De feestmaand komt eraan: tijd om medewerkers te bedanken met een kerstpakket of digitaal cadeau, zoals Tintelingen. Een leuk gebaar! Maar wist je dat daar ook privacyregels bij komen kijken? 

Of je als werkgever je kerstpakketten laat verzorgen of zelf wat regelt, je gebruikt persoonsgegevens van je medewerkers. Hieronder lees je stap voor stap wat je moet regelen om aan de AVG te voldoen. 

Stap 1: Welke gegevens heb je écht nodig? 

Bedenk eerst welke gegevens nodig zijn, waarom ze nodig zijn en hoelang je ze wil bewaren. Noteer dit in je verwerkingsregister. 

Ga hierbij voor jezelf na: heb je het adres echt nodig, of is een e-mailadres genoeg? Moet je een geboortedatum weten, of kan het zonder? 

Als je de pakketten zelf uitdeelt, volstaat vaak de naam of het personeelsnummer. 
 

Laat je het uitbesteden, dan deel je meestal: 

• Naam en adres (voor fysieke pakketten) 

• E-mailadres (voor digitale cadeaus) 

• Afdeling werknemer (voor gepersonaliseerde communicatie) 

De wettelijke grondslag van het verwerken van persoonsgegevens voor kerstpakketten, is het gerechtvaardigd belang (AVG, art. 6 lid 1 sub f).

Hiervoor moet je dus in het verwerkingsregister opschrijven wat jouw belangen zijn tegenover die van de werknemer voor het gebruiken van de gegevens, maar vrees niet: met het uitdelen van kerstpakketten kan je dat goed uitleggen. 

Toestemming vragen (AVG, art. 6 lid 1 sub a) hoeft dus niet — en is in de praktijk ook lastig vanwege de gezagsverhouding tussen werkgever en werknemer. 

Bewaar de gegevens alleen zolang het nodig is, en verwijder ze na de feestperiode. 

Stap 2: Sluit een verwerkersovereenkomst af 

Besteed je het uitdelen uit aan een externe partij? Dan is dat een verwerker volgens de AVG, en moet er een verwerkersovereenkomst komen. 

Hierin leg je vast: 

• Welke gegevens verwerkt worden; 

• Met welk doel; 

• Welke beveiligingsmaatregelen zijn genomen; 

• Hoe lang de gegevens bewaard blijven (zo kort mogelijk uiteraard!); 

• Wat er gebeurt na afloop van de actie (verwijderen); 

• Hoe datalekken worden gemeld; 

• Dat de leverancier jouw toestemming nodig heeft voor inschakeling van subverwerkers: leverancier van de leverancier. 

Controleer goed of de leverancier passende beveiligingsmaatregelen heeft. Zo niet, dan kun je beter een andere partij kiezen. 

Stap 3: Vertel je medewerkers! 

Vertel medewerkers dat hun gegevens gedeeld worden voor het kerstcadeau. Dit kan je opschrijven in je algemene privacyverklaring, maar je kan ook een e-mail sturen naar je medewerkers of er iets over zeggen in jouw nieuwsbrief (als die actief gelezen wordt). 

Voorbeeld: 
“Voor het versturen van het kerstcadeau delen wij je naam en e-mailadres met “Organisatie X”. De gegevens worden alleen gebruikt voor deze actie en daarna meteen verwijderd.” 

Extra: vergeet externe medewerkers niet 

Doe je ook iets voor externe medewerkers? Check dan of dit mag bij hun werkgever. Deel je zelf pakketten uit aan externe medewerkers, vraag dan toestemming aan de externe organisatie. 

Is jouw organisatie al AVG-proof (met kerstpakketten of digitale cadeaus)? 

 
JKPrivacy helpt je graag verder! Neem contact op om te ontdekken wat wij voor je kunnen betekenen:

Neem contact op!

Geschreven door: Jip Klous op 30 oktober 2025