekersregistratie: extra aandachtspunt
Ook bezoekersregistratie verdient juridische aandacht. Veel advocatenkantoren registreren wie wanneer het pand betreedt, wat privacygevoelig kan zijn gezien de aard van juridische dienstverlening. Bezoekers hebben recht op informatie over de verwerking van hun gegevens, inclusief bewaartermijnen en doeleinden.
De AVG vereist dat bezoekersregistratie proportioneel is. Het verzamelen van ID-bewijzen of foto’s is meestal disproportioneel, tenzij er zwaarwegende beveiligingsbelangen zijn. Beperk de registratie tot naam, bezoektijden en eventueel bezochte persoon. Voor bezoekersgegevens geldt een korte bewaartermijn: meestal maximaal zes maanden, tenzij er een specifieke reden is voor langere bewaring.
Aansprakelijkheid en beveiliging
Bij een datalek van tijdregistratiegegevens is primair het advocatenkantoor als verwerkingsverantwoordelijke aansprakelijk. Bij gebruik van externe software is een verwerkersovereenkomst essentieel om verantwoordelijkheden af te bakenen. Datalekken kunnen leiden tot meldplicht, boetes tot 4% van de jaaromzet en reputatieschade.
De Nederlandse Orde van Advocaten benadrukt in haar Handleiding Informatiebeveiliging dat advocatenkantoren passende beveiliging moeten implementeren. Voor tijdregistratiesystemen betekent dit minimaal meerfactorauthenticatie, encryptie van gegevens, regelmatige beveiligingsupdates en logging van toegang.
Niet-naleving van privacy- en arbeidsregels kan leiden tot sancties van de Autoriteit Persoonsgegevens, de Inspectie SZW en tuchtrechtelijke maatregelen door de deken.
Praktische implementatie
Een succesvolle implementatie van tijdregistratiesystemen vraagt om:
- Een gedegen voorbereiding met privacy impact assessment
- Betrokkenheid van alle medewerkers
- Duidelijke communicatie over doelen
- Technische en organisatorische maatregelen die privacy waarborgen
- Regelmatige evaluatie
Best practices voor kantoren:
- Maak tijdregistratie zo gebruiksvriendelijk mogelijk
- Bied inzicht in eigen gegevens
- Combineer technologie met verantwoordelijkheid
- Evalueer regelmatig of het systeem nog voldoet
De toenemende automatisering in tijdregistratie, bijvoorbeeld door AI die suggesties doet op basis van e-mailverkeer, brengt nieuwe juridische uitdagingen. Kantoren moeten alert zijn op functieverschuiving (gebruik van gegevens voor andere doeleinden), mogelijke bias in algoritmes en uitlegbaarheid van geautomatiseerde tijdregistratie aan cliënten.
