Help! De AVG komt er aan (Privacywetgeving)

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. e AVG is niet nieuw. De verordening dateert al van 2016 maar krijgt richting de datum waarop zij feitelijk van toepassing zal zijn veel aandacht in de media.

De AVG breidt de privacyrechten verder uit, legt meer verantwoordelijkheden op de schouders van bedrijven en geeft privacytoezichthouders de bevoegdheid om (forse) boetes op te leggen wanneer in strijd met de verordening wordt gehandeld.

Leuk of niet, als werkgever zult u aan de verordening moeten gaan voldoen. Het wordt dus tijd dat u zich in de privacywetgeving gaat verdiepen. In deze blog vindt u een aantal praktische gevolgen en tips voor werkgevers op een rijtje.

  1. Inventarisatie

Zorg ervoor dat u weet welke privacygevoelige informatie binnen de onderneming worden verzameld en verwerkt.

  1. Wettelijke grondslag en toestemming

Persoonsgegevens mogen alleen worden verwerkt indien daarvoor een wettelijke grondslag is. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon. Daarvan is al snel sprake, bijvoorbeeld het verzamelen van e-mailadressen, het kopiëren van een identificatiebewijs of het noteren van een kenteken. Tip: vraag uitdrukkelijke toestemming van de desbetreffende persoon voor de verwerking en zorg ervoor dat bewijs hiervan aanwezig is.

  1. Functionaris voor de Gegevensbescherming

Controleer of u verplicht bent een functionaris voor de gegevensbescherming (FG) te benoemen. Een FG is een natuurlijk persoon die toezicht houdt op de toepassing en naleving van de AVG binnen de organisatie. Een verplichting bestaat bijvoorbeeld wanneer uw organisatie op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is.

  1. Meldplicht datalek

Een organisatie die persoonsgegevens verwerkt dient ieder datalek direct te melden aan de Autoriteit Persoonsgegevens en in bepaalde gevallen ook aan de betrokkene. Ver van uw bed? Helaas niet. Denkt u maar aan een hack of simpelweg de diefstal van een laptop met persoonsgegevens bij een van uw werknemers.

  1. Recht op informatie

Een betrokkene moet op de hoogte worden gesteld van het feit dat verwerking van zijn persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn. Verandert het doel van de verwerking, dan bent u verplicht ook daarover informatie te verstrekken aan de betrokkene, en eventueel ook, waar nodig, nieuwe toestemming te verkrijgen.

  1. Recht op inzage

Personen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en, zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Mensen hebben dus geen recht op informatie over anderen.

  1. Right to be forgotten

Op grond van de AVG heeft een betrokkene recht op verwijdering van zijn persoonsgegevens. Bij een succesvol beroep op het right to be forgotten bestaat ook de verplichting er zorg voor te dragen dat derde partijen aan wie u persoonsgegevens van een betrokkene heeft doorgespeeld ook overgaan tot verwijdering.

In bovenstaande geval van outsourcing van bedrijfsprocessen waar data door een derde partij verwerkt wordt dient u ook goed te realiseren dat u te allen tijden verantwoordelijk bent voor de data en de verwerking daarvan, en dus ook de verplichtingen die de AVG schept, ondanks het feit dat een andere partij de verwerking verzorgd.

  1. Data Protection Impact Assessment (DPIA)

Organisaties zijn verplicht vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie de organisatie persoonsgegevens verwerkt

  1. Laat maar zitten?

De Autoriteit Persoonsgegevens mag uit eigen beweging optreden bij overtreding van de regels uit de AVG. Er kunnen forse boetes worden opgelegd.  De maximale boete bedraagt maximaal € 20 miljoen of 4% van de wereldwijde omzet. In de praktijk zal dat niet snel voorkomen, maar toch. Ons advies is om de AVG serieus te nemen en ervoor te zorgen dat uw organisatie op tijd AVG proof is.  De volledige verordening kunt op internet terugvinden op de website van de Autoriteit Persoonsgegevens.

Verzuimbegeleiding

Human Business Support helpt u graag om uw verzuimbeleid conform AVG in te richten. De basis binnen verzuim is privacy. Daarom is het van groot belang dat u de veiligheid van de gegevens kunt borgen, conform AVG. HBS begeleidt uw medewerkers op juiste wijze in het verzuimproces. De wijze waarop de gegevens verwerkt worden in ons Verzuimportaal, zullen voldoen aan de nieuwe wetgeving. Daar hoeft u zich geen zorgen over te maken. Wij houden u hierover op de hoogte.

Zorg er dus voor dat u actuele kennis heeft van de eisen van de AVG, zodat u deze kunt implementeren in uw bedrijfsvoering. Wilt u hierover bijgepraat worden? Kom naar de ACE netwerk bijeenkomst op 19 april a.s. bij Asselbergs & Klinkhamer Advocaten in Etten-Leur.

Jeroen van Kollenburg
Asselbergs & Klinkhamer Advocaten

Christian de Vroomen
Risk Manager bij Shell